ssh-backdoor durch kompromittierte xz-Bibliothek (v 5.6.0)

[Gulliver]

Synology scheint sicher vor der aktuellen Lücke, die betroffene Version von xz wird nicht verwendet.

News:
https://www.it-daily.net/shortnews/xz-utils-ssh-backdoor-erschuettert-linux-community

https://www.heise.de/news/xz-Attack...e-Details-zu-betroffenen-Distros-9671588.html

Betr. Synology:
https://www.reddit.com/r/synology/comments/1broain/is_synology_dsm_7_affected_by_the_recently_found/

 

[maxblank]

Danke für die Info. In dem Fall nicht schlecht, dass Synology auch softwareseitig nicht immer direkt auf aktuellem Stand ist.

 

[Mavalok2]

Mich hat es interessiert und habe mal nachgesehen, welche Version bei meinem DS720+ installiert ist. Mit dem Befehl xz -- version kann man dies nachsehen.

Beim aktuellem DSM 7.2.1-69057 Update 4 ist dies:

$ xz --version
xz (XZ Utils) 5.2.6
liblzma 5.2.6

Sollte also alles sicher sein.

Unsicher soll die Version 5.6.0 und 5.6.1 sein. Die aktuelle Version 5.6.1-2 soll wieder sicher sein. Die Subversionen werden allerdings mit dem Befehl xz --version nicht angezeigt.

 

[Gulliver]

Hier die ausformulierte story, soweit jetzt schon erkennbar:
https://www.derstandard.de/story/30...r-sicherheitskatastrophe-vorbeigeschrammt-ist

 

[Benie]

Sehr informativ zum Hergang des ganzen.

 

[plang.pl]

https://www.youtube.com/watch?v=z7h2bueO4uU

 

[mj084]

https://www.heise.de/hintergrund/Die-xz-Hintertuer-das-verborgene-Oster-Drama-der-IT-9673038.html