Бэкдор в утилите xz

Mar 31, 2024 16:53

Обратите внимание: в xz обнаружили уязвимость, так что, если у вас стоит версия больше 5.4.2, нужно обновиться. В генте и кальке уже замаскировали старшие версии, при обновлении автоматом идет откат на версию без бэкдора.
Лишний повод перейти на более шустрый 7z.

linux, всячина

Leave a comment

Comments 8

dimas March 31 2024, 16:40:13 UTC

Чем тебе 7з поможет если бэкдор был таргетирован на sshd? ;)
И на конкретные дистрибутивы, если правильно помню ...

Reply

eddy_em March 31 2024, 16:43:20 UTC
В настройках ssh можно запретить использовать lzma.

Reply


borodux April 1 2024, 06:11:25 UTC
Это далеко не первый эксплойт в ssh. Лучше сразу ограничить доступ к ssh белым списком IP (своих, доверенных). С учетом специфики обновления Gentoo (если не делать их регулярно), это будет самым простым способом защиты от будущих уязвимостей.

Reply

eddy_em April 1 2024, 06:27:43 UTC
Вот не пойму, откуда в sshd внезапно взялась зависимость от xz:

ldd /usr/sbin/sshd
linux-vdso.so.1 (0x00007fff3d78b000)
libcrypt.so.2 => /usr/lib64/libcrypt.so.2 (0x00007f703b662000)
libpam.so.0 => /usr/lib64/libpam.so.0 (0x00007f703b650000)
libcrypto.so.3 => /usr/lib64/libcrypto.so.3 (0x00007f703b19e000)
libz.so.1 => /usr/lib64/libz.so.1 (0x00007f703b184000)
libc.so.6 => /lib64/libc.so.6 (0x00007f703afbd000)
/lib64/ld-linux-x86-64.so.2 (0x00007f703b7b7000)

Нет здесь никакого lzma…
Ну, а что до безопасности, если комп торчит в интернет, то вообще нельзя оставлять там аутентификацию ssh по паролям - исключительно по ключам. Я и руту запрещаю логин по паролю даже во внутренних сетях…

Reply

stanislavvv April 1 2024, 11:34:58 UTC
косвенно, через systemd.

Reply

eddy_em April 1 2024, 11:37:49 UTC
Я ж написал: у меня гента, а не маздай. То бишь systemd и прочий шлак отсутствует.

Reply


Leave a comment

Up