As falhas de segurança em arquivos XZ estão causando muitos problemas. A vítima agora foi a versão beta do novo Ubuntu 24.04 que sofre com atrasos provocados pelo problema com arquivos XZ. O lançamento deste versão beta do Ubuntu 24.04 ocorreria hoje como planejado, porém, precisou ser adiado. A equipe de desenvolvedores acredita que seria mais seguro esse atraso para resolver todas as pendências com muito cuidado.
A Canonical decidiu reconstruir todos os pacotes binários para o Ubuntu 24.04 (Noble Numbat) depois que o código XZ comprometido foi construído para o pacote xz-utils. Embora não haja indicação de que outros pacotes foram comprometidos como resultado, por precaução eles estão criando todos os binários em suas compilações depois de compilar o pacote XZ malicioso.
Ubuntu 24.04 Beta sofre com atrasos devido ao problema com arquivos XZ
Devido ao tempo necessário para reconstruções de pacotes, o Ubuntu 24.04 beta foi adiado de 4 de abril para 11 de abril.
Aviso do atraso Ubuntu 24.04 Beta foi postado hoje para o Ubuntu Discourse.
A data de lançamento oficial do Ubuntu 24.04 LTS de 25 de abril ainda parece estar no caminho certo.
GitHub desativou repositório
O GitHub desativa repositório XZ após ataque malicioso. A divulgação de pacotes de lançamento upstream XZ contendo código malicioso para comprometer o acesso remoto SSH certamente foi uma surpresa de fim de semana de Páscoa. A situação só piora quanto mais informações são de conhecimento pública. Todos estão surpresos pela forma como os arquivos foram comprometidos e distribuídos. Assim, o GitHub se viu na obrigação de desativar o repositório XZ em sua totalidade.
O repositório central tukaani-project/xz no GitHub agora foi desativado pelo GitHub com a mensagem:
“O acesso a este repositório foi desativado pela equipe do GitHub devido a uma violação dos termos de serviço do GitHub. Se você for o proprietário do repositório, entre em contato com o Suporte do GitHub para obter mais informações.”
A violação de ToS presumivelmente devido ao acesso de confirmação upstream comprometido. De qualquer forma, um passo notável dado o chorume de notícias de hoje, embora no estado de deficiência, torna mais difícil rastrear outras alterações potencialmente problemáticas pelo(s) ator(es) mal-intencionado(s) com acesso a dados de solicitação de mesclagem e outras informações pertinentes bloqueadas.
Com o upstream XZ ainda não tendo emitido nenhum lançamento corrigido e as contribuições de um de seus principais contribuidores – e criadores de lançamentos – nos últimos dois anos colocadas em questão, não é sem motivo para bater o martelo para o acesso público do repositório XZ. Neste ponto, ele simplesmente não pode ser confiável até uma avaliação mais aprofundada.
GitHub desativa repositório XZ após ataque malicioso
Algumas, como dentro das discussões do Fedora, levantaram as perspectivas se o XZ deve ser bifurcado, embora ainda haja a questão de auditar compromissos passados. Outros, como o Debian, consideraram voltar para a versão mais recente antes do ator ruim e, em seguida, apenas corrigir correções de segurança verificadas no topo. Enquanto isso, outros sugeriram que essa é uma boa motivação para sair do XZ/liblzma para alternativas como o uso do Zstd.
Red Hat e Debian alertam: XZ foi atingido por código malicioso que pode permitir acesso remoto não autorizado ao sistema
A Red Hat emitiu um “alerta de segurança urgente” para usuários do Fedora 41 e do Fedora Rawhide sobre XZ. As ferramentas e bibliotecas XZ para este formato de compressão estão comprometidas com um ataque massivo. Alguns códigos maliciosos foram adicionados ao XZ 5.6.0/5.6.1 que podem permitir o acesso remoto não autorizado ao sistema. Os responsáveis pelo desenvolvimento do Debian também destacaram o problema. Assim, Red Hat e Debian alertam: XZ foi atingido por código malicioso que pode permitir acesso remoto não autorizado ao sistema.
A Red Hat cita CVE-2024-3094 para esta vulnerabilidade de segurança XZ devido a código mal-intencionado que chega à base de código. Ainda não vi o CVE-2024-3094 tornado público, mas o alerta de segurança da Red Hat resume-o como:
“A injeção maliciosa presente nas bibliotecas xz versões 5.6.0 e 5.6.1 é ofuscada e incluída apenas na íntegra no pacote de download – a distribuição Git não possui a macro M4 que aciona a compilação do código malicioso. Os artefatos de segundo estágio estão presentes no repositório Git para a injeção durante o tempo de compilação, caso a macro M4 maliciosa esteja presente.
A compilação maliciosa resultante interfere com a autenticação no sshd via systemd. SSH é um protocolo comumente usado para conexão remota a sistemas, e sshd é o serviço que permite o acesso. Sob as circunstâncias certas, essa interferência poderia potencialmente permitir que um ator mal-intencionado quebrasse a autenticação sshd e obtivesse acesso não autorizado a todo o sistema remotamente.”