Anzeige

Am Puls von Microsoft

Anzeige

Hinweis Für die WSL-Nutzer: Schwere Sicherheitslücke in bestimmten Distributionen

Kevin Kozuszek

Moderator
Teammitglied
Kurzer Servicehinweis:
Momentan macht im Linuxumfeld eine schwerwiegende Sicherheitslücke die Runde, die alle Rolling-Release-Distributionen betrifft, die auf .deb- oder .rpm-Pakete setzen. Dazu gehören Debian Testing/Unstable, Fedora 40/Rawhide, openSUSE Tumbleweed, openSUSE MicroOS, aber auch Arch Linux soll davon betroffen sein.

Zumindest openSUSE Tumbleweed gibt es auch als WSL-Distribution im Microsoft Store, deswegen schreibe ich das hier.

Der Backdoor steckt in den xz-utils und soll außerdem die Nutzung von glibc voraussetzen. In die Sicherheitslücke hat jemand sehr viel Arbeit reingesteckt, die Kollegen bei Linuxnews sprechen von jahrelanger Vorbereitung, die dafür notwendig gewesen sein muss. Jedenfalls gibt es mittlerweile reparierte Pakete und es wird dringend empfohlen, einmal den Paketmanager - im Falle von openSUSE Tumbleweed wäre das zypper ("sudo zypper up -y") - anzuschmeißen und alle Update durchlaufen zu lassen, bevor man irgendwie anders mit der Distribution arbeitet. Ich verlinke euch den Artikel von Linuxnews mal hier, da gibt es mehr Informationen.

 
Anzeige
Der Patch für Tumbleweed kam gestern. Datei ist vom 28.3.2024.
 

Anhänge

  • Screenshot_20240330_164859.png
    Screenshot_20240330_164859.png
    32,6 KB · Aufrufe: 21
Zuletzt bearbeitet:
Kurze Info:
Was openSUSE Tumbleweed betrifft, werden die Entwickler sämtliche Pakete, die die Linux-Distribution bei einer normalen Installation ausspuckt, neu bauen. Wer das Betriebssystem also über WSL 2 nutzt, wird sich demnächst auf ein Update zwischen 2.000 und 4.000 Paketen freuen dürfen...

 
Die Totalaktualisierung (> 3000 Pakete) kam bei mir bei auf SSD installierter Version schon am Sonntag.
Wer das außerhalb Windows installiert hat, sollte vor der Aktualisierung das grafische System mit init 3 beenden und die Aktualisierung im Terminal ausführen mit zypper refresh und zypper dup.
 
Zuletzt bearbeitet:
Nebenbei hat auch Debian, obwohl der stabile Zweig davon nicht betroffen ist, die Veröffentlichung von Debian 12.6 Bookworm bis auf Weiteres zurückgehalten. Da wollen sie auf Nummer sicher gehen und schieben das nächste Point Release, was auch für WSL relevant ist, lieber etwas nach hinten.
 
Die Beta von Ubuntu 24.04 wurde jetzt ebenfalls um eine Woche auf den 11.04. verschoben. Canonical geht hier auch auf Nummer sicher, die stabile Veröffentlichung soll nach jetzigem Stand trotzdem am 25.04. erfolgen.
 
Anzeige
Oben