 |
| Foto di Darwin Laganzon da Pixabay |
Lo sviluppatore Andres Freund ha segnalato che il repository upstream XZ è stato compromesso con una backdoor che può colpire il software che si basa sulla libreria software liblzma. Questa compromissione può, a sua volta, influire sui login sicuri della shell sulle distribuzioni che eseguono systemd.
La scoperta è stata fatto dopo che Andres Freund aveva osservato alcuni strani sintomi relativi a liblzma (parte del pacchetto xz) sulle installazioni Debian Sid nelle ultime settimane (accessi con ssh che richiedono molta CPU, errori valgrind) e indagando ha capito a cosa era dovuto: il repository XZ e i tarball XZ sono risultati compromessi da una backdoor. All’inizio ha pensato che il problema riguardasse solo il pacchetto Debian, ma successivamente si è scoperto essere un problema alla radice del repository di XZ. Nello specifico questo codice è presente nelle versioni 5.6.0 e 5.6.1 delle suddette librerie.
La backdoor scovata influenza le sessioni OpenSSH su Debian e distribuzioni correlate, anche se OpenSSH non si basa su lzma. OpenSSH non utilizza direttamente liblzma. Tuttavia Debian e molte altre distribuzioni patchano OpenSSH per supportare la notifica di systemd e libsystemd dipende da lzma.
Stando a quanto dichiarato da Debian al momento non risulta che sia interessata alcuna versione stabile di Debian. I pacchetti compromessi facevano parte dei repository di Debian testing, unstable e experimental, distribuzioni per le quali, a seguito della scoperta della falla di sicurezza, i manteiner hanno provveduto a ripristinare la versione esente da backdoor.
Anche Red Hat è intervenuta sull’accaduto pubblicando un avviso di sicurezza per gli utenti di Fedora Linux 40 e Fedora Rawhide. Al momento non è stato dimostrato che le build di Fedora Linux 40 siano state compromesse. Per quanto concerne Fedora Rawhide, Red Hat chiede agli utenti di interrompere immediatamente l’utilizzo di qualsiasi istantanea di Fedora Rawhide per lavoro o attività professionale. Fedora Rawhide verrà ripristinata a xz-5.4.x a breve e, una volta fatto ciò, le istanze di Fedora Rawhide potranno essere ridistribuite in sicurezza.