Neues aus der Linuxwerkstatt: Pipewire verantwortlich?

An manchen Tagen komme ich mir vor, als wenn ich eine Linuxwerkstatt hätte, statt einen PC mit einer Stableversion von Fedora. Da bin ich öfters im Redhat Bugtracker als auf meiner eigenen Webseite.

Neues aus der Linuxwerkstatt: Pipewire verantwortlich?

Der.. nein, sagen wir lieber „ein“ aktueller Fall in der Werkstatt ist das Unvermögen von Firefox Netflix über Wochen sauber abzuspielen ohne Probleme auf die oder andere Art zu produzieren.

Was war geschehen?

Am 2. Mai hatte Firefox beschlossen, daß ich zwar von Netflix den Ton hören dürfte, aber das Video wäre jetzt Privatsache vom Videodecoder. Die Bilder stockten also, insgesamt war alles im Firefox zäh wie Sirup. Die Probleme mit Netflix dauerten auch bis in den nächsten Tag an, wobei auch Webseiten sirupartig waren. Auf einem Ryzen 5600 mit RTX 4060 ist das eher kein Hardwareproblem.

Der Verdacht lag nahe, daß Firefox statt die GPU zu verwenden beschlossen hatte die CPU die ganzen bunten Dinge berechnen zu lassen, was zu immensen Performanceproblemen führen würde. Nach ein paar Stunden des selben Tages gab sich das Problem, was aber nicht an Firefox lag wie sich rausstellte.

Da es ein gstreamer Update gab, daß zeitlich korrelierte, habe ich mal ein Ticket im Bugzilla von Redhat aufgemacht, prompt hat sich da ein anderer User gemeldet, der ähnliche Probleme mit Firefoxplayback auf einer AMD RT 6800 hatte.

Die Zeit vergeht… alle sind ratlos

Die zeit vergeht, alle sind ratlos, dann schlägt das Schicksal erneut gnadenlos zu: Letzte Nacht stoppt Netflix mit dem gleichen Problem während ich ein Video mit OpenShot geschnitten habe. Also erstmal Firefox neugestartet, aber das half nichts. Dann gesagt: „nicht so wichtig“ und mich ums Video gekümmert. Das habe ich mir mit Celluloid ansehen wollen und was muß ich feststellen? Kein Videoplayback, nur Ton. „Oh oh“

Nichts geht mehr

Celluloid, MPV, Totem produzierten ALLE das gleiche Muster, nicht mal die Fortschritte auf den Zeitskalen wurden durchgezählt, die Videos zeigten nur das erste Bild vom Video was üblicherweise Schwarz ist, so daß man das nciht direkt merkt. Zum Glück hatte ich ein anderes Video das direkt ein Bild da hatte. Skippe man im Video rum, kamen auch anderen Standbilder raus.

Um Kernelprobleme auszuschließen habe ich rebooted, aber das half rein gar nichts. Alle Videoplayer zeigten das gleiche Bild ( sprichwörtlich ) … „wirklich alle?“ Nein, ein kleiner, oft völlig unbedachter Videoplayer trotzte dem Problem und spielte weiterhin alle Videos perfekt ab. Und an dem Punkt geht einem ein Licht auf.

Der Player war FFPLAY from FFMPEG Paket. Das heißt, alle anderen Videoplayer und Firefox müssen etwas gemeinsam haben: Pulseaudioplayback.

Der Workaround

Ums Kurz zu machen: sobald jemand via Pulseaudio auf das den HDMI Ausgang meiner Nvidiakarte wollte, stockte das Video, aber der Ton ging sauber durch, was  völlig GAGA ist, weil das kein bisschen was mit Grafiken zu tun hat.

Ich denke folgendes ist passiert: Pipewire läuft ja unter der Haube von Pulse und ist für Video und Audio zuständig. Das hat ein Problem mit dem HDMI Device gehabt. Das muß aber in der User-Config persistent gespeichert sein, also quasi blanker Unsinn im State File oder so etwas in der Art, weil es ja rebootfest war und das geht nur, wenn sich jemand den „Zustand“ von dem Device irgendwo auf der Platte merkt!

Ich habe dann einfach mal das Device via PulseAudio-Lautstärkeregler abgeschaltet, so daß alle Audiostreams über das Mainboard liefen und was soll ich sagen : 100% alle Probleme verschwunden. Alle Player funktionierten wieder 1a.

Nach dem das Ausgabegerät wieder auf dem selben Weg eingeschaltet wurde, liefen die Player auch mit dem HDMI Gerät wieder einwandfrei.

Im Bugtracker wird fleißig am Problem gearbeitet, sollte also bald gefixt sein.

Follow-Up: xz-utils / liblzma backdoored

Lasse Collin, der Original Author von XZ, hat sich des Problems bereits angenommen und andere Änderungen zurück genommen, die von dem „Jin Tan“ Angreifer gemacht wurden.

Follow-Up: xz-utils / liblzma backdoored

z.B. wurde die Sandbox wieder aktiviert, die absichtlich sabotiert wurde:

https://git.tukaani.org/?p=xz.git;a=commitdiff;h=f9cf4c05edd14dedfe63833f8ccbe41b55823b00

Das bedeutet für XZ, daß wir bald sehr viel mehr zu dem Ausmaß dieses Angriffsversuches wissen werden.

Im Gegensatz zu Fedora Devs auf der Mailingliste, hat das FOSS Sicherheitssystem versagt, weil die ganze Sache nur durch Zufall, nicht durch  Codereviewing wie es für OpenSource eigentlich gedacht ist, entdeckt wurde. Es gibt also noch viel zu verbessern, z.B. resultiert das ursprüngliche Problem darin, daß liblzma in Systemd verlinkt ist, damit der JournalD die Logfiles komprimieren kann. Zwei andere Kompressionsbibliotheken sind aber auch aus dem gleichen Grund eingebunden. Hier ist also eine einfach Möglichkeit die Angriffsfläche zu reduzieren, was im Umkehrschluss bedeutet, daß das erwählt Kompressionssystem besser überwacht werden wird, weil es das muß.

Wer mal wissen will, wann der Angriff in  die Tat umgesetzt wurde:

https://git.tukaani.org/?p=xz.git;a=commit;h=6e636819e8f070330d835fce46289a3ff72a7b89

Da kann man auch die Emailadresse des Angreifers sehen, vielleicht kennt ja wer wen bei der Google Security.

xz-utils / liblzma backdoored

Was für ein Morgen, wenn man so etwas liest, dann kräuseln sich einem erst einmal die Nägel. Aber fangen wir vorn an:

Die XZ Utilities beinhalten u.a. das XZ Kompressionsprogramm, was aber nicht Ziel des Angriffs war, sondern die Libs, die andere Programm benutzen um XZ und LZ Kompressionen durchzuführen. Das sind Kompressionsverfahren, die teilweise noch aus tiefster Vergangenheit stammen. In den 80er hatten wir auf dem Amiga schon LZH Kompressionsprogramme, die komprimierte Archive erzeugt oder ausgepackt haben.

XZ ist eine aktuelle Weiterentwicklung davon, die u.a. für die Kompression des Linuxkernelimages in /boot benutzt wird.

xz-utils / liblzma backdoored

Ohne Euch zu sehr mit Details zu nerven, zunächst mal was wir wissen:

Der Angriff wurde seit ~2.5 Jahren vorbereitet.

Ein GitAccount namens „Jin Tan/JinT75“ unterstützte den Author von XZ Lasse Collin vor 2-2.5 Jahren das erste mal offiziell. Erwähnt wird er von Collin im Juni 2022 im Zuge des JAVA Teils von XZ. Aus dem Post von Collin geht hervor, daß der User schon seit einiger Zeit hinter den Kulissen mit Collin kommuniziert und „Aushilft“.

Das XZ Projekt wird von Collin als Hobbyprojekt klassifiziert, da er auch quasi der Einzige ist, der daran Änderungen macht. Das dürfte der Grund sein, wieso sich die Angreifer XZ ausgesucht haben, denn Collin gibt in dem Post selbst an, daß er Psychische Probleme hat und sich nicht um das Projekt kümmern kann.  Da sind ideale Voraussetzungen für die Angreifer, da er ein dankbares Ziel für Hilfe ist.

Durch die Kette, das Systemd auf die XZ liblzma setzt und SSH mit Systemd daher angreifbar ist, machte XZ zum Ziel. Auch andere externe Teile, die von SSH genutzt werden, könnten betroffen sein, nur das da noch keiner nachgesehen hat.

Betroffen sind bislang nur Paketversionen >= 5.6.0 xz-libs

Die offensichtlichen Backdoor Commits auf Github sind bislang nur für die Version 5.6.0 und 5.6.1 identifiziert worden.
Bei Debian läuft aber eine Diskussion, ob man nicht auf 5.3.1 zurück gehen müßte, weil da die ersten, nicht eindeutig zuordenbaren Commits von „Jin Tan“ beginnen. Es müsse schliesslich alles als Teil der Backdoor angesehen werden.

Natürlich würde ein Angreifer den Author erstmal mit hilfreichem Code anfixen, so daß er Vertrauen aufbaut. Insofern sind vermutlich nicht alle Codezeilen ein Problem. Wissen kann man das natürlich nicht, da die Backdoor vielleicht nur die neueste Ausartung des Angriffs darstellt.

Nehmen wir an, im Code wurde ein Bufferoverflow eingebaut, mit dem ein RCE möglich ist, wenn z.b. ein TAR Archiv ausgepackt wird. Das könnte schon vor 2 Jahren in den 5.4er Zweig eingebaut worden sein, insofern ist die Annahme, das alles von „Jin Tan“ Schadcode ist vernünftig und alles muß überprüft werden.

Der Bugtracker von Debian ist überlastet, wenn Ihr da Heute am Tag des Postings draufklickt, nicht wundern wenn es lange dauert, oder gar nicht geht: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024

Debian und Redhat Buildinformationen triggern die Backdoor beim Bau

Im Makefile der Backdoor gibt es Hinweise darauf, daß die diese nur funktioniert, wenn glibc, der gcc und der Gnu Linker ld vorhanden ist. Für andere Plattformen wird die Backdoor nicht gebaut. Gleichzeitig gibt es Filter für X86_64 Architekturen, Debian und Redhatbasierte Distrokennungen.

OpenSUSE, Redhat,Fedora, Debian und Ubuntu haben reagiert

wobei hier anzumerken ist, daß der Versuch den Patch bei Ubuntu unterzubringen gefailed ist. Da war die Betafrist für die neue Version kurz vor dem Ablauf und den Ubuntu Leuten zu heikel. Gute Prinzipien helfen offenbar.

Fedora 38, 39 und alle Mobility Images sind bislang nicht betroffen

Fedora 38 und 39 basieren noch auf der 5.4.1 Version von XZ und sind daher bislang nicht betroffen. Fedora Mobility basiert auf Fedora 39.

Bitte daran denken, daß sich das ändern kann, wenn Schadcode in Form von Bufferoverflows im bisherigen Code auftauchen.

F40 soll vorsichtshalber reagieren, ist aber eh noch Beta, F41 ist abzuschalten.

Reguläre Benutzer werden noch nicht betroffen sein, daß Fedora 40 in der 5.6.0 erstmals auftaucht noch in der Betaphase ist und daher nicht produktiv ist Einsatz sein sollte. Für Fedora 40 wird auch ein Downgrade vorbereitet. Fedora 41 ist Bleeding Edge Software, das sollte niemand ernsthaft einsetzen.

Der Hack besteht am Ende aus einem unautorisierten Login via SSH

Die Kette von Ereignissen der Backdoor führt in letzter Konsequenz zu einem unautorisierten Login via SSH, zumindest war das die Absicht. Laut Analysen des getarnten Codes analysiert der Schadcode den Login kryptographisch. Da ein direkter Login mit einem beliebigen User nicht möglich ist, das würde schliesslich sofort auffallen, weil alle Botnetze direkt Zugriff bekommen würden, wird hier wohl zusätzlich ein Key ausgewertet.

Vermutung – Wer steckt hinter dem Angriff?

Hier müssen wir vorsichtig sein, weil einiges suspekt aussieht, es aber vielleicht nicht ist.

Vor einer Stunde ( 9:30 Ortszeit ) wurden Informationen gepostet, daß die Authorengruppe zu der auch der „Jin Tan“ Account zählt, an einer Unzahl von OSS-Projekten beteiligt war, die fast alle Kryptographischen Bezug haben z.B.:

That actor is involved in so many PR/commits/review in openssl and systemd, protobuf-c. llvms, util-linux. torvalds/linux, make-ca, cpython, curl, libxcrypt, dosbox-x, rust
16 repo contributed to this year, 47 repos in 2023, 38 in 2024.
Some of his PRs are reviewed in conjunction with xen0n or xry111 is reviewing PRs from him. xen0n has contributed 36 repos this year, 101 in 2023 and 136 in 2024.

Quelle: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

Die Gruppe versucht die LOONGSON Architektur in die Software einzupflegen, jetzt ratet mal, wessen CPUs das sind. Genau: Die neuen CPUs der Chinesen.  Da ist natürlich der erste Reflex ein Selbstläufer 😉

Die meisten Commits sind allerdings für den XZ Angriff irrelevante Anpassungen, da sie sich nur auf als LOONGSON gebaute Programme beziehen. Ein Generalverdacht existiert nicht.

Der Author des obigen Posts wurde dann von anderen korrekter weise darauf hingewiesen, daß er hier keine unbewiesenen Anschuldigungen machen soll, einige der LOONGSON Gruppen wären persönliche Bekannte. Fragt sich nur, von wem, denn auch über diese Leute wissen wir rein gar nichts 🙂

Ihr könnt erkennen, das driftet derart schnell in Verschwörungstheorien ab, da muß man richtig vorsichtig sein.

Fakt ist: die Backdoor ist da.

Alles andere muß sich finden, in dem die Repobesitzer die Commits der Verdächtigen überprüfen und zur Aufklärung beitragen.

Wer hier helfen will und abgedrehte C Erfahrungen hat , z.b. Fefe, die können ja mal die 700 Commits von „Jin Tan“ im XZ Repo unter die Lupe nehmen. Bei Exploitcode für C bin ich praktisch raus.

Quellen:

https://boehs.org/node/everything-i-know-about-the-xz-backdoor

https://www.mail-archive.com/xz-devel@tukaani.org/msg00567.html

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1067708

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024

TheSameSam Gist zum XZ Vorfall