Поиск по сайту:

Бета-версия Ubuntu 24.04 отложена из-за атаки XZ с открытым исходным кодом

Бета-версия Ubuntu 24.04, Noble Numbat, перенесена на 11 апреля 2024 г., на одну неделю позже предыдущей даты (4 апреля 2024 г.)!

Это потому, что атака была публично раскрыта 29 марта 2024 года.

Злоумышленник под именем «Цзя Тан» установил бэкдор в библиотеку liblzma. Это часть xz, которая является зависимостью OpenSSH в Debian, Ubuntu, Fedora и т. д. Бэкдор отправляет скрытые команды в начале сеанса SSH, позволяя злоумышленнику запустить произвольный команду в целевой системе без входа в систему.

Расс Кокс, разработчик Google Golang, опубликовал страницу, рассказывающую о сроках атаки с открытым исходным кодом xz. Согласно сообщению, злоумышленник «Цзя Тан» начал вносить вклад в xz с октября 2021 года, а со второй половины 2022 года стал мейнтейнером.

Атака началась 23 февраля 2024 г. и затронула Debian Unstable, Ubuntu 24.04 (Dev), Fedora 40 Beta и Fedora Rawhide.

Ubuntu 24.04 (для разработчиков) Рабочий стол

В Debian Unstable выполнен откат с xz-utils 5.6.1 до 5.4.5 (5.6.1+really5.4.5-1), чтобы обойти эту проблему.

Ubuntu унаследовала пакет от Debian и решила пересобрать все бинарные пакеты для Ubuntu 24.04 после того, как код CVE-2024-3094 был передан в xz-utils.

«Canonical никогда не перестает работать над тем, чтобы Ubuntu оставалась на переднем крае безопасности, защищенности и надежности. В результате CVE-2024-3094 53 компания Canonical приняла решение удалить и пересобрать все двоичные пакеты, созданные для Noble Numbat после того, как код CVE-2024-3094 53 был передан в xz-utils (26 февраля) новые среды сборки.

И из-за этого решения (см. «Обсуждение Ubuntu») выпуск бета-версии Ubuntu 24.04 отложен на неделю!

Статьи по данной тематике