Aus einem newsletter des bsi zur IT-sicherheitslage im april 2025. sie beschäftigen sich da u.a. mit einer erneuten sicherheitslücke der schon berüchtigten xz-utils. 2024 gabs dort eine eingeschmuggelte backdoor in dem programm (CVE-2024-3094). über die neue sicherheitslücke (CVE-2025-31115) könnte nun wieder schadcode eingeschleust werden. klingt recht beunruhigend, mit einem score von 8.7/10.

so weit, so normal. dann wird das bsi aber deutlich systemkritisch ... :-)

Auch wenn im aktuellen Fall nicht von Vorsatz auszugehen ist, lässt das erneute Auftreten einer
Schwachstelle mit CVSS >8 (die dritte in 3 Jahren) Zweifel an der Qualitätskontrolle innerhalb des XZ-Projektes aufkommen. Dabei ist zu berücksichtigen, dass diese ubiquitäre Softwarekomponente im Wesentlichen von einem einzelnen Maintainer in seiner Freizeit gepflegt wird. Die verfügbaren
personellen Ressourcen stehen damit in keinem Verhältnis zur hohen Verbreitung der Bibliothek. Dies trifft auf eine große Anzahl von Open-Source-Software-Komponenten zu, die oft auch in proprietärer Software integriert sind, ohne hier offensichtlich zu werden. Zudem handelt es sich dabei um einen sehr frühen Punkt in der Lieferkette einer Softwarekomponente, die extrem weit verbreitet ist.

Hersteller von umsatzstarken Produkten bzw. Dienstangeboten teilen oftmals auch nicht die Erlöse
mit den bzw. mit allen im Unterbau genutzten Software-Projekten. Durch derartige Projekte sind im Laufe der letzten 30 Jahre eine Vielzahl an höchst wertvollen Software-Gütern entstanden, von denen das Funktionieren der heutigen IT-Welt abhängig ist, die jedoch trotz ihrer wirtschaftlichen Verwertung nicht ansatzweise mit Ressourcen ausgestattet wurden, die der damit erzielten Wertschöpfung entspricht. Perspektivisch sollte diesem strukturellen Problem mehr Aufmerksamkeit geschenkt werden.
in einem anderen absatz zum update von win10 auf win11 empfiehlt das bsi auch den wechsel auf linux:

Allen, die noch Windows 10 nutzen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), ein Upgrade durchzuführen bzw. auf ein anderes Betriebssystem umzusteigen. Das können etwa Windows 11, ein Unix-basiertes Betriebssystem wie macOS oder ein Linux-basiertes Betriebssystem sein.
und mit der entscheidung darüber im professionellen umfeld nicht erst zu warten, bis im herbst der windows10-support "plötzlich" ganz weg ist und das management in spontane panik verfällt ...

#computer #bsi #CVE #CVE-2024-3094 #CVE-2025-31115 #xz-utlis #security #hacks

Neues Video von #Simplicissimus: „Eine Gruppe Hacker hätte sich beinahe Zugang zu Millionen von Servern auf der ganzen Welt verschafft. Doch ein deutscher Software-Entwickler hat ihnen einen Strich durch die Rechnung gemacht.“
https://www.youtube.com/watch?v=8p8PHeGg--U
Hintergrund: https://de.wikipedia.org/wiki/CVE-2024-3094
#xz #linux #opensource #quelloffen #backdoor #github #CVE20243094 #ssh

#XZUtils 5.6.2 (stable) has been released (#xz / #LZMAUtils / #LZMA / #LZMA2 / #DataCompression / #CVE / #CVE20243094) https://tukaani.org/xz/