Aufgrund einer kürzlich bekannt gewordenen Backdoor im Paket xz (genauer, in der liblzma
) wird dringend dazu geraten, Arch Linux auf den aktuellsten Stand zu bringen.
Details zur Problematik im initialen Secutiry-Report, sowie unter der dazugehörigen CVE-2024-3094 bzw. AVG-2851.
Betroffene Systeme
- Installationsmedium
2024.03.01
- VM-Images
0240301.218094
und 20240315.221711
- Container-Images die zwischen dem 24. Februar und 28. März 2024 erstellt wurden
Die betroffenen Artefakte wurden von den Servern und den Mirrors entfernt, und sollten nicht mehr verwendet, bzw. umgehend aktualisiert werden.
Installation aktualisieren
- Systemupdate durchführen:
pacman -Syu
- xz-Version prüfen:
pacman -Qi xz
Nach der Aktualisierung muss die xz-Version mindestens 5.6.1-2
sein. Sollte dies nicht der Fall sein, bitte die Aktualität des Mirrors prüfen, und ggf. kurzzeitig auf einen aktuellen Mirror ausweichen.
Container-Images aktualisieren
Containerimage prüfen
- Podman:
podman image history archlinux/archlinux
- Docker:
docker image history archlinux/archlinux
Images älter als 29. März 2024 und neuer als 24. Februar 2024 sind betroffen, hier sollte umgehend ein Update stattfinden.
- Podman:
podman image pull archlinux/archlinux
- Docker:
docker image pull archlinux/archlinux
Danach muss sichergestellt werden, dass der Container aus dem aktualisierten Image neu gebaut wird.
Bezüglich des Bypasses der sshd-Authentifizierung
Arch linkt openssh
nicht direkt zur liblzma
, daher ist diese Angriffsmethode hier nicht möglich. Mittels folgenden Befehls kann man dies verifizieren.
ldd "$(command -v sshd)"
Es wird dennoch dringend dazu geraten, alle betroffenen Systemkomponenten durch ein vollständiges Systemupdate zu aktualisieren, um eventuell noch unentdeckte Probleme mit dieser Backdoor zu verhindern