Imagen tomada del sitio: https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcTWaZBdv5btst8MBjb5v0Ghc2Lr2-zGPDZpLax2yt4rVn-ZadP6csuRvrupop5gbDP29bY&usqp=CAU
Buenos días/tardes/noches estimados blurtters que les gusta el Open-Source!
En esta ocasión queremos hacer un breve anuncio sobre una nueva vulnerabilidad detectada en una herramienta de compresión muy popular conocida como xz.
Red Hat emitió hoy un aviso de "alerta de seguridad urgente" para usuarios de Fedora 41 y Fedora Rawhide en relación a XZ. Si, las herramientas XZ y las bibliotecas para este formato de compresión. Algún código malicioso fue agregado en XZ versiones 5.6.0/5.6.1 que puede permitir acceso remoto no autorizado a un sistema.
Red Hat cita el anuncio CVE-2024-3094 para esta vulnerabilidad de XZ debido a un código malicioso que logró entrar al código base. Aunque no se va visto publicamente el anuncio CVE-2024-3094 sin embargo la alerta de seguridad de Red Hat resume la amenaza como:
"La inyección maliciosa presente en las versiones 5.6.0 y 5.6.1 de las bibliotecas xz está ofuscada y solo se incluyen en el paquete completo de descarga - la distribución Git carece del macro M4 que desencadena la compilación del código malicioso. Los artefactos de segunda etapa están presentes en el repositorio de Git para inyección al momento de la compilación, en de que el macro M4 malicioso esté presente.
La compilación maliciosa resultante interfiere con autenticación en sshd via systemd. SSH es un protocolo común utilizado para conectar sistemas remotos, y sshd es el servicio que permite ese acceso. Bajo las circunstancias correctas esta interferencia podría permitir potencialmente que un actor malicioso pueda romper la autenticación sshd y ganar acceso no autorizado al sistema completo remotamente."
Ouch! XZ 5.6 debutó hace solo un mes y XZ 5.6.1 salió hace 3 semanas. Al momento de escribir este artículo no hay todavía una versión XZ 5.6.2 o similar liberada que tenga eliminado ese código malicioso.
Esta advertencia urgente de Red Hat puede ser encontrada por medio del blog de Red Hat. Debian ha emitido un mensaje de seguridad similar relativo al código malicioso dentro de las herramientas XZ.
Asegurese de no tener al XZ 5.6.0/5.6.1 en su sistema ahora.
Solo como comentario FreeBSD y su herramienta XZ está libre de este problema ya que se trata de una versión anterior de la herramienta que no se vio afectada con este código malicioso, ya que la vulnerabilidad utiliza la libc de Linux exclusivamente para funcionar.
Imágen tomada del sitio https://www.phoronix.com/assets/categories/linuxsecurity.webp
Imágen tomada del sitio https://www.phoronix.net/image.php?id=2024&image=libreoffice_3d_multithread
Imágen tomada del sitio https://www.rhyous.com/wp-content/uploads/2010/12/FreeBSD-Box.png
Bueno, les deseo éxito en todo lo que hagan en relación al software opensource.
Estamos a la espera de sus comentarios, hasta la próxima publicación donde continuaremos con más sobre de FreeBSD .
@cosmicboy123 fuera!
Si lo deseas puedes votar por mi como witness para poder aumentar las capacidades de un servidor.
https://blurtwallet.com/~witnesses?highlight=cosmicboy123
Integrate al grupo de Telegram de @team-mexico 😀 donde yo y otros usuarios de México y de otros países de habla hispana compartimos experiencias y opiniones así como nuestros propios posts. Una gran iniciativa de @cristo
| 👉Entra a https://t.me/TeamMexico 👈|
Hi @cosmicboy123, great news! Your content was selected by curators @ten-years-before, @nalexadre to receive a special curation from BeBlurt 🎉 Don't hesitate to upvote this comment as the curators will receive 80% of the rewards for their involvement.
👉 What can you expect for 2024 on Blurt?
Win 85% rewards with myDelegation