Erste neue XZ-Version ohne Backdoor

Erste neue XZ-Version ohne Backdoor

XZ 5.6.2 erhältlich

In den Versionen 5.6.0 und 5.6.1 enthielt das Packprogramm XZ eine Backdoor, die Angreifer dort eingeschleust hatten. Die erste offizielle Version ohne diese Sicherheitslücke steht jetzt unter der Version 5.6.2 bereit.

Laut den Release Notes auf GitHub entfernt sie primär die Backdoor, die im Verzeichnis für Common Vulnerabilities and Exposures unter dem Kürzel CVE-2024-3094 zu finden ist. Die meisten von der Sicherheitslücke betroffenen Distributionen waren zwischenzeitlich wieder auf eine ältere XZ-Version vor der 5.6.0 zurückgewechselt.

Explizit nicht gerändert haben die XZ-Entwickler den Memory Sanitizer (MSAN), in dessen korrektem Code das Testwerkzeug OSS Fuzz ein Problem vermutet. Dabei handelt sich jedoch um ein Falsch-Positiv. Den betroffenen CLMUL-Code wollen die XZ-Entwickler jedoch sowieso mit einer der nächsten Versionen überarbeiten.

Des Weiteren gab es noch zahlreiche kleinere Fehlerkorrekturen. So arbeitet der Code für das „–block-list“-Parsing konform zum C-Standard. Die Bibliothek Liblzma lässt sich mit dem Nvidia HPC SDK bauen und prüft unter FreeBSD auf ARM64-Systemen, ob die CRC32-Instruktion vorhanden ist. Abschließend unterstützt „xzdec“ die Linux Landlock ABI in Version 4.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben