O projeto GNU Boot, dedicado a fornecer uma solução de boot 100% livre, voltou a enfrentar problemas relacionados ao uso de código não-livre. Após um incidente em dezembro de 2023, no qual foi descoberto que microcódigos não-livres estavam incluídos na versão RC1 (especificamente no arquivo gnuboot-0.1-rc1_src.tar.xz), a equipe do GNU Boot se deparou com uma nova e mais grave descoberta. Desta vez, o problema afeta não apenas o projeto, mas também várias distribuições GNU/Linux que se orgulham de ser compostas exclusivamente por software livre.
Descobertas e impacto
O erro atual está relacionado ao código-fonte do vboot, usado tanto no Coreboot quanto no pacote vboot-utils, amplamente disponível em várias distribuições GNU/Linux. Foi identificado que o diretório de testes, tests/futility/data, incluía microcódigos, partes de BIOS e firmware do Intel Management Engine — todos considerados software não-livre. Esse problema afeta todos os lançamentos anteriores do GNU Boot, incluindo as versões RC1 e RC2.
O impacto dessa descoberta vai além do GNU Boot, afetando também distribuições que seguem rigorosamente os padrões de software livre. Entre as distribuições comprometidas estão aquelas que utilizam o código-fonte do vboot, o que inclui tanto distros GNU/Linux quanto o Replicant, uma distribuição Android livre.
Medidas corretivas e coordenação com distros afetadas
Em resposta ao problema, o GNU Boot tomou medidas rápidas para relançar os tarballs afetados, como o gnuboot-0.1-rc1_src.tar.xz e o gnuboot-0.1-rc2_src.tar.xz, removendo o código não-livre. A equipe aprimorou o processo de geração desses pacotes, garantindo que as alterações agora sejam devidamente armazenadas em tags no repositório Git, facilitando a recriação dos tarballs de forma mais eficiente.
Notícias Relacionadas
Segurança digital
Hackers chineses lançam ataque com nova ameaça chamada WolfsBane
Pesquisadores descobriram o WolfsBane, um malware para Linux, desenvolvido pelo grupo Gelsemium, que usa técnicas avançadas para furtividade e controle total do sistema.
Ataque cibernético
Gangue de ransomware ataca escritório jurídico do governo mexicano
O governo mexicano investiga um ataque de ransomware ao seu escritório jurídico. O grupo Ransomhub alegou o roubo de 313 GB de dados, incluindo documentos financeiros e contratos.
Além disso, o projeto está em processo de contato com as distribuições afetadas para coordenar a resolução do problema. A equipe começou pelas distribuições listadas como 100% livres no site oficial da GNU, incluindo a Replicant. Também iniciou contatos com distribuições comuns que exigem software livre em seus repositórios, como o Debian, que poderá auxiliar o Trisquel a corrigir o problema. O próximo passo inclui notificar outras distribuições importantes, como o Fedora.
Esse trabalho de coordenação está sendo gerenciado por meio do sistema de relatórios de bugs do Savannah, com o foco no bug #66246, onde as discussões e ações corretivas estão sendo organizadas.
Histórico do problema
Este não é o primeiro incidente enfrentado pelo GNU Boot relacionado a código não-livre. No final de 2023, a equipe descobriu que o microcódigo não-livre havia sido incluído no tarball da primeira versão RC1. Na ocasião, o problema foi corrigido manualmente, removendo o software proprietário e relançando o tarball. Também houve um esforço para alertar o projeto Canoeboot, que enfrentava o mesmo problema, e propor correções no Guix. Embora algumas dessas correções ainda estejam pendentes de revisão, a nova descoberta motivou uma resposta mais abrangente e organizada.
