O GitHub desativa repositório XZ após ataque malicioso. Uma grande surpresa de Páscoa para os usuários do GitHub, da Microsoft. A divulgação de pacotes de lançamento upstream XZ contendo código malicioso para comprometer o acesso remoto SSH certamente foi uma surpresa de fim de semana de Páscoa. A situação só piora quanto mais informações são de conhecimento pública. Todos estão surpresos pela forma como os arquivos foram comprometidos e distribuídos. Assim, o GitHub se viu na obrigação de desativar o repositório XZ em sua totalidade.
O repositório central tukaani-project/xz no GitHub agora foi desativado pelo GitHub com a mensagem:
“O acesso a este repositório foi desativado pela equipe do GitHub devido a uma violação dos termos de serviço do GitHub. Se você for o proprietário do repositório, entre em contato com o Suporte do GitHub para obter mais informações.”
A violação de ToS presumivelmente devido ao acesso de confirmação upstream comprometido. De qualquer forma, um passo notável dado o chorume de notícias de hoje, embora no estado de deficiência, torna mais difícil rastrear outras alterações potencialmente problemáticas pelo(s) ator(es) mal-intencionado(s) com acesso a dados de solicitação de mesclagem e outras informações pertinentes bloqueadas.
Com o upstream XZ ainda não tendo emitido nenhum lançamento corrigido e as contribuições de um de seus principais contribuidores – e criadores de lançamentos – nos últimos dois anos colocadas em questão, não é sem motivo para bater o martelo para o acesso público do repositório XZ. Neste ponto, ele simplesmente não pode ser confiável até uma avaliação mais aprofundada.
GitHub desativa repositório XZ após ataque malicioso
Algumas, como dentro das discussões do Fedora, levantaram as perspectivas se o XZ deve ser bifurcado, embora ainda haja a questão de auditar compromissos passados. Outros, como o Debian, consideraram voltar para a versão mais recente antes do ator ruim e, em seguida, apenas corrigir correções de segurança verificadas no topo. Enquanto isso, outros sugeriram que essa é uma boa motivação para sair do XZ/liblzma para alternativas como o uso do Zstd.