Внимательные пользователи наверняка заметили, что бета-версия Ubuntu 24.04 Noble Numbat до сих пор не выложена на официальных серверах, хотя казалось бы, согласно графику разработки выйти она должна была еще 4 апреля. Как оказалось, выпуск бета-версии решено было отложить до 11 числа, и связано это с уязвимостью CVE-2024-3094, найденной в пакете xz-utils (а именно - в библиотеке liblzma).
Сотрудник Canonical Лукаш Земчак (sil2100) в рамках Ubuntu Discourse отметил:
"Компания Canonical приняла решение удалить и пересобрать все бинарные пакеты, созданные для Noble Numbat после того, как код CVE-2024-3094 был передан в xz-utils (26 февраля) в новых средах сборки. Это дает нам уверенность в том, что ни один двоичный файл в наших сборках не может быть затронут этой новой угрозой".
Пакет xz-utils используется в Linux-дистрибутивах для сжатия файлов при помощи алгоритма XZ. Основной целью бэкдора является сервер OpenSSH, который в некоторых дистрибутивах (в том числе и в Ubuntu) связан с библиотекой libsystemd, использующей для сжатия liblzma (подробнее). Поначалу предполагалось, что этот бэкдор позволяет обойти аутентификацию в sshd и получить доступ к системе через SSH, однако позже оказалось, что он дает возможность выполнить произвольный код в системе, не оставляя следов в логах sshd (подробнее о разборе логики его работы).
Стоит отметить, что поддерживаемые стабильные версии Ubuntu не подвержены этой уязвимости, если только скомпрометированная библиотека не была установлена вручную пользователем принудительно из сторонних репозиториев. Также Canonical дополнительно отмечает, что зараженная библиотека не поставлялась в составе дневных сборок Ubuntu 24.04, однако была доступна в proposed-репозитории для 24.04 ("Обновления, не вошедшие в официальный выпуск").
Пока неизвестно, повлияет ли недельная задержка бета-версии на дату выпуска финального релиза Ubuntu 24.04. Пока что он по-прежнему назначен на 25 апреля.
Комментарии
поточу что - самопал
Добавить комментарий