Бета-версия Ubuntu 24.04 отложена из-за вредоносного кода в xz-utils

3 апреля 2024, 19:33 / Технологии → Новости / Технологии

Согласно сообщению Discourse, бета-версия Ubuntu 24.04 (кодовое имя: Noble Numbat), которая должна была быть выпущена завтра, была отложена, и теперь мы должны ожидать ее 11 апреля. Причиной задержки называется CVE-2024-3094 — иначе известные как инструменты сжатия XZ, которые были скомпрометированы вредоносным кодом.

В сообщении Discourse Лукаш «sil2100» Земчак объявил, что Canonical (компания, стоящая за Ubuntu) «приняла решение удалить и пересобрать все бинарные пакеты, которые были созданы для Noble Numbat после того, как код CVE-2024-3094 был передан в xz-utils (26 февраля) в новых средах сборки».

Это означает, что любые двоичные файлы, созданные для последней версии Ubuntu, не будут затронуты недавней угрозой, представленной через xz-utils.

Угроза, которая также побудила Red Hat

Thumbnail: Red Hat Red Hat (с англ. — «красная шляпа») — американская компания, производитель программного обеспечения на основе операционной системы Linux: Red Hat Enterprise Linux (распространяется по годовой подписке), Fedora, CentOS, CoreOS. Кроме дистрибутивов Linux выпускала ряд системных и платформенных программных продуктов на основе открытого программного обеспечения, в том числе среду компиляции и выполнения приложений Linux под Windows — Cygwin, линейку связующего программного обеспечения под маркой JBoss, систему управления виртуализацией RHEV (включающую гипервизор KVM), дистрибутив Kubernetes OpenShift, программно-определяемые сети хранения Ceph и GlusterFS, системы управления конфигурациями на основе Ansible. Внесла существенный вклад в такие программные проекты, как GNOME, systemd, Pulseaudio, вошедшие в большинство современных дистрибутивов Linux. В числе услуг — техническая поддержка, обучение системных администраторов и разработчиков, приём практических лабораторных экзаменов (таких как RHCT и RHCE). Главный офис — в городе Роли (Северная Каролина). Википедия

выпустить срочное предупреждение безопасности, заключается в том, что вредоносный код внедряется в версии 5.6.0 и 5.6.1 xz-utils. Похоже, этот код вводит в системы бэкдор. Согласно сообщению Андреса Фройнда в списке рассылки Openwall:

«После наблюдения нескольких странных симптомов, связанных с liblzma (часть пакета xz) в установках Debian sid за последние недели (вход в систему с использованием ssh, отнимающий много ресурсов ЦП, ошибки valgrind), я нашел ответ:

Восходящий репозиторий xz и архивы xz были заражены бэкдором».

Пакет xz-utils используется для сжатия файлов/каталогов с использованием формата сжатия XZ, обычно используемого на машинах Linux

Thumbnail: Linux Linux (/ˈlɪnəks/ [ˈlɪnəks] или [ˈlɪnʊks]), Ли́нукс) — семейство Unix-подобных операционных систем на базе ядра Linux, включающих тот или иной набор утилит и программ проекта GNU, и, возможно, другие компоненты. Как и ядро Linux, системы на его основе как правило создаются и распространяются в соответствии с моделью разработки свободного и открытого программного обеспечения. Linux-системы распространяются в основном бесплатно в виде различных дистрибутивов — в форме, готовой для установки и удобной для сопровождения и обновлений, — и имеющих свой набор системных и прикладных компонентов, как свободных, так возможно и собственнических. Появившись как решения вокруг созданного в начале 1990-х годов ядра, уже с начала 2000-х годов системы Linux являются основными для суперкомпьютеров и серверов, расширяется применение их для встраиваемых систем и мобильных устройств, некоторое распространение системы получили и для персональных компьютеров. Википедия

и Unix. На момент написания Ubuntu 24.04 (Noble Numbat) использовал версию 5.6.1 xz-utils, которая была одной из двух затронутых версий. Пересобрав пакеты с помощью заведомо исправных сред сборки кода, Canonical утверждает, что это «дает нам уверенность в том, что ни один двоичный файл в наших сборках не может быть затронут этой новой угрозой».

Конечно, можно опробовать ежедневные сборки, но никто не гарантирует, что они не содержат вредоносного кода.

Означает ли это, что дата выхода 25 апреля будет перенесена? Бывший сотрудник Canonical и известный подкастер Linux Алан «Popey» Поуп провел опрос на Mastodon, спрашивая, может ли выпуск Ubuntu 24.04 быть отложен. На момент написания 58% полагают, что он выйдет вовремя, а 42% опасаются, что он может быть отложен.

Последний раз выпуск Ubuntu был отложен в 2006 году: выпуск Ubuntu 6.06 «Dapper Drake» был отложен на два месяца, чтобы дать команде больше времени для реализации дополнительных функций для того, что должно было стать ключевым дистрибутивом Linux. В Ubuntu 6.06 были объединены живой и установочный компакт-диски, а также графический установщик и средство для установки ОС на USB-накопитель.

Затронуты ли другие дистрибутивы Linux?

Согласно списку, составленному helpnetsecurity.com, ситуация выглядит неоднозначно:

На Ubuntu 24.04 это повлияло, а на предыдущие выпуски — нет.
Затронуты Red Hat, Fedora Rawhide (текущая сборка разработки Fedora Linux) и Fedora 40. Никакие версии Red Hat Enterprise Linux (RHEL) не затронуты.
Debian не затрагивает стабильные выпуски, но пользователям, использующим пакеты из тестовых, нестабильных и экспериментальных репозиториев Debian, настоятельно рекомендуется обновить пакет xz-utils.
Затронуты пользователи Kali Linux, которые обновили свои системы в период с 26 по 29 марта.
Затронуты некоторые установочные носители Arch Linux, контейнеры и виртуальные машины.
Linux Mint, Gentoo Linux, Alpine Linux и Amazon Linux не затронуты.