Biblioteca XZ Utils tem código malicioso comprometendo distros Linux 

https://diolinux.com.br/noticias/biblioteca-xz-utils-codigo-malicioso.html

Entenda o impacto do código malicioso injetado na biblioteca XZ Utils que compromete diversas distros Linux, permitindo o acesso remoto aos seus dados via SSH.

Backdoor em biblioteca xz afeta todas as distribuições de linux, em ataque de supply chain crítico

Ainda tem muita coisa sendo apurada sobre este problema. O que se tem por certo até o momento é:

• Únicos pacotes confirmadamente comprometidos são os dois mais recentes , que não estão mesclados em nenhuma distro LTS e apenas algumas poucas distros bleeding edge.
• Mesma nas distros com os pacotes comprometidos, são necessárias várias “variáveis” para que backdoor se ative corretamente.

O problema está sendo investigado em muitas frentes e acredito que em breve serão divulgadas mais informações sobre isso. É um caso bem sério, mas precisamos aguardar mais informações antes de começar a formatar máquinas, por exemplo.

Para quem entende inglês, recomendo este vídeo aqui.

Este vídeo contém uma série de informações imprecisas. Reunimos dados vindos de fontes oficiais e confiáveis neste artigo: Biblioteca XZ Utils tem código malicioso comprometendo distros Linux 

Uai, então partindo do que se divulgou até agora, foram relativamente poucas distros afetadas. Boa notícia. To vendo muita informação mal dada e confusa sobre o caso.

Me parece que as afetadas são as distro RPM e DEB, a Suse diz que é recomendado formatar . openSUSE addresses supply chain attack against xz compression library - openSUSE News

O Debian está considerando voltar dois anos, antes de Jia Tan começar a se comprometer com o projeto: https://bugs.debian.org/cgi/bugreport.cgi?bug

Eu estava pensando em instalar o Fedora 40 beta ontem, desde que mudei definitivamente pra linux tenho testado todas as distros possiveis pra ver qual a melhor se adapta e roda melhor meus jogos, ainda bem que pensei duas vezes e instalei o Fedora 39. Chequei umas 3x minha versão do xz

Quem é esse esse Jia Tan afinal?

Para Arch, basta atualizar para o novo pacote 5.6.1-2 com o backdoor removido.

https://archlinux.org/news/the-xz-package-has-been-backdoored/

é o principal mantenedor de XZ, ou era kkkk

Olha o Fedora.Attention: Malicious code in current pre-release & testing versions/variants: F40 and rawhide affected - users of F40/rawhide need to respond - Fedora Discussion

Os Devs do NixOS falaram que fazer um Up é Ruim e fazer o um Down é Péssimo! e que encontraram outro codigo malicioso feito por este mesmo cidadão que fez o XZ .CVE-2024-3094: Malicious code in xz 5.6.0 and 5.6.1 tarballs - Security - NixOS Discourse

Blog de um desenvolvedor do Gentoo sobre o assunto (incluindo detalhes das identidades usadas para pressionar as distros e mantendores a usar versões bichadas).

Alguma surpresa? Não creio que algo tão natural seja alarmante demais kkkk
Mas parece que o Dev já sofria perseguição e rage, fora um problema de saúde então esse tipo de acontecimento já era esperado

Achei por bem compartilhar, informação é sempre bom!

Acabei topando com isso aqui, que parece descrever como esse problema se desenhou: Primeiro com um desenvolvedor que sofreu com um Burnout e um Hacker se aproveitando dessa situação.

Pelo que vi até agora foi toda uma engenharia feita até chegar ao resultado de execução remota de código. Ouso dizer que o objetivo seria manter o back door como uma chave mestra para algum grupo hacker ou agência de inteligência de algum governo.

Também pelo que se sabe até agora, a descoberta frustrou os planos em um nível ainda inicial, pois nenhuma distribuição LTS incluiu o código malicioso. Incrível como o código é bem refinado e escondido, descoberto na verdade por um “side channel”, que foi o código malicioso sendo muito mais lento do que o código original.

Embora a vulnerabilidade seja bem grave, felizmente a incidência foi muito baixa, ao menos pelo que se sabe até agora.

Será que o dio vai fazer um vídeo sobre?