Avisos de seguridad

Krovikan · March 30, 2024, 10:01am

El propósito de este hilo es que compartamos los avisos de seguridad.

Ayer aparecía en las listas de correo de openSuSE un aviso sobre XZ:

Phoronix se hizo eco de ello también:

El código malicioso afecta a los servicios SSH y autentificación por sshd.
Hoy Github ha desactivado el repositorio de XZ:

Se recomienda encarecidamente la actualización de XZ a 5.6.1.revertto5.4-3.2.

Saludos

Krovikan · March 30, 2024, 10:17pm

Tal y como se menciona en la lista de correo, muy importante actualizar a 20240329 salida hace 2h y reiniciar.
Todos los paquetes que tengas instalados se cambian por versiones rehechas sin el xz malicioso.

Saludos

sakunix · March 31, 2024, 7:04am

Que hace XZ?

Krovikan · March 31, 2024, 9:17am

Se usa para comprimir todos los paquetes de distribución.

Saludos

mikrios · March 31, 2024, 8:34pm

Hola:

En TW, las pruebas, creo que suelen partir de OpenQA y de ahí a factory, y después a salida;
como es posible que se creara una puerta trasera, en TW , Se suele probar con mucha frecuencia.

Se detecto en QA, o exterior a él? (leí así por encima, pero no detalle, donde está el origen. ?

Gracias y saludos cordiales .

Vernius · April 1, 2024, 8:57am

Hola. Por lo que he leido el paquete ya estaba en Tumbleweed desde hace un mes aprox., asi que lo mejor es o actualizar fuera de sesion grafica via tty o hacer una instalacion limpia si usabas protocolo ssh.
https://www.reddit.com/r/openSUSE/comments/1brt6pr/2000_package_update_for_tumbleweed_an_explanation/
Mi copnsejo, hacer una instalacion nueva, pq aun no saben con certeza el alcance de esta vulnerabilidad. Para el que entienda algo mas que yo, pongo este grafico que lo explica. Yo a este nivel, estoy perdido

sakunix · April 1, 2024, 10:16am

pues hacer un “zypper dup”

karlggest · April 1, 2024, 10:30am

Esto es un problema de lo que podemos llamar delegación perezosa. Por ejemplo TW usa xz para su distribución, pero como había un tipo que lo llevaba, pues dejaba que siguiera así. Los grandes trozos de software están en manos de empresas o organizaciones suficientemente financiadas y apoyadas, pero hay pequeños elementos que se dejan al albur de lo que le pase a al (uno, una unidad de) desarrollador de turno.

Si una pieza tiene un impacto tan profundo en el sistema, debe ser apoyada y financiada de alguna forma. Y si su mantenedor principal no puede hacerse cargo de ella por lo que sea, tiene que haber un apoyo para que alguien fiable lo sustituya.

También nos dice algo sobre el modelo de desarrollo de github, pero es otra cosa.

Salud!!

mikrios · April 2, 2024, 12:31am

Hola:
El archivo cambia de nombre,según la distro.
He buscado xz-utils y en Leap no aparece, así que hice una busca global con : HPOMEN:~ # compgen -cabk |grep -e xz

y si hay un xz

HPOMEN:~ # zypper if xz
para 15.5 es 5.2.3
Según lo que vi creo que ademas de TW está micro y hay mas que están afectados :

Saludos