Alert: CVE-2024-3094 backdoor in xz Library
Moderator: Lancom-Systems Moderatoren
Re: Alert: CVE-2024-3094 backdoor in xz Library
2024-04-02 11:42 Uhr
Der Lancom Support hat mir soeben geschrieben,
das die xz Sicherheitslücke intern n der Evaluierung ist und das sie sich melden,
sobald Ergebnisse vorliegen.
Ubrigens, jeder der die MSYS2 Umgebung benutzt, ist auch betroffen
https://packages.msys2.org/search?t=pkg&q=xz
Cygwin ist nicht betroffen
https://cygwin.com/packages/summary/xz.html
Viele Grüße
ts
Edit: 2024-04-03 17:35 Cygwin Link korrigiert, vielen Dank Hagen2000
Der Lancom Support hat mir soeben geschrieben,
das die xz Sicherheitslücke intern n der Evaluierung ist und das sie sich melden,
sobald Ergebnisse vorliegen.
Ubrigens, jeder der die MSYS2 Umgebung benutzt, ist auch betroffen
https://packages.msys2.org/search?t=pkg&q=xz
Cygwin ist nicht betroffen
https://cygwin.com/packages/summary/xz.html
Viele Grüße
ts
Edit: 2024-04-03 17:35 Cygwin Link korrigiert, vielen Dank Hagen2000
Zuletzt geändert von tstimper am 03 Apr 2024, 17:36, insgesamt 2-mal geändert.
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Alert: CVE-2024-3094 backdoor in xz Library
2024-03-02 12:50 Uhr
Das Lancom Security Team hat geschrieben das sie seit Freitag das Problem auf dem Schirm haben.
Bis jetzt gibt sind alle Ergebnisse negativ, also keine betroffenen Produkte.
Viele Grüße
ts
Das Lancom Security Team hat geschrieben das sie seit Freitag das Problem auf dem Schirm haben.
Bis jetzt gibt sind alle Ergebnisse negativ, also keine betroffenen Produkte.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Alert: CVE-2024-3094 backdoor in xz Library
Upddate 2024-04-03ts 11:32 Uhr
Noch keine offizielle Meldung vom LANCOM.
Etwas OffTopic, aber das Thema ist zu brisant:
Anbei eine kleine Anleitung, wie man alle PC's, Mac's und einige Linuxe nach den xz-tools durchsuchen kann.
Funktioniert problemlos mit ner Trial Version.
Die Suchfilter Angaben in der Anleitung könnt ich auch in Euren Lieblingstools nutzen.
Viele Grüße
ts
Noch keine offizielle Meldung vom LANCOM.
Etwas OffTopic, aber das Thema ist zu brisant:
Anbei eine kleine Anleitung, wie man alle PC's, Mac's und einige Linuxe nach den xz-tools durchsuchen kann.
Funktioniert problemlos mit ner Trial Version.
Die Suchfilter Angaben in der Anleitung könnt ich auch in Euren Lieblingstools nutzen.
Viele Grüße
ts
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Alert: CVE-2024-3094 backdoor in xz Library
In deinem Beitrag von gestern, 11:46 Uhr ist irgendwie zweimal der gleiche Link angegeben.
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Re: Alert: CVE-2024-3094 backdoor in xz Library
Habs korrigiert, vielen Dank für den Hinweis
Der Lancom Support hat mir geschrieben, das keine Lancom Produkte betroffen sind.
Eine offizielle Meldung kommt noch.
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Alert: CVE-2024-3094 backdoor in xz Library
Update 2024-04-04ts 17:15 Uhr
Lancom veröffentlicht einen Sicherheitshinweis
https://www.lancom-systems.de/service-s ... tshinweise
Viele Grüße
ts
Lancom veröffentlicht einen Sicherheitshinweis
https://www.lancom-systems.de/service-s ... tshinweise
Code: Alles auswählen
Informationen zur „Backdoor in den XZ Utils (CVE-2024-3094)“
April 4, 2024
Am 29.03.2024 wurden Informationen zu einer Backdoor in den XZ Utils veröffentlicht (CVE-2024-3094), durch die Angreifer eigenen Code ausführen können (Remote Code Execution).
LANCOM Hard- und Software-Produkte sind von dieser Sicherheitslücke nicht betroffen.
Der ePaper-Server befindet sich noch in der Evaluierung. Wir werden diese Meldung entsprechend aktualisieren, wenn das Ergebnis vorliegt.
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Alert: CVE-2024-3094 backdoor in xz Library
Benutzen die SFP-Module von Lancom nicht auch Linux/SSH ?
Re: Alert: CVE-2024-3094 backdoor in xz Library
Zumindest wohl GPON und AON,
bei SFP und SFP+ dachte ich nicht.
WWAN und VDSL Modem haben wohl embedded Linuxe.
Wir müssen also wohl nachfragen, ob die jeweiligen Module auch beachtet wurden
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Alert: CVE-2024-3094 backdoor in xz Library
AON-Module sind auch nur dumme Transceiver, nur mit Wellenlängen-Multiplex. GPON - theoretisch ja, aber sehr unwahrscheinlich. Ich habe eben mal ein GPON-Modul gesteckt und da meldet sich als SSH-Gegenstelle ein Dropbear. Also keine OpenSSH/Systemd-Kombi, auf die die Attacke abzielte.Zumindest wohl GPON und AON,
bei SFP und SFP+ dachte ich nicht.
Re: Alert: CVE-2024-3094 backdoor in xz Library
Hi Rotwang,rotwang hat geschrieben: ↑05 Apr 2024, 12:21AON-Module sind auch nur dumme Transceiver, nur mit Wellenlängen-Multiplex. GPON - theoretisch ja, aber sehr unwahrscheinlich. Ich habe eben mal ein GPON-Modul gesteckt und da meldet sich als SSH-Gegenstelle ein Dropbear. Also keine OpenSSH/Systemd-Kombi, auf die die Attacke abzielte.Zumindest wohl GPON und AON,
bei SFP und SFP+ dachte ich nicht.
Interessant, vielen Dank für die Rückmeldung. Kannst Du sehen, welche Version von den xz libraries dort laufen?
Wir wissen ja immernoch nicht, was man da noch alles machen könnte.
Mehr Klarheit bringt erst der Review des xz Codes über die letzen Jahre.
Wer weis, das sich da noch alles versteckt und ob das zu möglichen Angriffvectoren führen könnte.
Wir haben grad einige Scans im PC Bereich gemacht. Da finden wir die die liblzma-5.dll in Version 5.4.5 in Gimp2 und in Version 5.2.5 im McAfee Agenten.
Man musst das auch zeitlich einordnen. Klar da gibt es kein SSH, aber letzendlich könnte jede Interaktion mit der Library was auslösen
Das ist schwierig, da die Grenze zu ziehen, wo man aufhört zu graben .....
Je tiefer man kommt, dsto theoretischer ist es Stans heute ...
Also die WWAN Module und die VDSL Module würden mich da auch brennend interessieren...
Kannst Du dazu was sagen?
Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Re: Alert: CVE-2024-3094 backdoor in xz Library
Ich habe mich gerade mal unter /lib und /usr/lib umgesehen und da ist keine liblzma. Das ganze ist ein sehr minimalistisches System, wie solche OpenWRT-basierten Systeme mit Uboot meist aussehen.Interessant, vielen Dank für die Rückmeldung. Kannst Du sehen, welche Version von den xz libraries dort laufen?
Ich wüsste nicht, dass irgend jemand bisher sich bereit erklärt hätte, so ein Review zu machen? Das wird im Zweifelsfall darauf hinaus laufen, dass alle Commits von den fraglichen Autoren zurückgenommen werden. Ich glaube nicht, dass sich an der Stelle etwas grundlegendes ändern wird, so wie seinerzeit nach Heartbleed, außer jemand mit genug Resourcen übernimmt das Projekt oder zieht 'clean room' einen Ersatz hoch.Wir wissen ja immernoch nicht, was man da noch alles machen könnte.
Mehr Klarheit bringt erst der Review des xz Codes über die letzen Jahre.
Wer weis, das sich da noch alles versteckt und ob das zu möglichen Angriffvectoren führen könnte.
Leider nein, da bin ich nicht involviert.Also die WWAN Module und die VDSL Module würden mich da auch brennend interessieren...
Kannst Du dazu was sagen?