Vulnerabilidad subida de peso en Linux (xz)

[cucerulo]

La seguridad de Linux (o de MacOS) está muy mitificada.

Más que mitificada lo que veo es que hay una sensación de falsa seguridad tremenda, de "en Linux no se puede colar nada así que no me preocupo", cuando estamos viendo que sí están pasando cosas. Entonces movemos las porterías y cambiamos el "no se puede colar nada" por "se arregla rápidamente". Como tú dices, si hubiera una base del 50% de usuarios el número de amenazas y agujeros se multiplicaría exponencialmente.

Eso sí, en este caso parece que sí están reaccionando muy rápido,

Linux Firmware Update Utility Fwupd Will Use Zstd Compression for Future Releases - 9to5Linux

Linux firmware update utility fwupd is moving away from XZ Utils and will use zstd (Zstandard) for future releases for compressing metadata.

9to5linux.com

After a Recent SSH Vulnerability, Systemd Reduces Dependencies

Recent sshd/xz backdoor (CVE-2024-3094 ) reveals risks in systemd's libsystemd, sparking debate on dependency reduction.

linuxiac.com

Yo tengo Arch y me coló la versión trucha (aunque estuvo poco).

Yo Manjaro y podían haberla incluso dejado, como sólo funcionaba en rpm y deb...

 

[cucerulo]

es ventajista comentarlo ahora, pero quién demonios quiere revisar líneas de código en su tiempo libre tras haberse pasado 10 horas haciendo lo mismo en su trabajo? Pues muy poca gente. Y quién tan entusiasta como para hacer un trabajo profesional a cambio de nada material? Pues menos personas aún. Encima no hablamos de revisar faltas de ortografía, aunque no tengo ni astuta, imagino que fácil no será, revisar/subsanar programas.

Así se llegan a extremos como el de este meme...

 

[pamplinero]

A ve si con este toque de atencion, los gobiernos se ponen las pilas y se dedican a detectar las vulnerabilidades que el "bando contrario" trata de colar en el opensource. Asi por lo menos habria cierto "equilibrio en las fuerzas oscuras". Ni mas ni menos que la guerra fria, pero en el ciberespacio.

Porque como un gobierno o "grupo" tome la delantera tecnologicamente hablando, y tenga supremacia tecnologica, estamos dolidos. Si es que no lo estamos ya.

 

[Clorhídrico]

Dejar la revisión (de seguridad) de código en manos de voluntarios es una mala política. O se incentiva de alguna forma, o estos "sustos" van a empezar a darse de forma exponencial.

 

[Nuucelar]

Dejar la revisión (de seguridad) de código en manos de voluntarios es una mala política. O se incentiva de alguna forma, o estos "sustos" van a empezar a darse de forma exponencial.

Exacto.

 

[Nuucelar]

Agradezco los aportes de @cucerulo y @audienorris1899

 

[Nuucelar]

Los bordenline que todavía usan Windows se atan a lo que sea para criticar a Linux.

Ambos SO tienen pros y contras.

 

[Nuucelar]

Hilo interesante @Cuncas

 

[Gatoo_]

es ventajista comentarlo ahora, pero quién demonios quiere revisar líneas de código en su tiempo libre tras haberse pasado 10 horas haciendo lo mismo en su trabajo? Pues muy poca gente. Y quién tan entusiasta como para hacer un trabajo profesional a cambio de nada material? Pues menos personas aún. Encima no hablamos de revisar faltas de ortografía, aunque no tengo ni astuta, imagino que fácil no será, revisar/subsanar programas.

Es verdad. Nadie hace esos trabajos gratuitamente, por eso Linux no existe

 

[Charidemo]

¿Vulnerabilidad? ¿Qué vulnerabilidad?

XZ es una más de las cientos de librerías que corren en todos los sistemas GNU/Linux y una más de las decenas de miles que pueden llegar a correr en Linux. El desarrollador y mantenedor principal de XZ es @JiaT75 y quién es @JiaT75 pues ni más ni menos que Jia Tan. ¿Quién es Jia Tan? Pues alguien bajo una identidad falsa, que ha contribuido en varios proyectos, incluido el kernel de Linux. Seguramente Jia Tan será uno de los muchos mantenedores y desarrolladores de librerías de código abierto bajo el paraguas de los servicios secretos de sus respectivos países.

Hay que ser tan estulto como @Gatoo_ ,que no hay hilo de Linux en el que no demuestre su severo retraso, para creer que Linux es más seguro que Windows, cuando en vuestro PC bajo Linux estáis corriendo software de miles de "desarrolladores" como Jia Tan y ya sólo por eso, hay que tener los bemoles de acero para afirmar algo así. Hace poco escribí esto:



Pues eso, al usar Linux estáis confiando vuestros datos y seguridad en algunas personas reales y en otras que se esconden bajo o un nick o identidad falsa. La mayoría tendrán buenas intenciones, pero ¿quién lo garantiza?

Lo que ha sucedido es muy grave, pero no por ello inesperado (por mí). Esto no se trata de un desarrollador maligno que ha logrado colar un commit malo en un proyecto, sino que estamos hablando del propio responsable del proyecto el que ha distribuido el malware. Es como si Windows Update -y absteneos de hacer comentarios cuñaos sobre si Windows espía o no- a través de una de sus actualizaciones del Windows Update distribuyese un troyano.

Esto va dedicado para los que creen que Linux es más seguro porque se audita el código fuente JA JA y JA. Ni el 1% de lo que corre en cualquier sistema Linux habrá sido correctamente auditado y quién sabe cuántas más puertas traseras se esconderán en software aparentemente limpio. Por cierto, el que ha descubierto esto es un trabajador de... Microsoft.

Entre esto y los temas de escritorio aparentemente benignos, que al desinstalarlos se cargan todos los ficheros que están a su alcance, es una semana trágica para los amapingüinos del foro, que son ni más ni menos que todos los usuarios de Linux de Burbuja, excepto @IntelME que fue el único que no se escandalizó cuando leyó mi tan repetida frase en el foro: Windows 11 es más seguro que GNU/Linux.

Con todo y lo que has dicho Windows 11 no es mas seguro.

 

[Gatoo_]

Más que mitificada lo que veo es que hay una sensación de falsa seguridad tremenda, de "en Linux no se puede colar nada así que no me preocupo", cuando estamos viendo que sí están pasando cosas. Entonces movemos las porterías y cambiamos el "no se puede colar nada" por "se arregla rápidamente". Como tú dices, si hubiera una base del 50% de usuarios el número de amenazas y agujeros se multiplicaría exponencialmente.

Eso sí, en este caso parece que sí están reaccionando muy rápido,

Linux Firmware Update Utility Fwupd Will Use Zstd Compression for Future Releases - 9to5Linux

Linux firmware update utility fwupd is moving away from XZ Utils and will use zstd (Zstandard) for future releases for compressing metadata.

9to5linux.com

After a Recent SSH Vulnerability, Systemd Reduces Dependencies

Recent sshd/xz backdoor (CVE-2024-3094 ) reveals risks in systemd's libsystemd, sparking debate on dependency reduction.

linuxiac.com

Yo Manjaro y podían haberla incluso dejado, como sólo funcionaba en rpm y deb... Ver archivo adjunto 1850091

La seguridad de Linux reside en el sistema de permisos. Si se te cuelan pero no pueden hacer nada sin que el administrador lo autorice, entonces es como si no se hubieran colado.

Por eso Windows es al ordenador lo que Pedro Sánchez es a España: un coladero de personas de color que campan a sus anchas y a los que se les pone todo en bandeja

 

[cucerulo]

La seguridad de Linux reside en el sistema de permisos. Si se te cuelan pero no pueden hacer nada sin que el administrador lo autorice, entonces es como si no se hubieran colado.

El XZ del que hablamos permitiría acceso directo por SSH al ordenador como administrador sin que te enterases de nada y sin que el sistema de permisos sirviera para nada.

¿Sabes lo que es "escalada de privilegios"? Aprovechar programas (incluidos algunos del propio sistema) con fallos de diseño o problemas conocidos para convertirte en administrador o ejecutar comandos como administrador. Por ejemplo:

Privilege escalation using setuid :: Aloïs Micard

How to gain root access by exploiting wrongly designed setuid executables.

blog.creekorful.org

Busca un exploit que te permita modificar la variable LD_PRELOAD y verás que risas.

Chkrootkit, rkhunter, Aide, Linys, etc, existen por algo.

No hay que caer en la paranoia, pero tampoco es aceptable esa falsa seguridad. Y repito, lo que pase con Windows me da igual. Si me entran a robar en casa no me consuela saber que en casa del vecino entraron diez veces mas.

 

[angrymorty]

Es verdad. Nadie hace esos trabajos gratuitamente, por eso Linux no existe

No, hombre.

lo que digo es bien simple, sin incentivo económico cuesta más. Y no digo que no exista el retorno económico, obviamente también se pagan por desarrollos en linux, no obstante, hay una enorme proporción de trabajo sin auditoría directa ni responsabilidad profesional, abandonándose casi todo al prestigio y entusiasmo. No digo que esté mal, pero ni de coña es tan productivo como hacerlo amenazado por no pagar la hipoteca.

 

[Gatoo_]

Y repito, lo que pase con Windows me da igual. Si me entran a robar en casa no me consuela saber que en casa del vecino entraron diez veces mas.

¿Entonces estarías dispuesto a cambiar tu casa por la del vecino?

 

[Gatoo_]

No, hombre.

lo que digo es bien simple, sin incentivo económico cuesta más. Y no digo que no exista el retorno económico, obviamente también se pagan por desarrollos en linux, no obstante, hay una enorme proporción de trabajo sin auditoría directa ni responsabilidad profesional, abandonándose casi todo al prestigio y entusiasmo. No digo que esté mal, pero ni de coña es tan productivo como hacerlo amenazado por no pagar la hipoteca.

¿Tú que haces con más interés y empeño: arreglar el ordenador del jefe o el tuyo propio de tu casa?