Fedora

Sicherheitswarnung für Fedora Linux 40: Wichtige Informationen zur xz-Bibliothek

**Sicherheitswarnung für Fedora Linux 40: Wichtige Informationen zur xz-Bibliothek**

**Schlagworte: Gemeinschaft, Infrastruktur, Plattform, Sicherheit**

**Aktualisiert am 30. März 2024**: Wir haben festgestellt, dass die Fedora Linux 40 Beta-Version zwei betroffene Versionen der xz-Bibliotheken enthält – xz-libs-5.6.0-1.fc40.x86_64.rpm und xz-libs-5.6.0-2.fc40.x86_64.rpm. Derzeit scheint Fedora 40 Linux nicht von dem tatsächlichen Malware-Exploit betroffen zu sein, dennoch raten wir allen Nutzern der Fedora 40 Linux Beta-Version, auf die 5.4.x-Versionen zurückzugehen.

**Hinweis der Redaktion**: Dieser Beitrag wurde aktualisiert, um die betroffenen Fedora Linux-Versionen klarer zu benennen und zusätzliche Minderungsmaßnahmen hinzuzufügen.

Gestern haben das Information Risk and Security Team sowie das Product Security Team von Red Hat erfahren, dass die neuesten Versionen der „xz“ Tools und Bibliotheken schädlichen Code enthalten, der offenbar darauf ausgelegt ist, unbefugten Zugriff zu ermöglichen. Insbesondere ist dieser Code in den Versionen 5.6.0 und 5.6.1 der Bibliotheken vorhanden. Fedora Linux 40-Nutzer könnten je nach Zeitpunkt der Systemaktualisierung Version 5.6.0 erhalten haben. Nutzer von Fedora Rawhide könnten Version 5.6.0 oder 5.6.1 erhalten haben. Diese Schwachstelle wurde als CVE-2024-3094 eingestuft.

**BITTE STELLEN SIE UMGEHEND DIE NUTZUNG ALLER INSTANZEN VON FEDORA RAWHIDE für Arbeit oder persönliche Aktivitäten EIN.** Fedora Rawhide wird in Kürze auf xz-5.4.x zurückgesetzt, und danach können Fedora Rawhide-Instanzen sicher neu eingesetzt werden. Beachten Sie, dass Fedora Rawhide die Entwicklungsverteilung von Fedora Linux ist und als Basis für zukünftige Fedora Linux Builds dient (in diesem Fall für das noch nicht veröffentlichte Fedora Linux 41).

Derzeit wurde nicht festgestellt, dass die Fedora Linux 40 Builds kompromittiert wurden. Wir glauben, dass die schädliche Codeeinspritzung in diesen Builds nicht wirksam wurde. Dennoch sollten Fedora Linux 40-Nutzer sicherheitshalber auf einen 5.4 Build herabstufen. Ein Update, das xz auf 5.4.x zurücksetzt, wurde kürzlich veröffentlicht und wird Fedora Linux 40-Nutzern über das normale Update-System zur Verfügung gestellt. Besorgte Nutzer können das Update durch die Anweisungen unter [Fedora Update Portal](https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266) erzwingen.

**Was ist xz?**

xz ist ein Datenkompressionsformat für allgemeine Zwecke, das in nahezu jeder Linux-Distribution vorhanden ist, sowohl in Community-Projekten als auch in kommerziellen Produktverteilungen. Im Wesentlichen hilft es, große Dateiformate zu komprimieren (und dann zu dekomprimieren), um sie in kleineren, handlicheren Größen für die gemeinsame Nutzung via Dateiübertragungen bereitzustellen.

**Was ist der schädliche Code?**

Die schädliche Injektion, die in den xz-Versionen 5.6.0 und 5.6.1 vorhanden ist, ist verschleiert und nur vollständig im Download-Paket enthalten – die Git-Verteilung fehlt das M4-Makro, das den Bau des schädlichen Codes auslöst. Die Artefakte der zweiten Stufe sind im Git-Repository für die Injektion während der Bauzeit vorhanden, falls das schädliche M4-Makro vorhanden ist.

Das resultierende schädliche Build stört die Authentifizierung in sshd über systemd. SSH ist ein häufig verwendetes Protokoll zum Fernverbinden mit Systemen, und sshd ist der Dienst, der Zugang ermöglicht. Unter den richtigen Umständen könnte diese Störung es einem böswilligen Akteur potenziell ermöglichen, die sshd-Authentifizierung zu brechen und unbefugten Zugriff auf das gesamte System aus der Ferne zu erlangen.

**Welche Distributionen sind von diesem schädlichen Code betroffen?**

Aktuelle Untersuchungen deuten darauf hin, dass die Pakete nur in Fedora 40 und Fedora Rawhide innerhalb des Red Hat Community-Ökosystems vorhanden sind.

Keine Versionen von Red Hat Enterprise Linux (RHEL) sind betroffen.

Wir haben Berichte und Beweise für erfolgreiche Einspritzungen in xz 5.6.x-Versionen, die für Debian Unstable (Sid) gebaut wurden. Andere Distributionen könnten ebenfalls betroffen sein. Nutzer anderer Distributionen sollten sich an ihre Distributoren wenden, um Anweisungen zu erhalten.

**Was sollte ich tun, wenn ich eine betroffene Distribution verwende?**

Für persönliche und geschäftliche Aktivitäten sollten Sie die Verwendung von Fedora 40 oder Fedora Rawhide umgehend einstellen, bis Sie Ihre xz-Version herabstufen können. Wenn Sie eine betroffene Distribution in einem geschäftlichen Umfeld verwenden, empfehlen wir Ihnen, sich an Ihr Informationssicherheitsteam für die nächsten Schritte zu wenden.

Zusätzlich haben diejenigen, die openSUSE-Distributionen betreiben, von SUSE ein Downgrade-Verfahren veröffentlicht, das unter [SUSE Build Service](https://build.opensuse.org/request/show/1163302) eingesehen werden kann. Community, Infrastructure, Platform, Security

By carrabelloy, ago

Ein tieferer Blick in die Welt der Linux-Distributionen: Vielfalt als Stärke

Linux, das vielseitige und mächtige Betriebssystem, das eine Welt jenseits von Windows und macOS eröffnet, ist für seine immense Vielfalt bekannt. Diese Vielfalt manifestiert sich in den zahlreichen Distributionen – oder kurz „Distros“ – die jeweils ihre eigenen Ziele, Gemeinschaften und Philosophien haben. In diesem Kapitel tauchen wir tiefer in die Welt der Linux-Distros ein und beleuchten die Auswahl, die Anwendern zur Verfügung steht.

Was ist eine Linux-Distribution?
Eine Linux-Distribution ist im Grunde ein Betriebssystem, das auf dem Linux-Kernel basiert und mit einer Auswahl an Software und Anwendungen gebündelt ist, um den Bedürfnissen verschiedener Anwendergruppen zu entsprechen. Diese Distros variieren stark in ihrer Ausrichtung – einige sind für Desktop-Nutzer konzipiert, andere für Server, während wiederum andere sich auf spezifische Anwendungsfälle wie Sicherheit, Bildung oder Multimedia spezialisieren.

Die Bedeutung der Wahl
Die Wahl der richtigen Distro hängt stark von Ihren Bedürfnissen, Ihrer Hardware und Ihrer Bereitschaft ab, sich in die Konfiguration und Verwaltung Ihres Systems einzuarbeiten. Einige Distros, wie Ubuntu oder Linux Mint, sind für ihre Benutzerfreundlichkeit und einfache Einrichtung bekannt und eignen sich hervorragend für Linux-Einsteiger. Andere, wie Debian oder Fedora, bieten mehr Flexibilität und Kontrolle, erfordern aber möglicherweise ein tieferes Verständnis des Systems.

Verschiedene Distros für verschiedene Bedürfnisse
Ubuntu: Bekannt für seine Benutzerfreundlichkeit und große Community, ist Ubuntu eine ausgezeichnete Wahl für Einsteiger. Es bietet regelmäßige Updates und hat eine große Auswahl an Software über sein umfangreiches Repository.

Debian: Die Mutter vieler Distros, einschließlich Ubuntu und Linux Mint, steht für Stabilität und Sicherheit. Es ist die Wahl für viele Server und erfahrene Benutzer, die ein solides System suchen.

Linux Mint: Basiert auf Ubuntu, fokussiert sich jedoch stärker auf eine out-of-the-box Erfahrung mit voller Multimedia-Unterstützung und einfacher Bedienung.

Fedora: Bekannt für seine Innovation, ist Fedora oft die erste Distro, die neue Software und Technologien einführt. Es ist stabil und sicher, mit einem starken Fokus auf freie Software.

Arch Linux: Bietet eine rollende Veröffentlichung und ist bekannt für seine Einfachheit und Anpassbarkeit. Arch ist für erfahrene Benutzer, die ihr System von Grund auf selbst zusammenstellen möchten.

Spezialisierte Distros
Neben den allgemeinen Desktop- und Server-Distros gibt es auch spezialisierte Distros für fast jeden Zweck:

Kali Linux: Entwickelt für Penetrationstests und Sicherheitsaudits.

Raspbian: Für den Raspberry Pi optimiert, ideal für Projekte und Lernen.

Tails: Fokussiert auf Privatsphäre und Anonymität, ideal für sicherheitsbewusste Nutzer.

1 Linux 2542>
2 2144< 3 1661>
4 1333< 5 1145= 6 1092= 7 945>
8 875>
9 !_OS 823=
10 } 739 >
11. 715>
12 neon 588>
13 547=
14 535=
15 493=
16 431=
17 407=
18 399< 19 397>
20 396=
21 390=
22 385>
23 361< 24 #Lösung 329= 25 327= 26 317= 27 314< 28 307= 29 302= 30 294= 31 262= 32 262= 33 #Schwänze 255= 34 253= 35 252= 36 249= 37 241= 38 232= 39 229= 40 228>
41 226=
42 223=
43 217=
44 215=
45 214< 46 210>
47 206=
48 198< 49 196< 50 195= 51 194= 52 192= 53 190= 54 186= 55 183= 56 181= 57 171= 58 170>
59 170=
60 168=
61 165=
62 164< 63 161= 64 158= 65 Hat 157= 66 Kern 153= 67 153= 68 150< 69 149< 70 148>
71 Linux 147=
72 OS 145>
73 145>
74 143=
75 . 142=
76 139=
77 137=
78 135=
79 133=
80 132=
81 132=
82 131=
83 #Emmabuntüs 130=
84 130=
85 129>
86 127< 87 126= 88 MATE 126= 89 125= 90 Ubuntu Studio 125< 91 Löschen 124= 92 124= 93 123< 94 121= 95 121= 96 121= 97 120= 98 119>
99 119>
100 117

Auswahl der passenden Distribution
Bei der Auswahl einer Distro sollten Sie Ihre persönlichen Bedürfnisse, Ihre Erfahrung mit Linux und die Spezifikationen Ihrer Hardware berücksichtigen. Es ist auch wichtig, die Community und den Support hinter einer Distro zu betrachten, da dies bei der Lösung von Problemen und beim Lernen über Ihr neues Betriebssystem eine große Hilfe sein kann.

Zusammenfassung
Die Welt der Linux-Distributionen ist reich und vielfältig, mit Optionen für fast jeden Benutzertyp und Anwendungsfall. Die Wahl der richtigen Distro kann anfangs überwältigend sein, aber sie bietet auch die Freiheit, ein System zu gestalten, das genau Ihren Bedürfnissen entspricht. Egal, ob Sie ein Anfänger sind, der von Windows wechselt, oder ein erfahrener Benutzer, der nach mehr Kontrolle sucht, in der Welt von Linux gibt es eine Distribution, die auf Sie wartet.

In unserem nächsten Kapitel werden wir uns ansehen, wie Sie Ihre ausgewählte Distro installieren und konfigurieren, um den besten Start mit Linux zu haben. Bleiben Sie dran, um Ihr Linux-Erlebnis zu optimieren und die volle Kontrolle über Ihr digitales Leben zu erlangen.

Debian mit Cinnamon oder LMDE: Ein ausführlicher Vergleich

By carrabelloy, ago