Einer der größten Angriffe auf Linux - liblzma-5.6.x
Vložit
- čas přidán 4. 04. 2024
- Die Sicherheitslücke CVE-2024-3094 hat es in sich. In diesem Video erklärt Jean den Hergang und, wie wir uns alle gegen solche Angriffe noch besser schützen können.
Wenn Du das Video unterstützen willst, dann gib bitte eine Bewertung ab, und schreibe einen Kommentar. Vielen Dank!
Links:
-------------------------------------
Weitere Informationen: gist.github.com/thesamesam/22...
Linux-Guides Merch*: linux-guides.myspreadshop.de/
Professioneller Linux Support*: www.linuxguides.de/linux-supp...
Linux-Arbeitsplatz für KMU & Einzelpersonen*: www.linuxguides.de/linux-arbe...
Linux Mint Kurs für Anwender*: www.linuxguides.de/kurs-linux...
Offizielle Webseite: www.linuxguides.de
Forum: forum.linuxguides.de/
Unterstützen: unterstuetzen.linuxguides.de
Mastodon: mastodon.social/@LinuxGuides
X: / linuxguides
Instagram: / linuxguides
Kontakt: www.linuxguides.de/kontakt/
Haftungsausschluss:
-------------------------------------
Das Video dient lediglich zu Informationszwecken. Wir übernehmen keinerlei Haftung für in diesem Video gezeigte und / oder erklärte Handlungen. Es entsteht in keinem Moment Anspruch auf Schadensersatz oder ähnliches.
*) Werbung - Věda a technologie
Folgende Distributionen sind unter anderem NICHT betroffen:
- Linux Mint
- Ubuntu
- Debian Stable
- Pop!_OS
- ZorinOS
- Fedora 39 oder niedriger
- ...
Fedora 39
Und schon kommt die erste Fehlinformation.... Debian und Ubuntu SIND betroffen
Puh, Glück gehabt. Danke für die ausführliche Erläuterung.
Na dann mal vielen Dank an Andreas Freund, das er dass entdeckt und vor allem aufgedeckt hat!
Danke für die schnelle und gute Erklärung der Situation. Gutes Video.
Meiner Meinung nach ist es gut, dass es so gekommen ist, wie es gekommen ist.
Dadurch, dass diese Lücke so unglaublich gefährlich war, aber quasi null Schaden anrichten konnte, wurden denke ich vielen in der Linux / Open Source Community die Augen geöffnet, dass man selbst bei Linux und Open Source Software sich nicht sicher fühlen sollte und immer auf seine Sicherheit bedacht sein sollte.
Es war Quasi ein Schubs in die richtige Richtung, der uns aber nahe zu nichts gekostet hat.
null Schaden würde ich so nicht sagen, aber es wurde zum Glück entdeckt, bevor die Versionen 5.6.0-5.6.1 in Massenumlauf gebracht wurden. Gerade weil der Ubuntu 24.04 Release kurz bevorsteht.
Richtig getroffen hat es Kali Linux, da diese betroffenen Versionen dort zwischen 26.-29.03. über die Paketquelle bezogen wurden.
Naja, es ändert dennoch nüscht, dass viele wichtige Softwareprojekte von Leuten stammen, die es neben ihrem regulären Job sowie auch ihrer Familie in der ohnehin knappen Freizeit machen. Nur wird sich vor allem durch Großunternehmen daran hemmungslos bedient, ohne einmal Danke zu sagen und es dann als Selbstverständlichkeit gesehen, dass die Personen stets und stängig liefern sollen, sonst kriegen sie noch Drohungen, wie einst bei Log4J. Am Ende geben die Autoren deswegen nach und lassen mal jemanden ran, der eventuell von einem Geheimdienst stammen könnte, eben wegen Burnout, denn man kann als Mensch nicht drölfzig Sachen gleichzeitig machen, so kommt dann diese Nachlässigkeit, in der Hoffnung, sich nicht komplett selber alleine drum kümmern zu müssen und das macht die Entwickler anfällig für Leute, die sich in bösartiger Absicht das Vertreuen erschleichen und dann die Software unterwandern.
Ich finde: Freie Software ist kein Selbstbedienungsladen! Wenn man schon nimmt, dann sollte man auch was zurückgeben, das muss nicht zwingend monetär sein, es kann auch ein legitimer Pull Request bzw. halt ein Bugreport sein (als Privatnutzer). Spenden sind dennoch für die stets willkommen. Nur einfach sich daran bedienen, die Software statisch in die eigene proprietäre Software zu linken und dann noch erwarten, dass der Bug vom Ursprungsautor sofort gefixt wird und dabei noch zu drohen, geht gar nicht.
Leider hat die Awareness dahingehend extrem nachgelassen.
BTW hab ich letztens ne Mark an ein Opensource-Projekt gespendet. Klar, ist zwar nur ne Mark, aber besser als gar nüscht ists alle Male, zumal ich selber an der Armutsgrenze kratze, nur find ich es moralisch scheiße, ne Gratiskultur auszuleben. Und ich finde, selbst wenns auch ne Million wäre, das Geld wäre dafür sinnvoller angelegt, als dass es einem Milliardär reingeschoben wird, welcher von Closed Source profitiert und auf Befehl von *hust* Geheimdiensten *hust* Backdoors offen lässt.
>und immer auf seine Sicherheit bedacht sein sollte
wie denn jetzt, einfach server per fax administrieren?
Danke! Denn genau so sehe ich das. Die ganzen Linux Fanboys: "Mir kann ja nix passieren, ich nutze ja kein Windoof..."
Dieser Irrglaube wurde meines Erachtens in die Welt gesetzt, damit die Leute gar nicht erst aufpassen. (aluhut off)
Es gibt kein 100% sicheres System!
Jedes System ist gleich unsicher!
Vielen Dank für diesen interassanten Beitrag.
Danke für dieses wichtige und informative Video. Zum Glück nutze ich stable Versionen von Debian/Ubuntu - Glück gehabt. Edit: Wie im Video gesagt, ist das eigentlich ein gutes Zeichen für Open Source, dass man die Lücke und was passiert ist nachvollziehen kann.
Endlich weiß man wer hinter den guten Videos ist mach weiter so @Linux Guides
Hat mich erstmal geschockt...aber die Linux-Gemeinde ist ehrlich transparent...jetzt daher wieder entspannt.... Aufklärung wie bei keinem anderen Betriebssystem und sofortige Maßnahmen...besser geht's nicht....stärkt daher mein Vertrauen um so mehr an Linux...danke für die Aufklärung....auch wenn ich fachlich hier und da nicht ganz folgen konnte...bin einfach gestrickter Linux-Nutzer.😂
Vielen Dank für diese Zusammenfassung.
Arch Linux hat natürlich auch schon einen Patch rausgebracht, wer regelmäßig aktualisiert (Regel Nr. 1) ist dieses Mal auf der sicheren Seite gewesen.
I use LMDE, btw. 🙂
Der Arch-Patch war schon wenige Stunden danach da. sshd linkt aber zum Glück die liblzma-library garnicht, ist also somit nicht direkt betroffen (wohl aber andere, wie systemd).
Ich mag dir das Video von Morpheus dazu empfehlen.
Die Lücke konnte in der open Source Quelle gar nicht gefunden werden, da die entsprechende Datei in der Gitignore stand und niemals hochgeladen wurde.
Erst beim installieren und kompilieren des Paketes von der Distribution wurde der Trojaner gebaut.
In der "WeLT" steht zusätzlich noch, daß der Programmierer/Pfleger von xz-Utils zusätzlich von mind. 2 Personen bedrängt wurde, dem "Tan" "endlich mehr Rechte einzuräumen, der mache doch einen super Job."
Hoffe das Problem wird gelöst
Aus meiner Sicht geht da einiges durcheinander!
Da sind erst mal ein paar Widersprüche:
min 3:08 "was jede Linux-Distribution hat" falsch nur Distributionen mit systemD sind betroffen
min 3:20 "die fast jedes Programm verwendet" da wurde es wenigstens wieder eingeschränkt, aber bei
min 4:04 heißt es wieder "jedes Linux hat"
min 11:39 "vielleicht[ist] auch irgendwann redhead"[betroffen] Fedora ist redhead! Und die waren betroffen.
Bei min 11:43 "wie können wir so etwas verhindern?"
kommen "wir" jetzt an den springenden Punkt.
Wer ist denn "wir"? Betroffen sein, konnten doch nur so weit fortgeschrittene Linuxer, die ein System fahren, das eben nicht "stable" (also nach allen Regeln der Kunst getestet wurde, sondern ein "testing" system benutzen (also die "Beta" Version, die man (nur) zu Testzwecken veröffentlicht. Da nun tausende Linux-user an der Entwicklung (unentgeltlich) beteiligt sind, ist es diese Personengruppe, die einen Schaden hätte davontragen können. Da aber Beta-Tester das system auf Schwachstellen testen, sind es ja gerade diese Tester, die auf keinen Fall Datenverlust oder ähnliches befürchten müssen, weil auf ihren Test-Systemen keine "sensiblen" Daten liegen bzw die auch über eine SSH-Verbindung nichts zu befürchten gehabt hätten, weil ihr System ja nur zu Testzwecken betrieben wird. Diese Linux-User verfügen ja auch über ein Backup des betreffenden Systems und können das ganze in wenigen Minuten neu aufsetzen. (Das wäre übrigens an dieser Stelle mein Tip: Immer ein Backup de eigenen Systems zur Hand haben, Daten sowieso immer auf einer externen Platte (am besten mehrmals) sichern. Diesen Linux-benutzern sei eben auch ans Herz gelegt, sich über die verschiedenen Versionen ihres eigenen Systems auf dem Laufenden zu halten und stets nur die "stable" Versionen zu benutzen. Und auch nicht die "stable" Version von vor x Jahren! Die ist dann eben nicht mehr stable sondern "old stable", und die ist (spätestens) nach einem Jahr auch nicht mehr sicher!)
Die xz-Attacke wirft aber auch (wieder mal) die Frage auf, ob systemd nicht eine Fehlentwicklung war und ist. Da gibt es ja inzwischen hinreichend Argumente gegen systemd, die die Argumente Pro-Systemd bei weitem überwiegen. Die Pro-Leute argumentieren nämlich nicht mit Sicherheit, sondern mit mehr "look and feel" auf deutsch: "Klicki-Bunti-Welt".
Es sollte uns allen zu denken geben, wenn der Gründer der Linux-Bewegung Linus Torvalds sich aus der Entwicklung von systemd zurückgezogen hat und daß er eben systemd für eine Fehlentwicklung hält. Viel besser für die Zukunft ist die Rückkehr zum KISS Prinzip: Keep It Small and Simple. Und genau das ist systemd eben nicht.
Grundsätzlich stellt sich sowieso die Frage: Was will man von einem Computer System? Schneller höher weiter? Warum? Der "normale" Benutzer schreibt seine Texte, Mail und schaut CZcams oder sonstige Videos. Der Computer-Spiele Spieler hat sich doch längst von Linux verabschiedet. Und der "Windows-Fan"? Den wird man von seinem verinnerlichten "Bill-Gates-ist ein Philantrop" nicht wegbringen. Also brauche ich auch nicht die neueste prozessor-Generation kaufen und kann mein altes Laptop noch zehn weitere Jahre benutzen.
Ich kenne eine Firma, die kaufen im großen Stil aussortierte Hardware auf und verschiffen sie nach Afrika. Dort laufen die alten Kisten problemlos unter Linux weiter. Das ist resourcenschonend und Um weltschutz!
min 16 "Ist SSH aktiviert?" SSH war für den Otto-Normalverbraucher nie gefährdet! Also ist es auch nicht zielführend JETZT noch zu testen, ob SSH aktiviert ist.
Noch eine Anmerkung zur Sicherheit
min 17:53 "großes Interesse, daß Linux sicherbleibt" Wirklich? Das kann man auch anders sehen: wäre Linux nicht mehr da, könnte Microsoft noch mehr "Asche" verdienen. Der Sicherheitsaspekt interessiert doch MS nicht. Welches Betriebssystem verursacht denn jedes Jahr Millionenschäden? Schließt MS deswegen die kritischen Lücken? Nein!
Es tut mir Leid, aber dieser Kommentar macht von vorne bis hinten keinen Sinn und ist in vielen Punkten einfach faktisch falsch. Habe mir den Text mal rauskopiert und werde vielleicht mal ein Video zu machen.
Alleine schon: "vielleicht[ist] auch irgendwann redhead"[betroffen] Fedora ist redhead! Und die waren betroffen."
ist absoluter Müll. Fedora ist nicht gleich Red Hat. Nur weil debian sid betroffen war, war faktisch debian stable nicht betroffen. Und so ist das auch bei RHEL und Fedora.
Und wenn der Punkt RHEL != Red Hat (Firma dahinter) das ausschlaggebende Argument ist, kann ich ich auch wirklich nicht mehr helfen.
Du hättest neben sudo vor allem auch mal systemd ansprechen sollen. Durch diese 1000-Wunderbox war der Spaß überhaupt erst möglich.
Und man hat sich immer darauf verlassen, dass SSH "sicher" war ... Dann kam jemand, der uns gezeigt hat, dass dem nicht so ist. Wie wäre es, wenn man Zugänge solcher Art erst gar nicht bereitstellt, wenn sie nicht benötigt werden? Das würde insgesamt mehr Leid ersparen. ^^
Immer. Nur Zugänge erlauben, die man wirklich braucht :)
@@LinuxGuides Firmen erlauben meist nur VPN und darüber SSH.
immer nur auto fahren wenn man es braucht um tödliche unfälle zu vermeiden. und immer schön anschnellen auch wenn du kein bock hast. sonst muss man auch strafe zahlen wenn man erwischt wird!
Zur Sicherheit sollte man auch den Kontakt zu Löwen meiden!
czcams.com/video/YldLmf3_Els/video.html
@@LinuxGuides Das ist leider keine gelebte Praxis.
@@devnull6938 In welcher Welt? Meine Erfahrungen sehen da anders aus. Das war das erste, was ich hier bei uns abgeschafft habe, als ich den "Laden" übernommen habe.
danke
Ich,nutze Linux Distributionen.
Und,habe ehrlich gesagt…
Nicht,viel Ahnung von dem ganzen.
Schaffe, es mal Linux auf einen PC zu bringen.
Aber, nicht viel mehr.
Wir,sind nicht alle Programmierer.
Um,mit den Terminal zurecht kommen.
Denke,aber das Linux ein sehr gutes System ist.
Aber, meine Meinung nach…
Gibt,es zu viele Distributionen.
Ich, würde lieber was bezahlen.
Und,das System läuft. Auf, mit guten Datenschutz.
Wenn,dann noch die Codes offen sind.
Das, jeder der Ahnung hat. Ein,Blick drauf werfen kann.
Dafür,auch Geld bekommt…..
Da,wäre es für den normalen Nutzer einfacher….
Danke,für die Klasse Videos.
Ich habe Windows gerade erst hinter mir gelassen und fordere nun die Linuxgemeinde auf, das offenbar angestrebte Cyber Polygon Event zu bedenken und auf sicher sichere Pakete abzustellen ! Ohne viel Linuxwissen zu besitzen, habe ich einige ( meiner Logik folgend ) sichere Distri Versionen auf Sticks gebraten und teilweise bereits auf Festplatten konfiguriert und die Rechner zur Seite gestellt .
Sempervideo hat auch schon ein video drüber gemacht
Morpheus Tutorials auch (das ausführlichste und technischste von den dreien, meine Meinung nach)
Sicher, aber jeder von uns hat einen anderen Blickwinkel auf das gleiche Thema, das macht dann wahrscheinlich alle drei Videos nahrbar :)
@@LinuxGuides Ja, alle drei haben für Laien viel zu viel um den heißen Brei herumgeredet, was für Linuxianer ja irgendwie der Standart zu sein scheint. Viel Gelaber, weniger Ahnung, als man uns Verkaufen will. Was war denn jetzt zu machen? Hm?
Nur an einem Moment war die Linux-Sicherheit noch mehr bedroht... nämlich als ich vorgestern den Befehl sudo umount -all ausgeführt hatte. Das Linux war danach nicht mehr wielderzuerkennen. 😀
Naja, ist schon gegen Cloudcomputing gerichteter Angriff und zum Abgreifen von Daten, vermutlich eher von Firmen und wissenschaftlichen Instituten.
Linux Mint war vor ein paar Jahren auch von einem ähnlichern,intern geführten Angriff betroffen.Gut,dass die community funktioniert und nichts einfach durchreicht.
HA HA, Windows is doch das beste und sicherste OS der Welt!
Jetzt ist das Thema endgültig geklärt. xD
Danke für das Video!
Leider nichts verstanden, bzw. Video nicht geguckt.
Windows ist da auch anfällig für solche Attacken. Und da würde man es evtl. nie herausfinden :)
@@LinuxGuides Ja, vor allem wegen der vielen Closed Source Software! Danke für das Video!
Bei Linux machen die Angriffe viel mehr Spaß das ist wie Moorhuhn schiesen da fliegen die Federn bei den Pinguinen.
@@LinuxGuides Das war ein Scherz!!!1elf
Das war auch einer aber manchmal mag ich nicht das man glaubt es kann nur den anderen passieren. Es soll sich keiner sicher fühlen ob mit Windows, Mac oder Linux.
Danke, das ist schon fast 2 Wochen her :). Eine Frage, wie/Wo kann ich meine Bildschirm Grafik ändern, ich meine die Farben etwas satter etc einstellen, habt Ihr dazu auch ein Video gemacht ? Danke ;)
Danke für die Info, also Linux Mint ist erstmal nicht betroffen?
Nein, wird auch nicht betroffen sein, deswegen :)
@@LinuxGuides
Moin,moin
Danke für die schnelle Antwort, denn das wäre als reiner User auch meine Frage gewesen. :)
Hallo Jean, gibt es eine Liste der betroffenen Distros/Versionen?
Ich bin nicht sicher, das es "zügig" aufgedeckt wurde.
Und wir wissen nicht, wieviele andere Backdoors noch nicht gefuden wurden. So gesehen, ist auch das Konzept des offenen Quellcodes auch etwas gescheitert, wenn es nur durch Zufall aufgedeckt wurde.
Wie sieht es mit MX Linux aus? Muss wohl mal nachschauen.
Hallo, ich nutze noch nicht all zu lange Linux Mint. Soviel ich weiß, ist Mint auf Ubuntu aufgebaut. Ist Linux Mint also nicht von der Sicherheitslücke betroffen?
Er sagt: ist nicht betroffen
Es war also fast niemand betroffen. Und wenn dann auch nur für kurze Zeit 8nd nur unter ganz speziellen Vorraussetzungen .
wer mit Linux arbeitet kann selbst prüfen was für xz-utlis installiert ist und nur ab 5.6 war die Sicherheitslücke vorhanden und mit dem
( Backdoor ) verseucht.
Ich selbst habe das vorher so auch noch nicht gewusst und hab bei mir mal nach geschaut und ich hab die xz-utlis - 5.2.5-2ubuntu1 also nicht verseucht und konnte aufatmen.
Wir können alle unter ubuntu/linuxmint aufatmen :)
Wäre das nicht schon viel schneller ausgerollt worden? In wenigen Wochen kommen doch die neuen LTS-Versionen. Da wäre das doch schon drin gewesen, oder täusche ich mich da? Schon enorm, was da passiert ist. Da Lob ich mir auf jeden Fall meine Linux-Mini Installation, die Gott sei dank keine Rolling-Release Bistro ist.
Ironischer Weise wurde ja gerade per Update diese Sicherheitslücke ins System genommen - also das 'durch Update bist Du sicher' hinkt zumindest.
Klar aber auch, daß nur durch ein (weiteres) Update auch zukünftige Löcher gestopft werden können.
Etwas überrascht bin ich, daß ein Paket quasi den SSH-Zugang unterwandern kann - also ein 'Geht klar, Der ist lieb'-Flag setzt (o.Ä.) - und spätestens hier hätten doch sämtliche Alarmglocken läuten müssen beim Upload des neuen Code - wobei ich, zugegeben - von den Mechanismen unter der Motorhaube meines Linux recht wenig Bescheid weiß.
Schön, daß Das doch recht schnell gefunden und behoben wurde - wie bereits im Video angedeutet ist's fraglich, ob Das auch bei Windows so schnell passiert wäre/passieren könnte, da bei Linux - zumindest theoretisch - JEDER im Quellcode rumlesen kann und mehr Augen sehen halt auch mehr.
... und, ob's knapp vor'm neuen Update passiert wäre ... ist ja blöd, wenn Du einen festen Update-Rythmus fährst aber die Sicherheitslücke erst in einer Woche geflickt wird, weil früher halt kein Update kommt.
So oder so - auch die meisten Win-Rechner werden keinen festen Internet-Zugang (also Zugang von Außen) haben - meine PC's sind allerdings Alle per SSH im LAN erreichbar - wobei meine Terminal-Künste trotz 18-jähriger Nutzung von Linux (Ubuntu & Mint) eher rudimentär sind.
Da schätzt man glatt die Debian-Installation mit altbackenen Paketen.
Ich bin da ziemlich entspannt😎 während andere einen schnapp Anfall bekommen😁 erst muss man es schon nehmen in dem man seine Updates regelmässig macht, war das nicht macht sollte sich kein pc weder noch ein Handy kaufen, denn solche Menschen haben immer noch nicht begriffen das solche Geräte keinen Spielzeug ist man wie einen Lichtschalter ein und aus machen kann, sich für sich grösste Gefahr ⚠️
Ich bin noch Anfänger und verstehe das auch nicht so richtig. Ich weiß nur das ich MX-Linux-KDE verwende und dieses ja auf Arch basiert. Deswegen meine Frage mit Bitte um eine mögllichst verständliche Antwort. Bin ich mit MX-Linux betroffen und wenn ja, was sollte ich jetzt tun. Neu installieren oder Distro wechseln. Oder kann man das garnicht so einfach beantworten? Linux Assistant sagt bei der Sicherheitsprüfung nichts zu SSH.
Hallo bigmory, MX Linux basiert auf Debian, nicht auf Arch. Alles gut, also. Siehe auch meinen vorherigen Post.
@@peterkensing565 Da bin ich ja beruhigt. Danke für die wirklich sehr schnelle Antwort!
MX verwendet die Debian-repos und auch eine ältere xz-Version (5.4.1) und ist daher nicht betroffen.
Dein PC in deinem Heimnetz ist normalerweise nicht dadurch gefährdet. Wenn man nichts anderes eingerichtet hat, kommt von außen keine SSH-Verbindung zu deinem PC zustande. Das verhindert dein Router. Wie im Video gesagt ist die Lücke primär ein Problem für Server, die über das Internet öffentlich erreichbar sind.
Um ganz sicher zu gehen kannst du in deinem Paketverwaltungstool mal nach xz-utils suchen und gucken, welche Version installiert ist. Oder du gibst im Terminal xz -V ein. Das zeigt dir die installierte Version an. Solange da keine 5.6.0 oder 5.6.1 steht sollte alles in Ordnung sein.
@@user-cj1jk9dc3e Bei Arch Linux steht 5.6.1-3, das ist auch in Ordnung. (Klugscheißermodus aus)😁
Einfach mal einen guten Virenscanner entwickeln für Linux.
Laufen Windows die User davon???
So sieht es aus
Ach ja der Herr Sudo.
Dein Freund und Helfer der alles andere obsolet macht XD
Boaaaaa - jetzt hab ich endlich mal den Absprung von Windows auf Linux realisiert, dann so eine Bootschaft. Krass, wo...was...wie..... !! Hab jetzt Linux Zorin Einstieg, bin quasi neuer Linux"er". Soll ich nun wieder auf das sch......Windows zurück ???
Jetzt kann ich Dich hacken und Deine geheime Ponno Sammlung finden!
Alles entspannt. ZorinOS betrifft das nicht.
@@LinuxGuides Puhh.....nochmal Glück gehabt :-). Danke für die schnelle Antwort.
Also verstehe ich das richtig, mit meinem Zorin OS Pro bin ich safe?
Ja
Super, danke. Bin auch noch absoluter Neuling und da kommt man schon ins Grübeln. 😂
iss doch egal, die attacker sind hinter große fische her und nicht nen hans wurst
Meine gute alte Ubuntu 18.04 LTS lacht nur darüber. Aktuellere Versionen sind so grottig geworden - die haben da wohl ne ganze Menge Baustellen die sie bitte erstmal fixen sollen. Bin ein schlechter Betatester - ich brauche mein System super zuverlässig über möglichst lange Zeit stabil up.
Traurig genug, dass das Windows 10 (11 mögen sie bitte erstmal fertig entwickeln) nachts ständig durch Null läuft wenn MS meint es müsse was am System ändern. Meine Bullshit der mich gar nicht betrifft.
War es ein Angriff auf LINUX oder haben Fehler in LINUXX diese Angriffe erst zugelssen?
Primär ersteres :)
Wie genau dieser Angriff funktioniert hat kannst Du hier durchlesen: gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
war ne attack. binary stuff im build von xz versteckt.
Weil du es ansprichst zur Info. Er ist Deutscher, aber arbeitet bei Microsoft in SF
War Tails betroffen?
Liegt daran das Windows seit Jahren auch mit Linux arbeitet und das es irgendwann mal passiert wahr mir eh klar
snork... Naja, gut zu informieren, aber viiieeel zu spaet.
Andere waren schneller, und es betrifft mostly unstable 5.6.0
wobei die meisten Distris bei 5.2.x von xz sind
Kleiner Spaß Seitenhieb: Würden alle Windows benutzen. . .
Da braucht es dann auch schon einen Antivirenschutz.... früher würde man belächelt wenn man von Antivirenschutz bei Linux redete...
Was hätte ein Virenschutz in dem vorliegenden Fall gebracht?
Erstmal Danke. Na na, wer hat bis vor kurzem behauptet dass man kein Antivirus braucht weil Linux so sicher wäre hihi😅 deswegen gebe bitte Tipp welche Antivirus App gut ist womit man auf desktop installieren soll selbst wenn Desktop Version sicher sein sollte. Schließlich weiss man ja nie...interessant wäre auch wer die Lücken bis jetzt missbraucht hat?
Antiviren Software nützt dir in diesem CVE Fall unter Linux gar nichts. Im Gegenteil, es gaukelt nur falsche Sicherheit vor. Besser mal alles das ausschalten, was man gar nicht braucht. Wenn kein ssh gebraucht wird, dann das zB deinstallieren, etc.
@@fonsiswebAbsolut richtig. Ein Virenschutz hätte hier gar nichts gebracht.
bischen weniger die große fresse haben, wegn virenschutz und so !!!!!
Sorry, aber Linux ist das Allerletzte, versuche seit zwei Tagen, diese beschissene Mint Version drauf zu laden. Selbst mein Cousin, der Softentwickler ist, kommt nicht weiter.
Danke fuer nichts.
So - ich geb nun auch mal mein Senf dazu 🧉 Na das möcht ich aber bezweifel - Ich hatte ober habe Linux Mint und mir wurde mein Pc regelrecht zerstört- um es mal kurz zusammen zu fassen : ich hatte ein Update von linux mint 21.1 auf 21.3 - danach ging ein Program nach dem andern nicht mehr - Angefangen über chrome und firefox bis es dann auch auf die restlichen Packete übergrif - letztentlich ging der Pc dann garnicht mehr an - Kurz bevor er sich für immer verabschiedete zeigte er mir nochmals die eingabe console für Python und zeigte mir wer auf meinem Pc zugegrifen hatte , es war das "NOTBOOK VON GUMMIEBÄRCHEN " er hat bei mir den 1. Platz 🏅und sollte sich besser bei mir niemals blicken lassen - Fatzit : Nach der Operation stellte ich fest dass - 2 Ramspeicher - Die festplatte mit dem Betriebsystem - die Grafikkarte und der DVD brenner geschrottet sind. dort muss auch eine Sicherheitslücke sein !?? - Was denkt Ihr ??
Ich denke es ist realistischer, dass dein ramspeicher einfach so kaputtgegangen ist.
@@maikmugato1963 Ja das kann auch sein- Hab ja alles wieder repariert-ist halt nur ärgerlich