Významné distribúcie po incidente s infikovaným xz odložili nové verzie

Značky: UbuntubezpečnosťLinux

DSL.sk, 4.4.2024

Dve významné linuxové distribúcie Debian a Ubuntu odložili kvôli bezpečnostnému incidentu s infikovaným nástrojom xz vydanie nových verzií. Ich informácie zároveň naznačujú, že zatiaľ nebolo definitívne potvrdené či doteraz známe dopady incidentu sú jedinými.

Vývojári Debianu stručne oznámili odloženie vydania novej minoritnej verzie 12.6, keď ešte prešetrujú dopady incidentu.

Spoločnosť Canonical stojaca za linuxovou distribúcou Ubuntu zase odložila vydanie beta verzie novej pripravovanej verzie Ubuntu 24.04. Spoločnosť o tom informuje v tomto oznámení.

Spoločnosť plánovala vydať beta verziu Ubuntu 24.04 dnes 4. apríla. Kvôli incidentu sa podľa oznámenia spoločnosť rozhodla skompilovať celú distribúciu znovu v novom prostredí pre kompilovanie balíčkov.

Kvôli tomu posunula vydanie beta verzie o týždeň na štvrtok 11. apríla.

Ako sme upozornili v tomto článku, na konci minulého týždňa bol odhalený vážny bezpečnostný incident v podobe zadných vrátok v kompresnom nástroji xz, ktorý sa používa okrem iného prakticky vo všetkých linuxových distribúciách.

Infikovaná verzia sa už stihla dostať do viacerých distribúcií, najmä testovacích verzií a tzv. rolling distribúcií. Ak by škodlivý kód nebol odhalený a verzie so škodlivým kódom sa dostali do širšie používaných distribúcií, išlo by nepochybne aj na základe aktuálnych informácií o pomerne katastrofický incident.

Škodlivý kód sa nachádza v oficiálnych balíčkoch zdrojových kódov verzií 5.6.0 a 5.6.1 kompresného nástroja xz, pričom pri kompilácii balíčka sa dostáva do knižnice liblzma z tohto balíčka využívanej inými softvérmi. Škodlivý kód sa podľa doterajších zistení aktivuje minimálne pri použití knižnice serverom OpenSSH, ktorý knižnicu sám nevyužíva ale v niektorých distribúciách pre integráciu so systemd notifikáciami je upravený a využíva aj túto knižnicu. Podľa dostupných informácií následne zadné vrátka umožňujú útočníkovi pri pripojení na takýto OpenSSH server bez prihlásenia spustiť zvolený kód.


Najnovšie články:



Diskusia:

grthrthrt Od: fregregre | Pridané: 4.4.2024 10:24 Mozno na strojoch, kde to kompilovali povodne, uz bola nova verzia xz balicku (i ked skor nieco ine bude dovodom) a preto spravia novy build na novom prostredi?... Pekne je, ze to asi nerobia na fyzickych strojoch, ale ze tam maju aspon libvirt/kvm po ceste a mozno i nejaky docker, ci kubernates... Ze si vedia "naproviznovat" novy build klaster "za 5 minut" a nemusia poprosit pekne admina, nech im prideli nejaky pekny virtual s cisto nainstalovanym windowsom, kam si oni potom nahodia kompilacne prostredie, pekne podla navodu, rucne... Odpovedať Známka: -2.5 Hodnotiť:

Re: grthrthrt Od: mesuge | Pridané: 4.4.2024 12:43 .. s nainstalovanym windowsom no dpc, sa vyznas v tych linuxoch Odpovedať Známka: 6.4 Hodnotiť:

Re: grthrthrt Od: fregreghre | Pridané: 5.4.2024 5:48 Ono vychadzam z predpokladu, ze tam, kde sa pouziva wmvare, su windows admini a ti vedia poriadne klikat a niekedy neprestavia v templejte, ze chcu cistu virtualku... A samozrejme linux templejt nemaju, lebo to nepotrebuju (tí admini)... Snazil som sa priblizit k realite v kusok vacsich firmach v mojom okoli. A zial, niektore stale funguju presne takto... Teda: Sice takmer celi biznis nam bezi na linuxe, ale oddelenie HW a infrastrukturi su certifikovani cisco a windows ludia a ti pouzivaju virtualizaciu a ak niekto z dev (devops) timu potrebuje nejaky produkcny (ci testovaci) server, tak po vyplneni ziadosti mu do tyzdna nejaky vyklikaju... Nasledne si tam ten clovek dostane nejaky linux (ci rucne, alebo pokrocilo cez ansible/pupet/chef, alebo moj oplubeny saltstack...). Odpovedať Hodnotiť:

Re: grthrthrt Od: wakac | Pridané: 5.4.2024 7:43 ale zase kolko cudzich slov pozna :D Odpovedať Známka: 10.0 Hodnotiť:

fanusik Windows 7 Seven SP2 64b @GPT Od: Lyta ZkrachZneuzNasranAChudobna | Pridané: 6.4.2024 11:08 njn, kdybych aj ja umel, vedel vsetky hentie ^^veci, vyrazy, funkcie, programka, a linukse, seksiye, a systemy, lynukxy tiez uz bych, (asi, mozno) sedel nekde uuuplne inde, za uuuplne ine €¥$ v totyych veeelkyyych kancloch, v BA, Viedni, Prahe ale viem len vymeny hdd / ssd, install Win 7, moj najobliubenejsi, a vubec, co som z totyych pocitacov, a vubec ze vseho, vedel v 2002, max.v 2008, to vim aj ted Odpovedať Hodnotiť:

dnes má meniny Pamiatka zosnulých Od: fumb duck | Pridané: 4.4.2024 10:25 tento pokus o backdoor bol objaveny iba vdaka tomu, ze linux je open source. kolko takych backdoorov je asi v closed source operacnych systemoch? Odpovedať Známka: 9.1 Hodnotiť:

Re: dnes má meniny Pamiatka zosnulých Od: Nemok | Pridané: 4.4.2024 10:35 Odpoveď je vlastne jednoduchá: Všetky. Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Pamiatka zosnulých Od: hulvat2 | Pridané: 4.4.2024 10:48 deväť Odpovedať Známka: 7.8 Hodnotiť:

Re: dnes má meniny Pamiatka zosnulých Od: tatrofka | Pridané: 4.4.2024 11:04 Ano Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Pamiatka zosnulých Od: kde mám uterák? | Pridané: 4.4.2024 11:12 42 Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Pamiatka zosnulých Od: Redmond | Pridané: 4.4.2024 11:21 3,14 Odpovedať Známka: 10.0 Hodnotiť:

ultraradikálny špecifikácionalizmus Od: syntaxterrorXXX, . Y | Pridané: 4.4.2024 11:47 Ani jeden, nakoľko ten sa tam priekazne iba vdaka konkrétnej vývojovej metodológie open source-u vôbec dostal. Odpovedať Známka: -4.0 Hodnotiť:

Re: dnes má meniny Pamiatka zosnulých Od: paranoia_mode_engaged | Pridané: 4.4.2024 12:29 No neviem. Tu sa tiez ukazuje problem toho, ze do linuxu a kniznic vyuzivanych v distibuciach moze prispievat vela ludi, aj takych ktorych totoznost nikto nepozna. Tak okrem toho ze vela ludi moze backdoor odhalit, je tu aj dost tych, ktory ho mozu do kodu zaviest. Ak by sa toto stalo v closed source ekosysteme tak zrejme vies vypatrat konkretnu osobu. V tomto pripade vieme len to, ze kod infikoval niekto, kto sa podpisal JiaT75 (Jia Tan). Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Pamiatka zosnulých Od: mesuge | Pridané: 4.4.2024 12:44 su za tym vyjebani cinania jebnuti az tak ze sa podpisali ... Odpovedať Známka: 0.0 Hodnotiť:

ultraradikálny konsenzualizmus Od: syntaxterrorXXX, . Y | Pridané: 4.4.2024 12:51 A ruSSkých kybernetických hackerov je zas možné priekazne jednoznačne identifikovať podľa komentárov v azbuke. Odpovedať Známka: 2.0 Hodnotiť:

Re: dnes má meniny Pamiatka zosnulých Od: vebrtbrnnnn22 | Pridané: 4.4.2024 12:47 keby len OS, oni tie backdoory su priamo v CPU/chipsetoch Odpovedať Známka: 10.0 Hodnotiť:

;';'';''''';';;;;';' Od: arch_bastard | Pridané: 4.4.2024 11:24 Install NixOS Odpovedať Známka: 10.0 Hodnotiť:

Re: ;';'';''''';';;;;';' Od: fffffffffffffffffff | Pridané: 4.4.2024 12:37 Install Didaktik M Basic Odpovedať Známka: 8.3 Hodnotiť:

Re: ;';'';''''';';;;;';' Od: awwda | Pridané: 4.4.2024 15:45 veru, už ani Arch nie je priekazne to, čo býval Odpovedať Hodnotiť:

Re: ;';'';''''';';;;;';' Od: asdsdf | Pridané: 4.4.2024 18:43 XZ pakovač na ZX spektru ? (= Didaktik) Ja som mal kedysi k Didaktiku pripojený Tesla kotúčový, ale k žiadnemu žutiu pásiek značky Emgeton nedošlo (Horkýže - RNB Soul). Potom v Didaktiku prišli s disketovkami, čím predbehli všetky Atari turbo módy čítania / zápisu Odpovedať Známka: 10.0 Hodnotiť:

Re: ;';'';''''';';;;;';' Od: jancici | Pridané: 4.4.2024 16:36 si presiel z archu? Odpovedať Známka: 10.0 Hodnotiť:

Re: ;';'';''''';';;;;';' Od: arch_bastard | Pridané: 4.4.2024 20:30 este nie, ale chystam sa Odpovedať Známka: 10.0 Hodnotiť:

fanusik Windows 7 Seven SP2 64b @GPT @ UEFI / Legacy Od: Lyta ZkrachZneuzNasranAChudobna | Pridané: 6.4.2024 11:11 eh, si pojdem asi nainstaluvat rychlovarku, novu, kanvycu, taku seksy cierno-bielu :p :D (ted nedavno v Alze bola v akcxii, za ~ 39, ~ 42 €$ Odpovedať Hodnotiť:

Pridať komentár