Thread CVE-2024-3094 Vulnerable Module wegen liblzma / xz tools ? (11 answers)
Opened by GwenDragon at 2024-04-02 11:06

haj
 2024-04-02 15:44
#195993 #195993
User since
2015-01-07
531 articles
BenutzerIn

user image
Das wird davon abhängen, wo sich das Modul die Sourcen holt. Aktuell in der CPAN-Distribution von Alien::xz ist die Adresse auf https://xz.tukaani.org/ verdrahtet, und die ist abgeschossen worden. Auch das zugehörige GitHub-Repository ist nicht mehr online. Man kann's also derzeit gar nicht installieren.

Wer sich schon zuvor von der Adresse eine Version mit Backdoor gezogen hat, hat die jetzt auch auf seinem System. Wenn es mal wieder offizielle Versionen von xz geben sollte, dann kann man Graham Ollis anschubsen, auch für Alien::xz ein neues Release zu machen, so dass man es über einen CPAN-Update erhält.

Alien-Module halte ich generell für einigermaßen abenteuerlich. Da holt man sich am System vorbei irgendwelche Software von irgendwoher - und niemand sagt dazu, dass man damit auch den Schwarzen Peter für Updates gezogen hat. Da ist noch mehr Vorsicht angesagt als bei CPAN im allgemeinen!

View full thread CVE-2024-3094 Vulnerable Module wegen liblzma / xz tools ?