Verhagelte Ostern
Perfide Hintertür in der Softwarebibliothek xz
In letzter Sekunde ist eine komplexe Hintertür in der Softwarebibliothek xz Utils aufgefallen, die desaströse Auswirkungen für einen großen Teil aller per SSH erreichbaren Rechner gehabt hätte. Die Suche nach Urhebern und besseren Schutzmaßnahmen läuft auf Hochtouren.
Am 29. März, Karfreitag, riss der Datenbankentwickler Andres Freund die Open-Source- und IT-Security-Communities jäh aus dem Osterwochenende. Ihm waren ein paar Merkwürdigkeiten an aktuellen Versionen der Bibliothek liblzma aus dem Projekt xz Utils aufgefallen. Seine anschließenden Nachforschungen ergaben, dass in der Bibliothek eine höchst aufwendig verborgene Hintertür lauerte. Wer auch immer die Backdoor kontrollierte, er hätte weltweit unzählige Rechner kompromittieren können, wären diese xz-Versionen in die Paketquellen verbreiteter Linux-Distributionen gelangt und per Update verteilt worden. In zahlreiche Beta-, Unstable- und Rolling-Release-Repositories waren sie bereits eingeflossen, aber noch nicht die Quellen üblicher Server-Linuxe. Die Warnung von Freund kam gerade noch rechtzeitig.
Das ist sehr nahe am Super-GAU: xz findet sich auf den meisten Linux-Systemen und auf macOS-Rechnern, die die Paketverwaltung Homebrew nutzen, weil es zur Komprimierung von Softwarepaketen, Kernelabbildern, Archiven und anderem eingesetzt wird. Schlimmer noch, die Hintertür wurde aktiv, wenn liblzma vom OpenSSH-Daemon sshd geladen wurde, und zwar noch vor der Nutzerauthentifizierung. SSH ist in der Unix-Welt omnipräsent, um aus der Ferne auf Systeme zuzugreifen.