Vulnerabilidad subida de peso en Linux (xz)

[cucerulo]

Ni más ni menos que les han colado un backdoor en un paquete bastante usado que permite conexiones remotas sin que el usuario se entere. Arch y derivadas parece que se libran, pero debian y redhat/fedora no.

liblzma and xz version 5.6.0 and 5.6.1 are vulnerable to arbitrary code execution compromise - Xe Iaso

xeiaso.net

Arch Linux - News: The xz package has been backdoored

archlinux.org

Urgent security alert for Fedora 41 and Fedora Rawhide users

Red Hat Information Risk and Security and Red Hat Product Security learned that the latest versions of the “xz” tools and libraries contain malicious code that appears to be intended to allow unauthorized access.

www.redhat.com

XZ Struck By Malicious Code That Could Allow Unauthorized Remote System Access - Phoronix

www.phoronix.com

[SECURITY] [DSA 5649-1] xz-utils security update

lists.debian.org

Backdoor found in xz 5.6.1 (#2) · Issues · Arch Linux / Packaging / Packages / xz · GitLab

Description: Backdoor was found in the 5.6.0 - 5.6.1 releases (ref: https://www.openwall.com/lists/oss-security/2024/03/29/4). Arch is most likely...

gitlab.archlinux.org

Es lo que tiene alcanzar el 4% de usuarios, que cada día será más apetecible.

 

[lokeno100]

Gracias cerdito, yo estoy dando estas cosas ahora en FP de grado superior, el bash de linux, y todos los comandos y algunos paquetes. Los editores de texto vim y nano ni los conocían.

Me viene bien saber esto, en el aula uso debian.

Pero ahora estoy dando el PS de windows que también está en el temario.

saludos.

 

[Gatoo_]

Es lo que tiene alcanzar el 4% de usuarios, que cada día será más apetecible.

Descuida, mañana estará solucionado.

 

[audienorris1899]

¿Vulnerabilidad? ¿Qué vulnerabilidad?

XZ es una más de las cientos de librerías que corren en todos los sistemas GNU/Linux y una más de las decenas de miles que pueden llegar a correr en Linux. El desarrollador y mantenedor principal de XZ es @JiaT75 y quién es @JiaT75 pues ni más ni menos que Jia Tan. ¿Quién es Jia Tan? Pues alguien bajo una identidad falsa, que ha contribuido en varios proyectos, incluido el kernel de Linux. Seguramente Jia Tan será uno de los muchos mantenedores y desarrolladores de librerías de código abierto bajo el paraguas de los servicios secretos de sus respectivos países.

Hay que ser tan estulto como @Gatoo_ ,que no hay hilo de Linux en el que no demuestre su severo retraso, para creer que Linux es más seguro que Windows, cuando en vuestro PC bajo Linux estáis corriendo software de miles de "desarrolladores" como Jia Tan y ya sólo por eso, hay que tener los bemoles de acero para afirmar algo así. Hace poco escribí esto:

Si instalas Windows o Android es porque confías en Microsoft y Google. Si instalas Tiny 11 es porque confías en su creador; del mismo modo que tú instalas Linux Mint porque confías en Clément Lefèbvre. No sé yo, pero si alguien quiere usar la contraseña de mi banco para robarme el dinero, creo que me la robaría antes Clément que la propia Microsoft o Google. De hecho, ojalá me la robase alguno de los trabajadores de Microsoft, porque la indemnización sería de órdago.

Del mismo modo, yo prefiero sincronizar todas mis contraseñas en Google Chrome y Mozilla Firefox antes que en cualquier fork creado por usuarios anónimos.

Pues eso, al usar Linux estáis confiando vuestros datos y seguridad en algunas personas reales y en otras que se esconden bajo o un nick o identidad falsa. La mayoría tendrán buenas intenciones, pero ¿quién lo garantiza?

Lo que ha sucedido es muy grave, pero no por ello inesperado (por mí). Esto no se trata de un desarrollador maligno que ha logrado colar un commit malo en un proyecto, sino que estamos hablando del propio responsable del proyecto el que ha distribuido el malware. Es como si Windows Update -y absteneos de hacer comentarios cuñaos sobre si Windows espía o no- a través de una de sus actualizaciones del Windows Update distribuyese un troyano.

Esto va dedicado para los que creen que Linux es más seguro porque se audita el código fuente JA JA y JA. Ni el 1% de lo que corre en cualquier sistema Linux habrá sido correctamente auditado y quién sabe cuántas más puertas traseras se esconderán en software aparentemente limpio. Por cierto, el que ha descubierto esto es un trabajador de... Microsoft.

Entre esto y los temas de escritorio aparentemente benignos, que al desinstalarlos se cargan todos los ficheros que están a su alcance, es una semana trágica para los amapingüinos del foro, que son ni más ni menos que todos los usuarios de Linux de Burbuja, excepto @IntelME que fue el único que no se escandalizó cuando leyó mi tan repetida frase en el foro: Windows 11 es más seguro que GNU/Linux.

 

[duf28]

Ni más ni menos que les han colado un backdoor en un paquete bastante usado que permite conexiones remotas sin que el usuario se entere. Arch y derivadas parece que se libran, pero debian y redhat/fedora no.

liblzma and xz version 5.6.0 and 5.6.1 are vulnerable to arbitrary code execution compromise - Xe Iaso

xeiaso.net

Arch Linux - News: The xz package has been backdoored

archlinux.org

Urgent security alert for Fedora 41 and Fedora Rawhide users

Red Hat Information Risk and Security and Red Hat Product Security learned that the latest versions of the “xz” tools and libraries contain malicious code that appears to be intended to allow unauthorized access.

www.redhat.com

XZ Struck By Malicious Code That Could Allow Unauthorized Remote System Access - Phoronix

www.phoronix.com

[SECURITY] [DSA 5649-1] xz-utils security update

lists.debian.org

Backdoor found in xz 5.6.1 (#2) · Issues · Arch Linux / Packaging / Packages / xz · GitLab

Description: Backdoor was found in the 5.6.0 - 5.6.1 releases (ref: https://www.openwall.com/lists/oss-security/2024/03/29/4). Arch is most likely...

gitlab.archlinux.org

Es lo que tiene alcanzar el 4% de usuarios, que cada día será más apetecible.

Cierto. Windows es mucisisissimo más seguro. Que me lo ha dicho el señor BilliePuertas.

Mañana, arreglao.

 

[Carrus Magníficus]

En Termux ya lo han actualizado...

The amowing packages will be upgraded:
c-ares curl libcurl liblzma xz-utils zstd
6 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 1883 kB of archives.
After this operation, 16.4 kB of additional disk space will be used.
Do you want to continue? [Y/n]

 

[Omegatron]

Esto es linux.

Pero hoy en día que todo es desarrollo web, incluso de apps movil y escritorio, se hacen web. Cualquier fulano modifica una dependencia y ataca a millones de aplicaciones y plataformas.

 

[Conde Duckula]

¿Vulnerabilidad? ¿Qué vulnerabilidad?

XZ es una más de las cientos de librerías que corren en todos los sistemas GNU/Linux y una más de las decenas de miles que pueden llegar a correr en Linux. El desarrollador y mantenedor principal de XZ es @JiaT75 y quién es @JiaT75 pues ni más ni menos que Jia Tan. ¿Quién es Jia Tan? Pues alguien bajo una identidad falsa, que ha contribuido en varios proyectos, incluido el kernel de Linux. Seguramente Jia Tan será uno de los muchos mantenedores y desarrolladores de librerías de código abierto bajo el paraguas de los servicios secretos de sus respectivos países.

Hay que ser tan estulto como @Gatoo_ ,que no hay hilo de Linux en el que no demuestre su severo retraso, para creer que Linux es más seguro que Windows, cuando en vuestro PC bajo Linux estáis corriendo software de miles de "desarrolladores" como Jia Tan y ya sólo por eso, hay que tener los bemoles de acero para afirmar algo así. Hace poco escribí esto:



Pues eso, al usar Linux estáis confiando vuestros datos y seguridad en algunas personas reales y en otras que se esconden bajo o un nick o identidad falsa. La mayoría tendrán buenas intenciones, pero ¿quién lo garantiza?

Lo que ha sucedido es muy grave, pero no por ello inesperado (por mí). Esto no se trata de un desarrollador maligno que ha logrado colar un commit malo en un proyecto, sino que estamos hablando del propio responsable del proyecto el que ha distribuido el malware. Es como si Windows Update -y absteneos de hacer comentarios cuñaos sobre si Windows espía o no- a través de una de sus actualizaciones del Windows Update distribuyese un troyano.

Esto va dedicado para los que creen que Linux es más seguro porque se audita el código fuente JA JA y JA. Ni el 1% de lo que corre en cualquier sistema Linux habrá sido correctamente auditado y quién sabe cuántas más puertas traseras se esconderán en software aparentemente limpio. Por cierto, el que ha descubierto esto es un trabajador de... Microsoft.

Entre esto y los temas de escritorio aparentemente benignos, que al desinstalarlos se cargan todos los ficheros que están a su alcance, es una semana trágica para los amapingüinos del foro, que son ni más ni menos que todos los usuarios de Linux de Burbuja, excepto @IntelME que fue el único que no se escandalizó cuando leyó mi tan repetida frase en el foro: Windows 11 es más seguro que GNU/Linux.

Menudo cuñao, llamando cuañaos a otros.
En Windows han tenido backdoors durante años, avisados y todo y les daba igual. Hasta que a alguien se le hincharon los narices y se dedicó a airear la hez haciendo ataques random.
En código abierto lo detectan y al día siguiente le están poniendo solución.
jorobar es que defender a Windows donde pasan toneladas de hez al año. Es de ser muy cm.

 

[Suave]

¿Vulnerabilidad? ¿Qué vulnerabilidad?

XZ es una más de las cientos de librerías que corren en todos los sistemas GNU/Linux y una más de las decenas de miles que pueden llegar a correr en Linux. El desarrollador y mantenedor principal de XZ es @JiaT75 y quién es @JiaT75 pues ni más ni menos que Jia Tan. ¿Quién es Jia Tan? Pues alguien bajo una identidad falsa, que ha contribuido en varios proyectos, incluido el kernel de Linux. Seguramente Jia Tan será uno de los muchos mantenedores y desarrolladores de librerías de código abierto bajo el paraguas de los servicios secretos de sus respectivos países.

Hay que ser tan estulto como @Gatoo_ ,que no hay hilo de Linux en el que no demuestre su severo retraso, para creer que Linux es más seguro que Windows, cuando en vuestro PC bajo Linux estáis corriendo software de miles de "desarrolladores" como Jia Tan y ya sólo por eso, hay que tener los bemoles de acero para afirmar algo así. Hace poco escribí esto:



Pues eso, al usar Linux estáis confiando vuestros datos y seguridad en algunas personas reales y en otras que se esconden bajo o un nick o identidad falsa. La mayoría tendrán buenas intenciones, pero ¿quién lo garantiza?

Lo que ha sucedido es muy grave, pero no por ello inesperado (por mí). Esto no se trata de un desarrollador maligno que ha logrado colar un commit malo en un proyecto, sino que estamos hablando del propio responsable del proyecto el que ha distribuido el malware. Es como si Windows Update -y absteneos de hacer comentarios cuñaos sobre si Windows espía o no- a través de una de sus actualizaciones del Windows Update distribuyese un troyano.

Esto va dedicado para los que creen que Linux es más seguro porque se audita el código fuente JA JA y JA. Ni el 1% de lo que corre en cualquier sistema Linux habrá sido correctamente auditado y quién sabe cuántas más puertas traseras se esconderán en software aparentemente limpio. Por cierto, el que ha descubierto esto es un trabajador de... Microsoft.

Entre esto y los temas de escritorio aparentemente benignos, que al desinstalarlos se cargan todos los ficheros que están a su alcance, es una semana trágica para los amapingüinos del foro, que son ni más ni menos que todos los usuarios de Linux de Burbuja, excepto @IntelME que fue el único que no se escandalizó cuando leyó mi tan repetida frase en el foro: Windows 11 es más seguro que GNU/Linux.

Muy interesante el post, mis dieses. Material para pensar.

 

[cucerulo]

Descuida, mañana estará solucionado.

Ayer mismo estaba corregido, pero el problema no es ese. Es el mes que se pasó el paquete "con regalito" en los repositorios, o no saber si puede haber más con algo similar.

 

[Gatoo_]

Ayer mismo estaba corregido, pero el problema no es ese. Es el mes que se pasó el paquete "con regalito" en los repositorios, o no saber si puede haber más con algo similar.

Nada que no le lleve pasando a Windows desde antes de que naciera la mitad de este foro, con la diferencia de que Microsoft lo soluciona cuando le viene bien, pero sin prisa.

 

[La cualquiera del entorno]

CMs de ciberseguridad, gracias por el hype pero es un eval en el script de construcción de una biblioteca. Ya ves tu las capacidades de comprometer que tiene eso

BUUUUM GORDÍSIMA BUUUUM BUUUUUUUUUUUUUUUM

 

[cucerulo]

Nada que no le lleve pasando a Windows desde antes de que naciera la mitad de este foro.

En mi pueblo a eso le llaman "mal de muchos consuelo de simples".

A mi que también le pase a otros me da igual, el problema sigue siendo que les han colado un gol tremendo, han tardado un mes en darse cuenta, el tema lo encontraron de chiripa y de momento nadie puede asegurar que no se repita o que no haya más paquetes con sorpresa... pues oiga, como que no me deja muy tranquilo la cosa...

 

[Gatoo_]

En mi pueblo a eso le llaman "mal de muchos consuelo de simples".

A mi que también le pase a otros me da igual, el problema sigue siendo que les han colado un gol tremendo, han tardado un mes en darse cuenta, el tema lo encontraron de chiripa y de momento nadie puede asegurar que no se repita o que no haya más paquetes con sorpresa... pues oiga, como que no me deja muy tranquilo la cosa...

El mal de muchos es el de los usuarios de Windows.

Que pase una vez en Linux es mal de pocos, por eso cuando ocurre en Linux es noticia, porque no hay páginas suficientes en la prensa digital para abarcar todos los agujeros de Windows.

 

[ksa100]

Los bordenline que todavía usan Windows se atan a lo que sea para criticar a Linux.