Proponha uma correção, faça uma sugestão
Linux de novo com “buraco”. Descoberta backdoor na biblioteca xz
Uma backdoor consiste na exploração de uma vulnerabilidade que permite o acesso não autorizado a um sistema operativo. Recentemente foi descoberta uma backdoor na biblioteca xz para Linux.
Linux: ataques via SSH possíveis
A biblioteca xz é usada em sistemas Linux como uma biblioteca de compactação que implementa o algoritmo LZMA2. Esta biblioteca proporciona uma elevada taxa de compressão e um boa velocidade de descompressão.
De acordo com as informações, a backdoor foi descoberta depois de um utilizador observar alguns sintomas estranhos na biblioteca liblzma, que faz parte do pacote xz. Do que se sabe, no repositório xz upstream e nos tarballs xz foi implementada uma backdoor.
Tendo esta porta aberta no sistema, um atacante poderia aceder remotamente a uma máquina via SSH. Esta falha no Linux afeta as mais diversas distribuições. De referir também que a backdoor foi descoberta, pois o utilizador foi investigar o porquê das ligações por SSH passarem a ter o dobro de latência.
Plans to literally "hack the planet" foiled due to 500ms of latency that Andres instinctually investigated.
The latency was due how the malicious code parsed symbol tables in memory.https://t.co/WNExkhVbTx pic.twitter.com/s79rFsE08e
— HaxRob (@haxrob) March 30, 2024
Relativamente a quem implementou tal backdoor ainda não há informação concreta, mas desconfia-se já de alguém, tendo em conta o historial. Certamente nos próximos dias haverá mais detalhes sobre esta falha. Pode acompanhar a vulnerabilidade aqui - CVE-2024-3094 (que tem a classificação ao nível de severidade de 10 em 10).
Loading ...
Falha local, não funciona remotamente. No Ubuntu já está corrigido
Essa falha e so na versoes do 5.6.0 e 5.6.1 e o ubuntu 22.04 lts nao usam essa versao desse pacote
Nem perto lá andaste.
As ligações SSH funcionam via Internet, logo há exposição ao risco a 100%.
No Ubuntu “já está corrigido” porque a versão que o Ubuntu usa é muito mais ANTIGA do que as 5.6.0 e 5.6.1 que estão comprometidas. Por outras palavras, nunca foi comprometido (em princípio).
Distribuições como ARCH, DEBIAN SID, FEDORA e KALI, que usam sempre os pacotes mais recentes NÃO DEVEM SER USADAS até os pacotes afectados serem removidos ou actualizados para outros mais seguros.
Trata-se de uma FALHA GRAVÍSSIMA… para servidores com portas abertas à Internet e com acessos via SSH.
Isto só afetou distros rolling release e bleeding edge.. Quem anda nos mints, ubuntus, zorins da vida nem sequer foi afetado. Foi apenas um commit de um chouriço malicioso que felizmente foi logo reportado.
A destacar coisas interessantes, uma falha destas que é apenas uma agulha por onde era possível elevar privilégios, foi corrigida em apenas 2 ou 3 dias. A titulo de comparação, o Windows 11 conta ainda hoje com falhas identificadas à mais de 12 anos. E bem mais graves do que isto, ou por outra palavras, muito mais fáceis de serem exploradas, local e remotamente. A segurança em qualquer sistema operacional nos dias de hoje é apenas um conceito. Na prática ninguém está verdadeiramente seguro. Existem práticas e ações a tomar para blindar mais um sistema, só que à medida que aperta a segurança, diminui drasticamente a usabilidade.
Os windows tem falhas herdadas dos windows desde do 3.11 e ninguem reclama enfim e a microsoft nao mexe nisso porque o windows usa coisa legadadas desses sistemas e se mexer estragam tudo, so que isso ninguem reclama
Mas foi uma sorte enorme que um engenheiro informático reparou que os acessos via SSH passaram a demorar muito mais tempo do que era normal (em microssegundos).
Tanto investigou que verificou que o ataque ocorreu upstream e não no DEBIAN SID. Quem fez o commit parece ter sido alguém com um passado duvidoso em outras submissões de código suspeitas, com apoio de outros programadores.
Podemos estar a falar de um ataque a nível “estadual” ou grande grupo organizado de crackers maliciosos.
Isto não é um bug, é mesmo código MALICIOSO.
Já parece o Pindo da Costa a falar do Benfica. O facto do W11 ter algumas falhas não invalida que esta falha do Linux não tenha existido.
Todos os sistemas têm bugs e falhas que vão sendo descobertas e resolvidas. É a vida.
Todos têm mas importa a que velocidade são resolvidas quando descobertas.
Ele não disse que não existiu. Ele disse que a falha não era assim tão grande e que para além de não ter afetado quase ninguém que usa Linux, porque mesmo quem usa Linux, é uma minoria o pessoal que usa arch puro, Gentoo ou Debian testing que foram basicamente essas as únicas distros afetadas. E que 3 dias depois já tinham lançado uma atualização para a corrigir. Ou seja, estão a fazer uma tempestade num copo de água.
Como assim não há informação concreta de quem foi? É só ver o histórico de commits e sabe-se logo quem foi/foram. Isso em 15 minutos no máximo está visto. Se não sabem porque aceitam commits de qualquer um então existem problemas mais graves de segurança nesta biblioteca.
Sabem sim. Isto foi um trabalho que demorou quase um ano a desenrolar. Como disseram acima, deve ser algo a nível estadual.
Ver aqui https://discuss.getsol.us/d/10476-simple-graphic-version-of-the-xz-debacle
Quem tem a ganhar com este buraco de agulha é apenas os EUA.
O que vale é alguém ter reparado rapidamente e mal chegou às rolling distros/bleeding edge (que nem devem ser a maioria em servidores ou desktops).
Só o facto de, no dia 2023-07-08 ter havido um pr para desativar o fuzzing da ‘build’ para não testar a ifunc, deixa logo antever maldade do bicho ou bichos.