XZ Utils 5.8.3: Sicherheitsupdate mit unklarem Risiko

Die Version 5.8.3 der XZ Utils stopft unter anderem Sicherheitslecks. Über deren Schweregrad herrscht Uneinigkeit. Admins sollten zur Sicherheit nach aktualisierten Paketen Ausschau halten und diese zeitnah installieren.

Die Release-Ankündigung der XZ Utils 5.8.3 listet die Änderungen auf. Sie bessert eine Schwachstelle in der Funktion lzma_index_append() aus, die in einen Pufferüberlauf münden kann – „unter Bedingungen, die wahrscheinlich nicht in einer echten App existieren“, wie die Programmierer schreiben (CVE-2026-34743). „Die lzma_index-Funktionen werden selten direkt von Anwendungen verwendet. In den wenigen Anwendungen, die diese Funktionen nutzen, ist es unwahrscheinlich, dass die Kombination von Funktionsaufrufen vorkommt, die diesen Fehler auslöst, da es in der Regel keinen Grund gibt, Records an einen dekodierten lzma_index anzuhängen“, liefern sie als Einschätzung.

Auf der OSS-Sec-Mailingliste springt Gentoo-Entwickler Sam James der Einschätzung bei, dass die Lücke eine unübliche Nutzung einer selten aufgerufenen API voraussetzt. Das IT-Sicherheitsunternehmen Tenable schätzt die Lücke hingegen als Risikostufe „kritisch“ ein. Auch das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt auf einen CVSS-Score von 9.8 mit Risiko „kritisch“.

XZ Utils: Weitere Schwachstelle korrigiert

Die aktualisierte Fassung der XZ Utils korrigiert außerdem ein Problem, das in Speicherzugriffen auf dafür nicht vorgesehene Bereiche münden kann – zumindest auf 32-bittigen Systemen und mit einigen Vorbedingungen. Die Lücke hat keinen CVE-Schwachstelleneintrag erhalten.

Die Sicherheitslücke CVE-2026-34743 betrifft die XZ Utils ab Version 5.0.0. Die Entwickler veröffentlichen keine neuen Versionen der Entwicklungszweige 5.2.x, 5.4.x oder 5.6.x, haben jedoch die Fehlerkorrekturen in das xz-Git-Repository eingepflegt. Bei Bedarf können Betroffene sich die aktuellen Quellen dort ziehen und selbst kompilieren.

IT-Verantwortliche sollten die Verfügbarkeit von aktualisierten XZ-Util-Paketen bei ihren eingesetzten Distributionen prüfen und diese zeitnah anwenden. Slackware hat inzwischen xz aktualisiert. Debian listet die verwundeten Distributionsversionen auf, hat jedoch noch keine Gefahreneinschätzung vorgenommen und bietet noch keine aktualisierten Pakete an.

Die Kompressionsbibliothek xz war vor zwei Jahren Auslöser für einen Beinahe-GAU. Geheimdienst-Agenten haben Hintertüren in den Code eingeschleust, der als Basisbaustein von vielen weiteren Software-Anwendungen genutzt wird.

(dmk)