avatar_gosia

xz-utils durch eine Sicherheitslücke gefährdet

Begonnen von gosia, 10. April 2025, 19:18:07

« vorheriges - nächstes »

0 Mitglieder und 1 Gast betrachten dieses Thema.

Nach unten Seiten1

gosia

10. April 2025, 19:18:07
In der Kompressions-Bibliothek xz-utils wurde eine Sicherheitslücke entdeckt, die zumindest zu einem Absturz führen kann (Denial of Service), aber unter Umständen auch das Einschleusen von Schadcode ermöglicht.
Der single-threaded .xz Decoder (lzma_stream_decoder) ist nicht betroffen. Die Befehle 
xz --decompress --threads=1
und 
xzdec
verwenden den single-threaded Decoder, sind also nicht betroffen.
In den xz-Utils Version >= 5.8.1 wurde der Fehler schon behoben. Auch für die älteren Versionen 5.4 und 5.6 steht schon ein entsprechender Sicherheitspatch bereit. Ein möglich zeitnahes Update ist also angesagt.

https://www.heise.de/news/XZ-Utils-Schwachstelle-ermoeglicht-vermutlich-Codeschmuggel-10343043.html
https://www.livewatch.de/de/news/lesen/achtung-vor-sicherheitslucke-in-xz-utils-was-passiert-ist-und-warum-es-wichtig-ist

PS.
Ironischerweise war xz schon vor ca. einem Jahr von einer Sicherheitslücke betroffen.
https://systemdfree.de/index.php/topic,680.0.html
Nach oben Seiten1