Liebe Nutzende von infra.run Services,
wie viele von Ihnen möglicherweise bereits mitbekommen haben, wurde durch einen böswilligen Angreifer das xz-utils-Kompressionspaket über einen langen Zeitraum in Linux-Distributionen subtil so manipuliert, dass die aktuellen Version 5.6.0 oder 5.6.1 die Ausführung von beliebigem Code auf dem System ermöglicht haben. Dazu benötigte ein Angreifer einen speziellen SSH-Key.
Zuerst die wichtige Nachricht: Keines der Systeme bei infra.run war nach dem aktuellen Kenntnisstand zur Funktion der Hintertür angreifbar.
Wir sind froh, dass der Open Source-Ansatz trotz jahrelanger und offenbar geldintensiver Bemühungen der Angreifer hier Schlimmeres verhindert hat und sind begeistert von den gemeinsamen, rapiden Aufklärungsarbeiten innerhalb der Open Source Community. Gleichzeitig sind wir erschüttert von der Intensität, mit der von interessierten Kreisen versucht wird, das Vertrauen der Community zu unterlaufen. Wir verfolgen selbstverständlich die aktuelle Lage weiter und ziehen die notwendigen Konsequenzen.
Für die technisch Interessierten gehen wir gerne ins Detail: Unmittelbar nach Bekanntwerden des Vorfalls am Freitag haben wir unsere Systeme überprüft. Lediglich die auf Nextcloud basierende Anwendung, die wir in Containern betreiben, enthielt seit dem vorhergehenden Donnerstag eine verwundbare Version der LZMA-Bibliothek, weil sie auf OpenSUSE Tumbleweed basiert. Allerdings waren diese nicht angreifbar, da in den Containern kein OpenSSH-Dienst bereit gestellt wurde. Trotzdem haben wir sofort die Container auf eine als unbedenklich geltende Paketversion aktualisiert und ausgebracht.
In erster Konsequenz werden wir den Plan, uns an allen Stellen von Rolling-Releases für den Container-Bau der Nextcloud-basierten Container zu verabschieden, beschleunigen. Dieser hat uns in der Vergangenheit viele Vorteile wie die Bereitstellung neuster Features gebracht. Nun überwiegen jedoch deutlich die Nachteile. Alle anderen Produkte sowie unsere Infrastruktur, egal ob container- oder paketbasiert, verwenden nicht betroffene, stabile Distributionen.
Zeitleiste für Freitag, den 29.03.2024 (in MEZ):
Ca. 18:00: infra.run Operations wird des Problems gewahr
18:30: Erste vorläufige Analyse der Situation und unserer Systeme abgeschlossen, Container mit verwundbarer Bibliotheksversion identifiziert.
21:00: Bau neuer Pakete mit nicht verwundbarer Version von XZ-Tools / liblzma abgeschlossen, Funktionsfähigkeit verifiziert
21:05: Alle Nextcloud-basierten Deployments sind gepatched, Vorfall vorerst abgeschlossen.
Für Rückfragen stehen wir gerne zur Verfügung.
Mit freundlichen Grüßen,
Daniel Molkentin
infra.run Operations
