Бета-версия Ubuntu 24.04 отложена из-за вредоносного кода в xz-utils

Согласно сообщению Discourse, бета-версия Ubuntu 24.04 (кодовое имя: Noble Numbat), которая должна была быть выпущена завтра, была отложена, и теперь мы должны ожидать ее 11 апреля. Причиной задержки называется CVE-2024-3094 — иначе известные как инструменты сжатия XZ, которые были скомпрометированы вредоносным кодом.

В сообщении Discourse Лукаш «sil2100» Земчак объявил, что Canonical (компания, стоящая за Ubuntu) «приняла решение удалить и пересобрать все бинарные пакеты, которые были созданы для Noble Numbat после того, как код CVE-2024-3094 был передан в xz-utils (26 февраля) в новых средах сборки».

Это означает, что любые двоичные файлы, созданные для последней версии Ubuntu, не будут затронуты недавней угрозой, представленной через xz-utils.

Угроза, которая также побудила Red Hat

Thumbnail: Red HatRed Hat (с англ. — «красная шляпа») — американская компания, производитель программного обеспечения на основе операционной системы Linux: Red Hat Enterprise Linux (распространяется по годовой подписке), Fedora, CentOS, CoreOS. Кроме дистрибутивов Linux выпускала ряд системных и платформенных программных продуктов на основе открытого программного обеспечения, в том числе среду компиляции и выполнения приложений Linux под Windows — Cygwin, линейку связующего программного обеспечения под маркой JBoss, систему управления виртуализацией RHEV (включающую гипервизор KVM), дистрибутив Kubernetes OpenShift, программно-определяемые сети хранения Ceph и GlusterFS, системы управления конфигурациями на основе Ansible. Внесла существенный вклад в такие программные проекты, как GNOME, systemd, Pulseaudio, вошедшие в большинство современных дистрибутивов Linux. В числе услуг — техническая поддержка, обучение системных администраторов и разработчиков, приём практических лабораторных экзаменов (таких как RHCT и RHCE). Главный офис — в городе Роли (Северная Каролина). Википедия

выпустить срочное предупреждение безопасности, заключается в том, что вредоносный код внедряется в версии 5.6.0 и 5.6.1 xz-utils. Похоже, этот код вводит в системы бэкдор. Согласно сообщению Андреса Фройнда в списке рассылки Openwall:

«После наблюдения нескольких странных симптомов, связанных с liblzma (часть пакета xz) в установках Debian sid за последние недели (вход в систему с использованием ssh, отнимающий много ресурсов ЦП, ошибки valgrind), я нашел ответ:

Восходящий репозиторий xz и архивы xz были заражены бэкдором».

Пакет xz-utils используется для сжатия файлов/каталогов с использованием формата сжатия XZ, обычно используемого на машинах Linux

Thumbnail: LinuxLinux (/ˈlɪnəks/ [ˈlɪnəks] или [ˈlɪnʊks]), Ли́нукс) — семейство Unix-подобных операционных систем на базе ядра Linux, включающих тот или иной набор утилит и программ проекта GNU, и, возможно, другие компоненты. Как и ядро Linux, системы на его основе как правило создаются и распространяются в соответствии с моделью разработки свободного и открытого программного обеспечения. Linux-системы распространяются в основном бесплатно в виде различных дистрибутивов — в форме, готовой для установки и удобной для сопровождения и обновлений, — и имеющих свой набор системных и прикладных компонентов, как свободных, так возможно и собственнических. Появившись как решения вокруг созданного в начале 1990-х годов ядра, уже с начала 2000-х годов системы Linux являются основными для суперкомпьютеров и серверов, расширяется применение их для встраиваемых систем и мобильных устройств, некоторое распространение системы получили и для персональных компьютеров. Википедия

Читайте также:Playtron анонсировала PlaytronOS на базе Linux и игровой портативный компьютерAMD добавляет поддержку Zen 5 в компилятор Linux GCCLinux получит собственный «синий экран смерти»Выпущена портативная игровая консоль Anbernic RG353M в ретро-стилеJingOS – аналог iPadOS на базе Linux

и Unix. На момент написания Ubuntu 24.04 (Noble Numbat) использовал версию 5.6.1 xz-utils, которая была одной из двух затронутых версий. Пересобрав пакеты с помощью заведомо исправных сред сборки кода, Canonical утверждает, что это «дает нам уверенность в том, что ни один двоичный файл в наших сборках не может быть затронут этой новой угрозой».

Конечно, можно опробовать ежедневные сборки, но никто не гарантирует, что они не содержат вредоносного кода.

Означает ли это, что дата выхода 25 апреля будет перенесена? Бывший сотрудник Canonical и известный подкастер Linux Алан «Popey» Поуп провел опрос на Mastodon, спрашивая, может ли выпуск Ubuntu 24.04 быть отложен. На момент написания 58% полагают, что он выйдет вовремя, а 42% опасаются, что он может быть отложен.

Последний раз выпуск Ubuntu был отложен в 2006 году: выпуск Ubuntu 6.06 «Dapper Drake» был отложен на два месяца, чтобы дать команде больше времени для реализации дополнительных функций для того, что должно было стать ключевым дистрибутивом Linux. В Ubuntu 6.06 были объединены живой и установочный компакт-диски, а также графический установщик и средство для установки ОС на USB-накопитель.

Затронуты ли другие дистрибутивы Linux?

Согласно списку, составленному helpnetsecurity.com, ситуация выглядит неоднозначно:

Подписаться на обновления Новости / Технологии

0 комментариев

Оставить комментарий


Новые комментарии

Указан неверный диаметр вентиляторов, не 80 мм, а 100 мм. И чип не 103, а 102.
  • Анон
С прошлым обновлением как раз и появилась эта ошибка. А новое как и написано не дают скачать.
  • Анон
При включении 3D Turbo Mode у вас максимум будет доступно 8 ядер и 8 потоков всего. т.е. если у вас 16 ядерный на 32 потока то будет всего 8 ядер и 8 потоков! Странная оптимизация!
  • Анон
После скачивания вышел синий экран СУПЕР!
  • Анон
требуется указать магазин и purchase date без этого не регистрирует
  • Анон
Россия на них клала❤❤❤❤, будет называться Ладушка 2.0 )))
  • Анон
ДА у меня тоже неработает уже все Вы не знаете каким способом вернуть все обратно СПАСИ
  • Анон
Хаетв Рустам Базарвич Хаетв
  • Анон
Очень довольна приложением. Пользуюсь сама и рекомендую другим.
16 способ - Ноутбук HP ProBook 4740s автоматически установлена камера HP HD Webcam [Fixed] при этом онлайн из браузера подключается камера к веб страницам, камера работает. С приложениями камера...
  • Анон

Смотреть все