Digi-Terras.
Beste lezers, na een paar daagjes Pasen gaan we vandaag weer verder met onze wekelijkse Digi-Terras blog met daarin een lek in de software van Linux. Normaal gesproken is Linux een vrij betrouwbaar besturingssysteem waar je normaal niet zoveel over hoort omdat het betrouwbaar is, plus daarnaast is het voor programmeurs prettig om zelf applicaties te kunnen bouwen in de gesloten kernal van Linux. Voor de commerciële gebruikers onder ons zijn Linux Mint, Ubuntu, en Debian en Red Hat de bekende bestedingspakketten van Linux die tevens ook genoeg worden ondersteund. Na vele jaren niks te hebben gehoord over hacks in Linux is er toch een kwetsbaarheid ingeslopen in de software van Linux. We zullen hieronder in onze wekelijkse Digi-Terras blog Linux wat nader toelichten omtrent waar de kwetsbaarheid ligt.
Kwetsbaarheid ontdekt in software Linux.
Het DTC ontdekte onlangs een kwetsbaarheid in de software van Linux. De mensen van DTC vonden een achterdeur in de software library liblzma van XZ Utils. XZ Utils is voornamelijk een datacompressieapplicatie die in veel versies van het besturingssysteem Linux voorkomt. De kwetsbaarheid wordt aangegeven als CVE-2024-3094 en heeft een CVSS-score van 10 gekregen. Dit is de hoogst mogelijke CVSS-score. Het NCSC duidt de kwetsbaarheid aan als High. Er is dus een grote kans dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn in de nabije toekomst. (Persoonlijk gezien denk ik dat de bekwame freelance programmeurs van Linux dit probleem wel snel zullen oplossen).
Wat is er precies aan de hand met de software van Linux...
De kwetsbaarheid betreft een achterdeur in de software die door een aanvaller gebruikt kan worden om zonder inloggegevens toegang te krijgen tot een systeem. Het is onduidelijk wat er precies nodig is voor het omzeilen van authenticatie. De code die deze achterdeur mogelijk maakt zit verscholen in bepaalde versies 5.6.0 en 5.6.1 van de software XZ Utils. Deze software is in veel verschillende Linux-versies aanwezig. Op dit moment lijkt het erop dat kwetsbare versies van XZ Utils nog niet zijn opgenomen in de meest gangbare producties van verschillende Linux-distributies.
Wat kan je het beste doen...
Maak je in je organisatie gebruik van Linux dan adviseert het DTC om zo snel mogelijk te controleren of de kwetsbaarheid in het systeem aanwezig is en eventueel gebruik wordt. Zie hiervoor de beveiligings adviezen van de verschillende distributies waaronder Red Hat en Debian vallen. Het is mogelijk om zelf met het volgende commando na te gaan welke versie van XZ Utils geïnstalleerd staat: xz -V. (Gaarne deze kwetsbaarheid overlaten aan gekwalificeerde Linux programmeurs).
Voorbeeld:
root@srv:~# xz -V
xz (XZ Utils) 5.4.2
liblzma 5.4.2
Als blijkt dat je gebruikmaakt van een kwetsbare versie 5.6.0 en 5.6.1 van XZ Utils dan is het advies om zo spoedig mogelijk deze versies te laten verwijderen en gebruik te maken van een oudere versie.
Linux.
Voor de meeste mensen die niet weten wat Linux is en wat het kan zal ik het even kort toelichten. Alles in Linux is geordend in mapjes. Zelfs de harde schijven en de Cd-spelers zijn mapjes. Die mapjes kunnen weer submapjes hebben. Elk mapje en elk bestand in een mapje heeft een eigenaar. Daarnaast heb je de almachtige root. Het beginmapje is de / oftewel de root. Het teken schijnt op een wortel te lijken, vandaar de naam: root is het Engelse woord voor wortel. Degene die de eigenaar is van een map, is tevens eigenaar van alle submapjes en van de submapjes daar weer van. Bij de beginmap, de root, is dat de beheerder. Die heeft daarom rootbevoegdheid over het hele systeem, de root is dus almachtig. Linux is een besturingsysteem dat er net zo uitziet als Windows, alleen Linux heeft een gesloten kernal waar men in kan en mag programmeren, dit in tegenstelling tot Windows.
Ok mensen, dit was weer de wekelijkse Digi-Terras blog met daarin de besproken software hack in de software van Linux. Wij van Digi-Terras vonden het belangrijk om dit even te vermelden voor de Linux programmeurs onder ons, de volgende keer gaan we weer even wat luchtigers bespreken.
Mvg,
Marcello. Android & Apple.
John. Linux & Windows.
Walther. Public Relations.
Kevin. Hub Base Web Design.
(Bereikbaar op Whatsapp en Telegram voor vaste klanten).
(Digi-Terras is tevens op zoek naar ict vrijwilligers/freelancers en web developers).