“Most of us would have blamed the network, rebooted something, and moved on with our day. He didn’t.”
Am 29. März 2024 veröffentlichte Andres Freund, ein Microsoft-Entwickler und PostgreSQL-Contributor, eine E-Mail auf der Openwall-Mailingliste, die die Open-Source-Community in Aufruhr versetzte. Der Betreff: “backdoor in upstream xz/liblzma leading to ssh server compromise”. Was als routinemäßige Performancemessung begann, endete mit der Entdeckung einer der raffiniertesten Backdoors, die jemals in Open-Source-Software eingeschleust wurden.
Die Schwachstelle CVE-2024-3094 erhielt den maximalen CVSS-Score von 10.0 – kritisch im wahrsten Sinne des Wortes. Denn wäre sie nicht entdeckt worden, hätte ein unbekannter Angreifer potenziell Zugriff auf Millionen von Servern weltweit gehabt. Ein Video auf YouTube erklärt die technischen Details anschaulich – doch die eigentliche Geschichte ist weitaus erschreckender.
[Mehr]