Noticias

Las herramientas y bibliotecas de XZ están comprometidas debido a un problema crítico

Hoy se envió un boletín de seguridad urgente sobre las herramientas y bibliotecas XZ con liblzma a varios lugares en el espacio de Linux porque algunas versiones se han visto comprometidas.

De la lista de seguridad de OpenWall:

Habiendo observado varios síntomas extraños relacionados con liblzma (parte del paquete xz) en instalaciones sid de Debian durante las últimas semanas (iniciar sesión usando ssh, uso intensivo de la CPU, errores de valgrind), encontré la respuesta:

El repositorio ascendente de xz y los archivos xz estaban protegidos por una puerta trasera.

Al principio pensé que se trataba de un compromiso de un paquete Debian, pero resulta que está en la versión original.

A juzgar por sus palabras, el problema está presente en las versiones de biblioteca 5.6.0 y 5.6.1.

Esto llevó a Red Hat a publicar una publicación urgente en el blog sobre el asunto, señalando que Fedora Linux 40 está bien por ahora, pero que se debe «dejar de usar inmediatamente cualquier instancia de Fedora Rawhide» ya que se han actualizado, pero se cancelarán. a una versión anterior.

Para aquellos que no entienden qué es, como señaló Red Hat: «xz es un formato de compresión de datos de propósito general que se encuentra en casi todas las distribuciones de Linux, tanto en proyectos comunitarios como en distribuciones de productos comerciales. Básicamente, ayuda a comprimir (y luego descomprimir) archivos grandes. formatos en tamaños más pequeños y manejables para compartir mediante transferencias de archivos”.

Red Hat también señaló que «la compilación maliciosa interfiere con la autenticación sshd a través de systemd» y, por lo tanto, «bajo ciertas circunstancias, esta interferencia podría permitir que un atacante rompa la autenticación sshd y obtenga acceso remoto no autorizado a todo el sistema».

Debian también tiene un aviso de seguridad que señala que «ninguna versión estable de Debian está afectada», pero los paquetes comprometidos eran parte de «distribuciones de Debian de prueba, inestables y experimentales» que también cancelaron.

En el lado de Ubuntu, hay una publicación en el foro de Discourse que señala que el paquete afectado ha sido eliminado de las «Compilaciones sugeridas de Ubuntu 24.04 LTS (Noble Numbat)» y continúan investigando.

Se le ha asignado CVE-2024-3094, lo que indica que se trata de un problema crítico.

Por lo tanto, debe asegurarse de que todos los paquetes XZ no tengan la versión 5.6.0 o 5.6.1 y consultar las noticias directamente desde la distribución elegida para obtener actualizaciones.

Artículo tomado de MuyLinux.xyz.

LEER  MangoHud v0.7 lanzado con soporte para ajustes preestablecidos, como en Steam Deck

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba