Según una publicación en Discourse, la beta de Ubuntu 24.04 (nombre en código: Noble Numbat) que estaba próxima a ser lanzada esta semana, ha sido retrasada y ahora tendremos que esperar al 11 de abril. La razón del retraso se dice que es un agregado de código CVE-2024-3094, también conocido como las herramientas de compresión XZ, que fueron comprometidas con código malicioso.
En la publicación se dice que Łukasz ‘sil2100’ Zemczak anunció que Canonical, la empresa encargada de Ubuntu, ha:
«tomado la decisión de eliminar y reconstruir todos los paquetes binarios que se habían construido para Noble Numbat después de que se agregara el código CVE-2024-3094 en xz-utils (26 de febrero), en entornos de versiones previas»
Esto significa que cualquier binario construido para la última versión de Ubuntu no se verá afectado por la amenaza reciente introducida a través de xz-utils.
La amenaza que también provocó que Red Hat emitiera una alerta de seguridad urgente, ya que se introdujo código malicioso en las versiones 5.6.0 y 5.6.1 de xz-utils. Este código parece introducir una puerta trasera o back door en los sistemas. Esto Según una publicación en la lista de correo de Openwall por Andres Freund:
«Después de observar algunos síntomas extraños en torno a liblzma (parte del paquete xz) en instalaciones de Debian sid durante las últimas semanas (inicios de sesión con ssh que consumen mucha CPU, errores de valgrind), descubrí la respuesta:
El repositorio upstream de xz y los archivos tar de xz han sido comprometidos.»
El paquete xz-utils se utiliza para comprimir archivos/directorios utilizando el formato de compresión XZ, comúnmente utilizado en máquinas Linux y Unix. Cuando esto sucedio Ubuntu 24.04 (Noble Numbat) estaba utilizando la versión 5.6.1 de xz-utils, que era una de las dos versiones afectadas. Al reconstruir los paquetes con entornos de construcción de código conocido, Canonical afirma que «nos proporciona la confianza de que ningún binario en nuestras compilaciones podría haber sido afectado por esta amenaza emergente».
El impacto en la beta es que ahora tendremos que esperar una semana extra antes de poder tener una experiencia práctica con algo que se aproxime al lanzamiento final (por lo general hay un lanzamiento previo justo antes del lanzamiento, que se considera un candidato a lanzamiento). Por supuesto, hay compilaciones hechas a diario que se pueden probar, pero no se puede garantizar que estén libres de código malicioso.
La última vez que se retrasó un lanzamiento de Ubuntu fue en 2006: Ubuntu 6.06 «Dapper Drake» se retrasó dos meses para dar al equipo más tiempo para implementar características adicionales para lo que se convertiría en una distribución de Linux fundamental. Ubuntu 6.06 vio la fusión de un CD en vivo e instalable, junto con un instalador gráfico y un medio para instalar el sistema operativo en una unidad USB.
Según una lista compilada por helpnetsecurity.com, estas serian otras distribuciones afectadas:
- Ubuntu 24.04 ha sido afectada, pero las versiones anteriores no.
- Red Hat, Fedora Rawhide (versión actual en desarrollo de Fedora Linux) y Fedora 40 están afectados. Ninguna versión de Red Hat Enterprise Linux (RHEL) se ve afectada.
- Debian, ninguna versión estable se ve afectada, pero se insta a los usuarios que utilizan paquetes de los repositorios de prueba, inestable y experimental de Debian a actualizar el paquete xz-utils.
- Los usuarios de Kali Linux que actualizaron sus sistemas entre el 26 y el 29 de marzo están afectados.
- Algunos medios de instalación de Arch Linux, contenedores y máquinas virtuales están afectados.
- Linux Mint, Gentoo Linux, Alpine Linux y Amazon Linux no están afectados.
Si bien el código malicioso no llegó a las versiones de prueba oficiales representando una amenaza mayor, existe la posibilidad de que los demás lanzamientos previstos también vean un retraso significativo para que se pueda garantizar un sistema estable y seguro.
Te puede interesar: Brecha de seguridad en AT&T habría afectado datos de 70 Millones de personas.
Fuente: Tom’s Hardware
