La comunidad de software de código abierto está en vilo tras el descubrimiento de una puerta trasera en XZ Utils,
la utilidad de compresión presente en la mayoría de las distribuciones de
Linux. ¿Quién lo introdujo? Nada menos que un mantenedor de confianza. Pero,
¿qué significa esto para ti y tu sistema?
Andrés Freund, ingeniero de
software en Microsoft, se topó con la puerta trasera mientras probaba algunas cosas
en instalaciones de Debian sid (la versión de desarrollo) y notó que los
inicios de sesión SSH estaban consumiendo mucha potencia de CPU y generando
errores. El problema residía en la biblioteca de compresión de datos liblzma,
parte del paquete XZ. Su conclusión fue clara:
“El repositorio upstream de XZ y
los archivos tar de XZ han sido comprometidos”.
Aunque no se considera un
investigador de seguridad ni un ingeniero inverso, Andrés informó del problema
a Debian y otras distribuciones de Linux.
Distribuciones afectadas
¿Deberías preocuparte por la
seguridad de tu máquina? Aquí están las distros afectadas.
- Fedora Rawhide (la versión
actual de desarrollo de Fedora Linux) y Fedora Linux 40 beta contenían
versiones afectadas (5.6.0, 5.6.1) de las bibliotecas xz. Sin embargo, Red Hat
Enterprise Linux (RHEL) no se ve afectado. - openSUSE Tumbleweed y openSUSE
MicroOS incluyeron una versión afectada de xz entre el 7 de marzo y el 28 de
marzo. - Debian anunció que las
versiones estables no están comprometidas, pero los paquetes afectados formaban
parte de las distribuciones testing, unstable y experimental. Los usuarios de
estas distribuciones deben actualizar los paquetes xz-utils. - Los usuarios de Kali Linux que
actualizaron entre el 26 de marzo y el 29 de marzo también están afectados. - Arch Linux, Ubuntu, Linux
Mint, Gentoo Linux, Amazon Linux y Alpine Linux no se ven afectados.
¿Qué debes hacer?
Seguir las indicaciones
proporcionadas por los mantenedores de tu distribución Linux. Además, existe un script para verificar si tu sistema utiliza una versión comprometida de la
biblioteca liblzma.
10 razones por las que debes seguir usando Windows – olvídate de Linux