Sign up to save your podcasts
Or
Share #55 Severity 10: Die xz-Backdoor
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#55 Severity 10: Die xz-Backdoor
Am 28. März 2024 wurde die Welt der IT in Alarmbereitschaft versetzt: Eine Sicherheitslücke des höchsten Schweregrades trieb ihr Unwesen. Wir arbeiten das Geschehen auf: Was ist passiert? Wie wirkte sich der schadhafte Code aus? Wie wurde er versteckt? Und welche Spuren gibt es in Bezug auf den oder die Täter:innen?
CHAPTERS
(00:00) Intro
(01:09) Mussten wir uns schonmal um ein Security Issue kümmern?
(02:56) Wie wurde das Issue gefunden?
(07:59) Wie wurde die Backdoor eingeschleust?
(13:36) Wer ist Jia Tan?
(23:14) Wie wirkt sich die Backdoor aus?
(25:16) Schweregrad
(28:00) Was ist eine Supply Chain Attack?
(31:19) Was war die Lösung?
(33:36) Was bedeutet das für Open Source?
LINKS
https://www.linkedin.com/pulse/major-security-alert-linux-supply-chain-attack-hits-ssh-bise--txj5e/
https://cybersecuritynews.com/upstream-supply-chain-attack/
https://medium.com/@ttbinternetsecurty/impact-of-supply-chain-attack-on-the-security-of-ssh-server-bc503d753dd3
https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://dnip.ch/2024/05/14/spurensuche-jia-tan-xz/
https://www.proofpoint.com/de/threat-reference/supply-chain-attack
https://www.openwall.com/lists/oss-security/2024/03/29/4/1
https://www.cvedetails.com/vulnerability-list/cvssscoremin-9/cvssscoremax-10/vulnerabilities.html
https://www.cvedetails.com/cve/CVE-1999-0002/
https://www.cvedetails.com/cvss-score-charts.php
https://codenotary.com/blog/backdoor-in-upstream-xz
https://dnip.ch/2024/05/14/spurensuche-jia-tan-xz/
https://open.spotify.com/episode/0C04JlCpMFe07C1XCswbZ9?si=MIZ9RetKQ9GaflcHouzsAA&context=spotify%3Ashow%3A1OIFxTivR0D9clY3sZi4rA
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.pdf
https://www.heise.de/hintergrund/Nach-XZ-Backdoor-Open-Source-Software-als-Risiko-oder-strategischer-Vorteil-9692061.html
https://www.akamai.com/de/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know
https://openwall.com/lists/oss-security/2024/03/29/4
https://pwning.tech/nftables/
https://x.com/fr0gger_/status/1774342248437813525/photo/1
https://dnip.ch/2024/04/02/xz-open-source-ostern-welt-retten
Weiterer Podcast zum Thema:
https://open.spotify.com/episode/0C04JlCpMFe07C1XCswbZ9
View all episodes
By UNMUTE IT | Podcast
5
11 ratings
Am 28. März 2024 wurde die Welt der IT in Alarmbereitschaft versetzt: Eine Sicherheitslücke des höchsten Schweregrades trieb ihr Unwesen. Wir arbeiten das Geschehen auf: Was ist passiert? Wie wirkte sich der schadhafte Code aus? Wie wurde er versteckt? Und welche Spuren gibt es in Bezug auf den oder die Täter:innen?
CHAPTERS
(00:00) Intro
(01:09) Mussten wir uns schonmal um ein Security Issue kümmern?
(02:56) Wie wurde das Issue gefunden?
(07:59) Wie wurde die Backdoor eingeschleust?
(13:36) Wer ist Jia Tan?
(23:14) Wie wirkt sich die Backdoor aus?
(25:16) Schweregrad
(28:00) Was ist eine Supply Chain Attack?
(31:19) Was war die Lösung?
(33:36) Was bedeutet das für Open Source?
LINKS
https://www.linkedin.com/pulse/major-security-alert-linux-supply-chain-attack-hits-ssh-bise--txj5e/
https://cybersecuritynews.com/upstream-supply-chain-attack/
https://medium.com/@ttbinternetsecurty/impact-of-supply-chain-attack-on-the-security-of-ssh-server-bc503d753dd3
https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html
https://www.openwall.com/lists/oss-security/2024/03/29/4
https://dnip.ch/2024/05/14/spurensuche-jia-tan-xz/
https://www.proofpoint.com/de/threat-reference/supply-chain-attack
https://www.openwall.com/lists/oss-security/2024/03/29/4/1
https://www.cvedetails.com/vulnerability-list/cvssscoremin-9/cvssscoremax-10/vulnerabilities.html
https://www.cvedetails.com/cve/CVE-1999-0002/
https://www.cvedetails.com/cvss-score-charts.php
https://codenotary.com/blog/backdoor-in-upstream-xz
https://dnip.ch/2024/05/14/spurensuche-jia-tan-xz/
https://open.spotify.com/episode/0C04JlCpMFe07C1XCswbZ9?si=MIZ9RetKQ9GaflcHouzsAA&context=spotify%3Ashow%3A1OIFxTivR0D9clY3sZi4rA
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223608-1032.pdf
https://www.heise.de/hintergrund/Nach-XZ-Backdoor-Open-Source-Software-als-Risiko-oder-strategischer-Vorteil-9692061.html
https://www.akamai.com/de/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know
https://openwall.com/lists/oss-security/2024/03/29/4
https://pwning.tech/nftables/
https://x.com/fr0gger_/status/1774342248437813525/photo/1
https://dnip.ch/2024/04/02/xz-open-source-ostern-welt-retten
Weiterer Podcast zum Thema:
https://open.spotify.com/episode/0C04JlCpMFe07C1XCswbZ9
More shows like UNMUTE IT
View all
Freak Show
10 Listeners
Stay Forever - Retrogames & Technik
32 Listeners
Geschichten aus der Geschichte
186 Listeners
heiseshow
3 Listeners
Lage der Nation - der Politik-Podcast aus Berlin
263 Listeners
Hotel Matze
137 Listeners
Alles gesagt?
127 Listeners
Index out of bounds | Entwickler/Developer Podcast
0 Listeners
Female TechTalk
0 Listeners
Engineering Kiosk
0 Listeners
Besser Wissen
0 Listeners
KI-Update – ein heise-Podcast
3 Listeners
Passwort - der Podcast von heise security
3 Listeners
Frauen und Technik – mit Eckert und Wolfangel
0 Listeners
Fest & Flauschig
12 Listeners