neprihlásený Piatok, 24. mája 2024, dnes má meniny Ela
Významné distribúcie po incidente s infikovaným xz odložili nové verzie

Značky: UbuntubezpečnosťLinux

DSL.sk, 4.4.2024


Dve významné linuxové distribúcie Debian a Ubuntu odložili kvôli bezpečnostnému incidentu s infikovaným nástrojom xz vydanie nových verzií. Ich informácie zároveň naznačujú, že zatiaľ nebolo definitívne potvrdené či doteraz známe dopady incidentu sú jedinými.

Vývojári Debianu stručne oznámili odloženie vydania novej minoritnej verzie 12.6, keď ešte prešetrujú dopady incidentu.

Spoločnosť Canonical stojaca za linuxovou distribúcou Ubuntu zase odložila vydanie beta verzie novej pripravovanej verzie Ubuntu 24.04. Spoločnosť o tom informuje v tomto oznámení.

Spoločnosť plánovala vydať beta verziu Ubuntu 24.04 dnes 4. apríla. Kvôli incidentu sa podľa oznámenia spoločnosť rozhodla skompilovať celú distribúciu znovu v novom prostredí pre kompilovanie balíčkov.

Kvôli tomu posunula vydanie beta verzie o týždeň na štvrtok 11. apríla.

Ako sme upozornili v tomto článku, na konci minulého týždňa bol odhalený vážny bezpečnostný incident v podobe zadných vrátok v kompresnom nástroji xz, ktorý sa používa okrem iného prakticky vo všetkých linuxových distribúciách.

Infikovaná verzia sa už stihla dostať do viacerých distribúcií, najmä testovacích verzií a tzv. rolling distribúcií. Ak by škodlivý kód nebol odhalený a verzie so škodlivým kódom sa dostali do širšie používaných distribúcií, išlo by nepochybne aj na základe aktuálnych informácií o pomerne katastrofický incident.

Škodlivý kód sa nachádza v oficiálnych balíčkoch zdrojových kódov verzií 5.6.0 a 5.6.1 kompresného nástroja xz, pričom pri kompilácii balíčka sa dostáva do knižnice liblzma z tohto balíčka využívanej inými softvérmi. Škodlivý kód sa podľa doterajších zistení aktivuje minimálne pri použití knižnice serverom OpenSSH, ktorý knižnicu sám nevyužíva ale v niektorých distribúciách pre integráciu so systemd notifikáciami je upravený a využíva aj túto knižnicu. Podľa dostupných informácií následne zadné vrátka umožňujú útočníkovi pri pripojení na takýto OpenSSH server bez prihlásenia spustiť zvolený kód.


      Zdieľaj na Twitteri



Najnovšie články:

Skylink začína šetriť, zmenil parametre na náročnejšie, ukončí dva transpondéry, prejde z HD do SD
Sonda Psyche k asteroidu zapla elektrické motory
Raspberry Pi vstúpi na burzu v júni
Firefox pripravuje vertikálny zoznam kariet a skupiny kariet
Vesmírny Boeing nepoletí ani v sobotu, nový termín nebol oznámený
Vydaný minimalistický Alpine Linux 3.20, už aj pre RISC-V
Šifrovanie odolné kvantovým počítačom podporuje ďalší softvér, Zoom
Starship znovu poletí o dva týždne
Známy výrobca PC chladičov začal ponúkať ventilátory pre domácnosti, postavené na PC ventilátoroch
Intel už vyrába novú generáciu CPU, uvedie ju v treťom štvrťroku


Diskusia:
                               
 

Mozno na strojoch, kde to kompilovali povodne, uz bola nova verzia xz balicku (i ked skor nieco ine bude dovodom) a preto spravia novy build na novom prostredi?...

Pekne je, ze to asi nerobia na fyzickych strojoch, ale ze tam maju aspon libvirt/kvm po ceste a mozno i nejaky docker, ci kubernates... Ze si vedia "naproviznovat" novy build klaster "za 5 minut" a nemusia poprosit pekne admina, nech im prideli nejaky pekny virtual s cisto nainstalovanym windowsom, kam si oni potom nahodia kompilacne prostredie, pekne podla navodu, rucne...
Odpovedať Známka: -2.5 Hodnotiť:
 

.. s nainstalovanym windowsom

no dpc, sa vyznas v tych linuxoch
Odpovedať Známka: 6.4 Hodnotiť:
 

Ono vychadzam z predpokladu, ze tam, kde sa pouziva wmvare, su windows admini a ti vedia poriadne klikat a niekedy neprestavia v templejte, ze chcu cistu virtualku... A samozrejme linux templejt nemaju, lebo to nepotrebuju (tí admini)... Snazil som sa priblizit k realite v kusok vacsich firmach v mojom okoli. A zial, niektore stale funguju presne takto... Teda: Sice takmer celi biznis nam bezi na linuxe, ale oddelenie HW a infrastrukturi su certifikovani cisco a windows ludia a ti pouzivaju virtualizaciu a ak niekto z dev (devops) timu potrebuje nejaky produkcny (ci testovaci) server, tak po vyplneni ziadosti mu do tyzdna nejaky vyklikaju... Nasledne si tam ten clovek dostane nejaky linux (ci rucne, alebo pokrocilo cez ansible/pupet/chef, alebo moj oplubeny saltstack...).
Odpovedať Hodnotiť:
 

ale zase kolko cudzich slov pozna :D
Odpovedať Známka: 10.0 Hodnotiť:
 

njn, kdybych aj ja umel, vedel vsetky hentie ^^veci, vyrazy, funkcie, programka, a linukse, seksiye, a systemy, lynukxy

tiez uz bych, (asi, mozno)
sedel nekde uuuplne inde, za uuuplne ine €¥$
v totyych veeelkyyych kancloch, v BA, Viedni, Prahe

ale viem len vymeny hdd / ssd, install Win 7, moj najobliubenejsi,
a vubec, co som z totyych pocitacov, a vubec ze vseho, vedel v 2002, max.v 2008, to vim aj ted
Odpovedať Hodnotiť:
 

tento pokus o backdoor bol objaveny iba vdaka tomu, ze linux je open source. kolko takych backdoorov je asi v closed source operacnych systemoch?
Odpovedať Známka: 9.1 Hodnotiť:
 

Odpoveď je vlastne jednoduchá: Všetky.
Odpovedať Známka: 10.0 Hodnotiť:
 

deväť
Odpovedať Známka: 7.8 Hodnotiť:
 

Ano
Odpovedať Známka: 10.0 Hodnotiť:
 

42
Odpovedať Známka: 10.0 Hodnotiť:
 

3,14
Odpovedať Známka: 10.0 Hodnotiť:
 

Ani jeden, nakoľko ten sa tam priekazne iba vdaka konkrétnej vývojovej metodológie open source-u vôbec dostal.
Odpovedať Známka: -4.0 Hodnotiť:
 

No neviem. Tu sa tiez ukazuje problem toho, ze do linuxu a kniznic vyuzivanych v distibuciach moze prispievat vela ludi, aj takych ktorych totoznost nikto nepozna.
Tak okrem toho ze vela ludi moze backdoor odhalit, je tu aj dost tych, ktory ho mozu do kodu zaviest.
Ak by sa toto stalo v closed source ekosysteme tak zrejme vies vypatrat konkretnu osobu.
V tomto pripade vieme len to, ze kod infikoval niekto, kto sa podpisal JiaT75 (Jia Tan).
Odpovedať Známka: 10.0 Hodnotiť:
 

su za tym vyjebani cinania

jebnuti az tak ze sa podpisali ...
Odpovedať Známka: 0.0 Hodnotiť:
 

A ruSSkých kybernetických hackerov je zas možné priekazne jednoznačne identifikovať podľa komentárov v azbuke.
Odpovedať Známka: 2.0 Hodnotiť:
 

keby len OS, oni tie backdoory su priamo v CPU/chipsetoch
Odpovedať Známka: 10.0 Hodnotiť:
 

Install NixOS
Odpovedať Známka: 10.0 Hodnotiť:
 

Install Didaktik M Basic
Odpovedať Známka: 8.3 Hodnotiť:
 

veru, už ani Arch nie je priekazne to, čo býval
Odpovedať Hodnotiť:
 

XZ pakovač na ZX spektru ? (= Didaktik)
Ja som mal kedysi k Didaktiku pripojený Tesla kotúčový, ale k žiadnemu žutiu pásiek značky Emgeton nedošlo (Horkýže - RNB Soul).
Potom v Didaktiku prišli s disketovkami, čím predbehli všetky Atari turbo módy čítania / zápisu
Odpovedať Známka: 10.0 Hodnotiť:
 

si presiel z archu?
Odpovedať Známka: 10.0 Hodnotiť:
 

este nie, ale chystam sa
Odpovedať Známka: 10.0 Hodnotiť:
 

eh, si pojdem asi nainstaluvat rychlovarku, novu, kanvycu, taku seksy cierno-bielu :p :D

(ted nedavno v Alze bola v akcxii, za ~ 39, ~ 42 €$
Odpovedať Hodnotiť:

Pridať komentár