https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=XZ_UtilsXZ Utils - Versionsgeschichte2026-05-28T19:26:10ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=XZ_Utils&diff=907747&oldid=previmported>WikiHelper232: Wird nicht mehr verwendet.2025-11-16T19:22:03Z<p>Wird nicht mehr verwendet.</p>
<p><b>Neue Seite</b></p><div>{{Infobox Software<br />
|Logo = <br />
|Screenshot = <br />
|Beschreibung = <br />
|Maintainer = <br />
|Hersteller = Tukaani Project ([[Slackware]])<br />
|Erscheinungsjahr = <br />
|AktuelleVersion = <!-- Wikidata --><br />
|AktuelleVersionFreigabeDatum = <br />
|AktuelleVorabVersion = <br />
|AktuelleVorabVersionFreigabeDatum = <br />
|Betriebssystem = [[Unixoides System|Unix-ähnliche]] ([[Berkeley Software Distribution|BSD]], [[Linux]], [[Solaris (Betriebssystem)|Solaris]])<br />
|Programmiersprache = [[C (Programmiersprache)|C]]<br />
|Kategorie = [[Datenkompressionsprogramm]]<br />
|Lizenz = großteils [[Gemeinfreiheit|gemeinfrei]]<br />
|Deutsch = <br />
|Website = https://tukaani.org/xz/<br />
|Dateien = <br />
}}<br />
<br />
Die '''XZ Utils''' sind eine Sammlung [[Freie Software|freier]] [[Packprogramm|Archivierungsprogramme]] für [[Unixoides System|unixoide Systeme]]. Sie entstanden im Rahmen des ''Tukaani Project'' der Linux-Distribution ''[[Slackware]]''.<br />
<br />
Der Datenkompressionsalgorithmus basiert auf einer angepassten Portierung des [[Lempel-Ziv-Markow-Algorithmus|LZMA]]-Codes des LZMA-SDK auf [[Linux]] und anderen Unix-ähnlichen Plattformen.<br />
<br />
Der Quelltext ist größtenteils [[Gemeinfreiheit|gemeinfrei]], ansonsten unter verschiedenen [[Open-Source-Lizenz|Freie-Software-Lizenzen]].<br />
<br />
== Funktionsumfang ==<br />
<br />
Die ''XZ Utils'' bieten die von den etablierten Linux-Packprogrammen [[gzip]] und [[bzip2]] gewohnte Handhabung gepackter Dateien für den fortschrittlichen Lempel-Ziv-Markow-Datenkompressionsalgorithmus (LZMA) sowie ermöglichen dessen Integration in andere Programme. Dazu haben sie eine sehr ähnliche Bedienung, erledigen ebenfalls das [[Packprogramm|Archivieren]] mehrerer Dateien nicht selbst, sondern setzen dafür auf die Kombination mit reinen Archivformaten wie [[tar (Packprogramm)|tar]] und führen auch ein neues Dateiformat mit vergleichbaren Eigenschaften ([[xz]], siehe unten) ein.<br />
<br />
Die Kompression ist effizienter, aber meist erheblich langsamer als die Kompression mit gzip, bzip2 oder [[RAR (Dateiformat)|rar]], führt dafür jedoch zu um 30 % bzw. 15 % kleineren Ergebnissen als bei gzip bzw. bzip2. Bei LZMA-basierter Kompression ergeben sich mit ausreichend Arbeitsspeicher von den Kompressionseinstellungen weitgehend unabhängige, gleichbleibende Dekompressionszeiten, die in der Regel deutlich unter den variierenden Zeiten von bzip2 liegen, jedoch im Vergleich mit gzip deutlich zurückbleiben.<ref>https://tukaani.org/lzma/benchmarks.html</ref><br />
<br />
Die ''XZ Utils'' bestehen aus mehreren einzelnen Werkzeugen zur Handhabung von xz-Dateien:<br />
; xz: ein Kommandozeilenprogramm, das analog zu gzip oder bzip2 arbeitet und ein nachempfundenes Bedienungskonzept hat <br />
; liblzma: eine [[Programmbibliothek]] mit einer [[Programmierschnittstelle]], die sich an die der [[zlib]] anlehnt<br />
; xzdec: ein reines Dekompressionswerkzeug<br />
Weiterhin gibt es eine Sammlung von [[Unix-Shell|Shell]]-[[Skriptsprache|Skripten]] zur Erleichterung des Umgangs mit xz-Dateien.<br /><br />
Dadurch stehen die Befehle <code>xz</code>, <code>unxz</code>, <code>xzcat</code> und <code>xzgrep</code> (bzw. zur Abwärtskompatibilität zu den älteren ''LZMA Utils'' auch <code>lzma</code>, <code>unlzma</code>, <code>lzcat</code> und <code>lzgrep</code>) zur Verfügung.<br />
<br />
== Datenformat ==<br />
{{Hauptartikel|xz}}<br />
<br />
Die ''XZ Utils'' (wie auch die ''LZMA Utils'') können mit dem [[7z]]-Datenformat der LZMA-Referenzimplementierung(en) (7-Zip, LZMA SDK) nicht umgehen. Sie erzeugen Dateien im eigenen xz-Format, das analog zum gz- und bz2-Format funktioniert. Umgekehrt können 7-Zip und das LZMA SDK seit den 9er-Versionen aber auch xz-Dateien öffnen.<br />
<br />
== Geschichte ==<br />
Das Projekt begann unter dem Namen ''LZMA Utils'' als eine Unix-Portierung des LZMA-Codes aus dem LZMA-SDK, welche nur rohe LZMA-Ströme ohne jegliche [[Kopfdaten]] erzeugte. Die XZ Utils können das Verhalten der Kommandozeilenprogramme der ''LZMA Utils'' emulieren und dessen Dateien öffnen. Die Umbenennung geschah am 31. Dezember 2008 mit Version 4.999.7beta. Seither wird auch das Dateiformat (xz) nicht mehr verändert. Seitdem es mit xz auch ein passendes [[Containerformat]] hat, ist es nach [[lzip]] die zweite Komplettlösung zur Nutzung von LZMA in Unix-Manier und hat diesem gegenüber mittlerweile schon größere Verbreitung erlangt.<br />
<br />
Als das LZMA SDK (von dem die XZ Utils abgeleitet sind) mit Version 4.61 beta vom 23. November 2008 gemeinfrei wurde, wurde infolgedessen auch die Lizenz der ''XZ Utils'' entsprechend umgestellt.<br />
<br />
== Plattformen ==<br />
Die ''XZ Utils'' sind für diverse Linux-Distributionen erhältlich. Als Binärpaket sind sie unter anderem als [[.deb]]-Paket sowie [[RPM Package Manager|.rpm]]-Paket verfügbar. Damit kann die Software bei den meisten Linuxdistributionen problemlos installiert werden. Pakete sind zum Beispiel für [[Debian]], [[Ubuntu (Betriebssystem)|Ubuntu]], [[Gentoo Linux|Gentoo]], [[Mandriva]], [[openSUSE]] sowie [[Red Hat Linux|Red Hat]] verfügbar.<br />
<br />
Auch für [[Berkeley Software Distribution|BSD]]-Betriebssysteme existieren Binärpakete. Alternativ können Benutzer von BSD-Betriebssystemen wie [[OpenBSD]], [[NetBSD]], [[FreeBSD]], [[DragonFly BSD]] die Software auch durch das [[Ports (Paketverwaltung)|Port]]-System installieren.<br />
<br />
Ab Version 4.999.8beta gibt es auch experimentelle Unterstützung für [[Microsoft Windows|Windows]].<br />
<br />
== Backdoor ==<br />
{{Hauptartikel|XZ Utils Backdoor}}<br />
Am 29. März 2024 wurde eine [[Backdoor]] in XZ Utils in den Versionen 5.6.0 und 5.6.1 bekannt.<ref name="Freund">{{Internetquelle |url=https://www.openwall.com/lists/oss-security/2024/03/29/4 |autor=Andres Freund |titel=Backdoor in upstream xz/liblzma leading to ssh server compromise |werk=oss-security |hrsg=Openwall |sprache=en |datum=2024-03-29 |abruf=2024-03-30}}</ref><ref name="Boehs">{{Internetquelle |autor=Evan Boehs |url=https://boehs.org/node/everything-i-know-about-the-xz-backdoor |titel=Everything I know about the XZ backdoor |sprache=en |abruf=2024-03-31}}</ref><ref name="heise-9671317" /> Die Sicherheitslücke erhielt den [[Common Vulnerabilities and Exposures|CVE-Eintrag]] [[CVE-2024-3094]] mit der höchsten Bedrohungsstufe von 10.<ref>{{Internetquelle |url=https://nvd.nist.gov/vuln/detail/CVE-2024-3094 |hrsg=nvd.nist.gov |titel=nvd – Cve-2024-3094 |werk=nist.gov |abruf=2024-03-31}}</ref> Diese Backdoor ermöglichte es Angreifern, via [[SSH File Transfer Protocol|SSH]] unbefugten Code auf infizierten Systemen auszuführen.<ref name="heise-9671317" /><br />
<br />
Betroffene Linux-Distributionen waren unter anderem [[Debian]] unstable/testing,<ref name="security-tracker">{{Cite web | language=en |title=CVE-2024-3094 |url=https://security-tracker.debian.org/tracker/CVE-2024-3094 |access-date=2024-03-30 |website=security-tracker.debian.org}}</ref> [[Fedora (Linux-Distribution)#Entwicklungs-Versionen|Fedora Rawhide]],<ref>{{Cite web |title=Urgent security alert for Fedora 41 and Fedora Rawhide users |url=https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users |access-date=2024-03-30 |website=www.redhat.com |language=en}}</ref> [[Gentoo Linux]],<ref>{{Internetquelle|url=https://bugs.gentoo.org/928134|titel=Bug 928134 (CVE-2024-3094) - >=app-arch/xz-utils-5.6.0: backdoor in release tarballs|abruf=2024-04-01}}</ref> [[Kali Linux]]<ref>{{Cite web |date=2024-03-29 |title=All about the xz-utils backdoor {{!}} Kali Linux Blog |url=https://www.kali.org/blog/about-the-xz-backdoor/ |access-date=2024-03-30 |website=Kali Linux |language=English}}</ref> und [[OpenSUSE#openSUSE Tumbleweed|OpenSUSE Tumbleweed]].<ref name=":0" /> Nicht betroffen waren zum Beispiel Debian stable,<ref name="security-tracker" /> [[Red Hat Enterprise Linux]]<ref>{{Cite web | language=en | title=cve-details |url=https://access.redhat.com/security/cve/CVE-2024-3094 |access-date=2024-03-30 |website=access.redhat.com}}</ref> oder [[SUSE Linux Enterprise Server|SUSE Linux Enterprise]].<ref name=":0">{{Cite web |date=2024-03-29 |title=openSUSE addresses supply chain attack against xz compression library |url=https://news.opensuse.org/2024/03/29/xz-backdoor/ |access-date=2024-03-30 |website=openSUSE News |language=en}}</ref> Bei der Rolling Release Distribution [[Arch Linux]] war die bis 28. März im Paket enthaltene ''Payload'' unschädlich.<ref>{{Internetquelle |url=https://archlinux.org/news/the-xz-package-has-been-backdoored/ |titel=Arch Linux – News: The xz package has been backdoored |abruf=2024-03-31 |zitat=Arch does not directly link openssh to liblzma, and thus this attack vector is not possible.}}</ref><ref>{{Internetquelle |autor=Russ Cox |titel=Timeline of the xz open source attack|sprache=en|abruf=2024-04-04 |url=https://research.swtch.com/xz-timeline}}</ref> Da die Backdoor rechtzeitig gefunden wurde, hatte die kompromittierte Version noch nicht Einzug in die stabilen Versionen der meisten Distributionen gehalten. Andernfalls wären zahlreiche Server betroffen gewesen – dies wird vielfach als [[Worst Case|Albtraumszenario]] der IT-Sicherheit bezeichnet.<ref>{{Internetquelle |url=https://www.openwall.com/lists/oss-security/2024/03/30/36 |titel=oss-security – Re: backdoor in upstream xz/liblzma leading to ssh server compromise |abruf=2024-03-31}}</ref><br />
<br />
Die Sicherheitslücke fiel auf, als der deutsche [[Software-Ingenieur]] Andres Freund<ref name="dpa">{{Internetquelle |titel=BSI warnt vor gravierender Sicherheitslücke| datum=2024-04-05| url=https://www.zeit.de/news/2024-04/05/bsi-warnt-vor-gravierender-sicherheitsluecke |abruf=2024-04-07}}</ref> von [[Microsoft]] ungewöhnlich hohe [[Prozessor|CPU]]-Auslastungen und eine unerklärliche Verzögerung von 500 Millisekunden bei [[Secure Shell|SSHD]]-Prozessen bemerkte,<ref name="Roose">{{Internetquelle |autor=Kevin Roose |url=https://www.nytimes.com/2024/04/03/technology/prevent-cyberattack-linux.html |titel=Did One Guy Just Stop a Huge Cyberattack? |werk=The New York Times |datum=2024-04-03 |sprache=en |abruf=2024-04-04}}</ref> die eigentlich aufgrund falscher Benutzernamen sofort hätten scheitern sollen. Eine tiefergehende Untersuchung mit [[Profiler (Programmierung)|Profiling]]-Tools zeigte, dass diese Auslastung durch außergewöhnliche Aktivitäten in der <code>liblzma</code>-Bibliothek verursacht wurde, ohne dass diese Aktivitäten einem spezifischen [[Debugsymbol|Symbol]] zugeordnet werden konnten. Diese Anomalie, kombiniert mit früheren, unerklärlichen [[Valgrind]]-Warnungen nach Paketaktualisierungen, weckte Verdacht. Die nachfolgende, detaillierte Analyse der xz-Codebasis und der kürzlichen Änderungen deckte schließlich die Backdoor auf. Als Reaktion auf diese Entdeckung wurde das offizielle GitHub-Repository des Projekts gesperrt, um eine weitere Verbreitung der kompromittierten Softwareversionen zu verhindern.<ref name=":0" /><br />
<br />
Eingebaut wurde die Lücke durch eine Person mit dem Benutzernamen ''Jia Tan'' ([[GitHub]]-Account ''JiaT75''). Diese hatte sich seit 2021 in dem Projekt engagiert, mutmaßlich um sich damit dort Vertrauen zu erschleichen. Zugleich übten andere Benutzer mit vermutlich falschen Identitäten Druck auf den ursprünglichen Maintainer aus, sodass dieser Jia Tan 2023 immer weitergehende Zugriffsrechte einräumte.<ref name="Boehs" /> Aufgrund des aufwändigen und langfristigen Vorgehens wird vermutet, dass hinter Jia Tan ein staatlicher Akteur steht.<ref name="heise-9671317">{{Internetquelle |autor=Christopher Kunz |werk=heise online |url=https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html |titel=Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen |datum=2024-03-30 |sprache=de |abruf=2024-03-31}}</ref> Für eine nachrichtendienstliche Operation spreche, dass die Hintertüre nur mit einem bestimmten Schlüssel erreichbar war, der sicher stellte, dass zum Beispiel Cyberkriminelle oder andere Staaten die kompromittierten Systeme nicht ausspionieren oder gefährden konnten.<ref>Lukas Mäder, ''«Das ist der verrückteste Angriff»: Ein Programmierer entdeckt per Zufall eine gefährliche Hintertüre im Code - wohl von einem Geheimdienst'', in [https://www.nzz.ch/technologie/xz-luecke-der-verrueckteste-angriff-ein-programmierer-entdeckt-per-zufall-eine-gefaehrliche-hintertuere-im-code-wohl-von-einem-geheimdienst-ld.1824766 ''Neue Zürcher Zeitung'' vom 4. April 2024]</ref><br />
<br />
Die [[New York Times]] verglich Freund mit einem Bäckerei-Arbeiter,<ref name="Roose" /> der „an einem frisch gebackenen Brot riecht und spürt, dass etwas nicht stimmt und zu dem Schluss kommt, dass jemand die gesamte weltweite Hefeversorgung manipuliert hat“.<br />
<br />
== Siehe auch ==<br />
* [[p7zip]] ist die direkte Portierung der Kommandozeilenwerkzeuge von 7-Zip auf unixoide Betriebssysteme<br />
<br />
== Weblinks ==<br />
* [https://tukaani.org/xz/ Offizielle Webpräsenz]<br />
* [http://sourceforge.net/projects/lzmautils/ Projektwebsite] bei [[SourceForge]]<br />
* [http://manpages.ubuntu.com/manpages/karmic/en/man1/xz.1.html Manpage] (englisch)<br />
* [https://www.7-zip.org/sdk.html LZMA SDK] (englisch)<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Freie Datenkompressionssoftware]]</div>imported>WikiHelper232