… e outros serviços! O compartilhamento de bibliotecas e de APIs, é um dos aspectos mais incríveis do gerenciamento de pacotes das distribuições GNU/Linux! Além de reduzir bastante o espaço ocupado pelas aplicações & serviços, também facilita bastante a vida dos desenvolvedores, já que não precisam “reinventar a roda” para criar os componentes necessários para os seus softwares. E toda esta sofisticada infraestrutura de pacotes & dependências são administradas de forma muito eficiente, através das principais ferramentas de gestão de pacotes…
“Researchers have found a malicious backdoor in a compression tool that made its way into widely used Linux distributions, including those from Red Hat and Debian. The compression utility, known as xz Utils, introduced the malicious code in versions 5.6.0 and 5.6.1, according to Andres Freund, the developer who discovered it. There are no known reports of those versions being incorporated into any production releases for major Linux distributions, but both Red Hat and Debian reported that recently published beta releases used at least one of the backdoored versions…”
— by Ars Technica.
No entanto, também trazem alguns inconvenientes, quando determinados pacotes (que são dependências para o funcionamento de muitas aplicações & serviços) apresentam problemas. Este é o caso do XZ Utils, um utilitário de compressão essencial para o funcionamento de vários softwares, destacando-se a linguagem de programação Python (versões 3.11 e 3.12), o compilador GNU CC (GCC) e o serviço SSH (OpenSSH): Andres Freund (desenvolvedor do Projeto OpenWall) descobriu a existência de códigos maliciosos implantados na biblioteca LZMA (liblzma)!
As versões do pacote XZ Utils afetadas pelo backdoor em questão são as 5.6.0 e 5.6.1. Já as principais distribuições afetadas, são geralmente aquelas voltadas para o desenvolvimento de futuros sistemas que se tornarão estáveis (e por isto, não são utilizadas em ambientes de produção, como o Debian “Testing” e o Fedora “Rawhite”), além de outras populares classificadas como “experimentais”. No entanto, algumas distribuições “rolling-releases” (que recebem atualizações contínuas) também podem ser afetadas, como é o caso do Arch Linux.
A vulnerabilidade já foi registrada pelo NIST em seu banco de dados nacional (NVD), recebendo o código CVE 2024-3090. Com base no sistema de classificação CVSS (Common Vulnerability Scoring System), ela recebeu duas pontuações bem distintas, a saber: N/A pelo próprio NIST e 10,0 pela Red Hat (valor este, que representa o nível máximo de criticidade possível). Apesar de ser um pacote estável e pronto para ser utilizado em ambientes de produção, a maioria das distribuições ainda não o incluíram em seus repositórios oficiais e por isto, certamente não serão afetados pelo backdoor em questão.
À esta altura, nem é preciso dizer para manter o sistema atualizado… &;-D