Mastodawn

Patrick Schmidt Mar 31, 2024

Wünsche Euch frohe Feiertage, ohne solche faulen Eier

Damit keine Panik ausbricht, Der #xzorcist getaufte #cve20243094 der Versionen xz 5.6.x erlaubt ssh RCE über den RSA Key 😰

ABER

"In stabile Debian- oder Ubuntu-Versionen hat die Hintertür es nicht geschafft, ...
Der macOS-Paketmanager Homebrew hingegen ist nicht direkt betroffen."

Termux/Gentoo Pakete bitte updaten.

https://social.heise.de/@heisec/112186774018632515

#xz #xzbackdoor #supplychainattack #xz4shell #infosec #cybersecurity

heise Security (@[email protected])

xz-Attacke: Hintertür enträtselt, weitere Details zu betroffenen Distros Experten halten die Hintertür in liblzma für den bis dato ausgeklügeltesten Supplychain-Angriff. Er erlaubt Angreifern, aus der Ferne Kommandos einzuschleusen. https://www.heise.de/news/xz-Attacke-Hintertuer-entraetselt-weitere-Details-zu-betroffenen-Distros-9671588.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon #Debian #Fedora #Linux #LinuxDistribution #OpenSource #Opensuse #RedHat #Security #SSH #Ubuntu #news

Heise Medien on Mastodon

shellsharks Mar 31, 2024

There's A LOT going on (analysis, discussion, vendor notices, etc...) related to the ongoing xz/liblzma compromise so I created a "link roundup" which centralizes and buckets a lot of the awesome links and threads I've seen flying around.

https://shellsharks.com/xz-compromise-link-roundup

I will *try* to keep this up-to-date (ish) for a few days while things are hot but I make no promises beyond that.

#cve20243094 #xz #xzbackdoor #xzorcist #supplychainattack #xz4shell #infosec #cybersecurity

xz/liblzma Compromise Link Roundup

Links to analysis, discussion and more related to the xz/liblzma compromise (CVE-2024-3094).

shellsharks