In der Kompressions-Bibilothek XZ wurde eine Sicherheitslücke entdeckt. Die lässt sich wahrscheinlich zum Einschleusen von Schadcode missbrauchen. Aktualisierter Quellcode steht bereit, der muss es nun in aktualisierte Software schaffen.
Die Schwachstelle behandelt eine Sicherheitsmitteilung auf Github. "Ungültige Eingabedaten können zumindest in einen Absturz münden", erklären die Autoren. "Die Effekte umfassen eine Nutzung des Heaps nach einer free-Operation sowie das Schreiben an eine Adresse basierend auf dem Null-Pointer zuzüglich eines Offsets", schreiben sie weiter. Apps und Bibliotheken, die die Funktion lzma_stream_decoder_mt nutzen, sind betroffen (CVE-2025-31115, CVSS 8.7, Risiko "hoch").
Der Single-Thread-Decoder lzma_stream_decoder weist den sicherheitsrelevanten Fehler nicht auf. Der kommt etwa beim Aufruf von xz --decompress --threads=1 oder von "xzdec" zum Einsatz, was jedoch eher selten derart genutzt werden dürfte. Die XZ-Tools kommen im Hintergrund an vielen Stellen und in vielen Projekten zum Einsatz – daher wohl auch die hohe Risikoeinstufung.
Den Fehler korrigieren die XZ-Utils in Version 5.8.1 und neuer. Die Patches haben die Entwickler auch für die älteren Entwicklungszweige 5.4, 5.6, 5.8 und dem "master"-Branch des xz-Git-Repository (zurück-)portiert. Für die alten "stable"-Branches gibt es keine neuen Release-Pakete, aber einen Standalone-Patch verlinkt die Sicherheitsmitteilung auch hierfür.
Die XZ-Utils aktualisieren mehrere Linux-Distributionen bereits. Da sie jedoch auch in diversen anderen Softwarepaketen zum Einsatz kommen, etwa in SSH, müssen diverse Apps und Dienste Aktualisierungen vornehmen und verteilen. Das betrifft natürlich auch diverse Programme, die unter macOS und Windows laufen.
Die bis dahin weitgehend unbeachtete XZ-Bibliothek kam im vergangenen Frühjahr zu eher zweifelhaften Ruhm, als mutmaßlich asiatische Kriminelle versuchten, eine Hintertür in den Code einzubauen. Sie nutzten dafür aus, dass der Maintainer psychisch stark belastet war und drängten am Ende auf die Aufnahme des bösartigen Codes bis etwa in Mainstream-Linux-Distributionen. Ein aufmerksamer Entwickler stieß auf die unterwanderte Software, weil ein fehlgeschlagener SSH-Log-in rund 500 Millisekunden länger dauerte als auf anderen Systemen mit älterer liblzma-Fassung.
(
Kommentare