Segfault.fm ist ein wissenschaftsorientierter Podcast über IT-Sicherheit. Wir versuchen in diesem Podcast eine Brücke zwischen Praxis und Akademia zu schlagen.
https://segfault.fm
0x28 xz - You own Freund a beer!
Beschreibung:
Summary durch AI generiert: In dieser Episode von Sackford FM wird die Entdeckung einer potenziell schwerwiegenden Backdoor in der XZ-Kompressionssoftware diskutiert. Der Microsoft-Ingenieur Andres Freund identifizierte die Backdoor durch ungewöhnliche CPU-Auslastung von OpenSSH. Es wird betont, dass solche Sicherheitsprobleme in der Open-Source-Welt schnell angegangen werden müssen, um Katastrophen zu verhindern. Technische Details der Backdoor, wie ihre Aktivierung und Tarnung als Unit-Tests, werden ausführlich behandelt. Die Diskussion endet mit Überlegungen zu potenziellen Lösungsansätzen in der Open-Source-Community, um von einzelnen Maintainern abhängige Sicherheitsrisiken zu minimieren.
Shownotes:- Andres Freund initial e-mail
- Timeline of the xz open source attack
- The xz attack shell script
- ArchLinux: The xz package has been backdoored
- Some thoughs from Brian Krebs on xz
- xz/liblzma: Bash-stage Obfuscation Explained
- xz outbreak (jpg)
- xz utils backdoor
- FAQ on the xz-utils backdoor (CVE-2024-3094)
- Small Interview of Andres Freund
- xzbot
- Reflections on distrusting xz
- XZ Utils Backdoor - critical SSH vulnerability (CVE-2024-3094)
- The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind