Es ist ein Vorfall, der gerade die Welt der Open-Source-Software in ihren Grundfesten erschüttert. Über einen Zeitraum von mehreren Jahren hinweg haben sich Unbekannte beim xz-utils-Projekt eingeschlichen, um dort in einer vielgenutzten Softwarebibliothek zum (De-)Komprimieren von Daten eine sehr gut getarnte Hintertür unterzubringen.

Am Desktop ist das Bild einer schlafenden Katze vor der Softwarezentrale und dem Dateimanager zu sehen. Am linken Bildschirmrand ist das Panel mit Icons für die wichtigsten 'Programme' zu erkennen.
Auch wenn Ubuntu der Unterwanderung entgangen ist, hat der Vorfall nun Konsequenzen.
Proschofsky / STANDARD

Dem aufmerksamen Auge eines einzelnen Entwicklers sowie der Verknüpfung mehrerer glücklicher Zufälle ist es zu verdanken, dass der Unterwanderungsversuch aufflog, bevor er wirklichen Schaden verursachen konnte. So haben es unterwanderte Versionen der xz-utils lediglich in Entwicklungsversionen einzelner Distributionen geschafft, in stabilen Releases waren sie nie zu finden. Trotzdem hat der Vorfall nun für viele Projekte Konsequenzen.

Vorsicht

Das Ubuntu-Projekt hat sich dazu entschlossen, die Beta-Version für das nächste große Update – Ubuntu 24.04 – um eine Woche zu verschieben – und das, obwohl die unterwanderte Version der xz-utils selbst in regulären Vorversionen nie enthalten war. Allerdings wurde sie an jene ausgeliefert, die zusätzlich die Installation von "vorgeschlagenen Updates" aktiviert hatten.

Ubuntu-Hersteller Canonical will angesichts dessen auf Nummer sicher gehen. Angesichts der komplexen Natur der Abhängigkeiten unterschiedlicher Softwarepakete voneinander in der Softwarewelt will man nun sämtliche Ubuntu-Pakete neu erstellen. Damit soll sichergestellt werden, dass nicht irgendwo über eine Unachtsamkeit erst recht unterwanderter Code eingeschleppt wird.

Dieser Prozess, bei dem die ausgelieferten Binärpakete aus dem Quellcode neu erstellt werden, dauert natürlich eine Zeitlang. Also hat man sich für die Verzögerung der Veröffentlichung entschlossen. Zudem wurden sämtliche Ubuntu-24.04-Vorversionen, die seit der Einführung der unterwanderten Version der xz-utils in den "proposed updates" veröffentlicht wurden, gelöscht.

Abschied nehmen

Parallel dazu beginnen bei anderen Open-Source-Projekten die Überlegungen, wie sehr man den xz-utils überhaupt noch vertrauen kann. Immerhin waren der oder die Angreifer dort jahrelang als Maintainer aktiv. Ein Beispiel hierfür ist das fwupd-Projekt, das sich um Firmware-Updates für BIOS/UEFI oder auch viele andere Geräte kümmert und dem damit eine besonders sicherheitsrelevante Position zukommt.

Dessen Entwickler hat nun angekündigt, die Nutzung der xz-utils komplett einzustellen und stattdessen auf das alternative Projekt zstd für die entsprechenden Aufgaben zu wechseln. Dieses sei besser gewartet, zudem ist es sogar etwas effizienter beim Packen von Daten. Eine neue Version von fwupd ohne Abhängigkeit von den xz-utils soll bereits in den kommenden Tagen folgen. (Andreas Proschofsky, 4.4.2024)