Según un post de Discourse, la beta de Ubuntu 24.04 (nombre en clave: Noble Numbat) , que debía lanzarse mañana, se ha retrasado y ahora deberíamos esperarla para el 11 de abril. Se dice que la razón del retraso es CVE-2024-3094 - también conocido como las herramientas de compresión XZ, que fueron comprometidas con código malicioso.
Este retraso también lleva a especular con la posibilidad de que se retrase el próximo lanzamiento de la versión 24.04, previsto para el 25 de abril.
En el post de Discourse, Łukasz 'sil2100' Zemczak anunció que Canonical, la compañía detrás de Ubuntu, ha "tomado la decisión de eliminar y reconstruir todos los paquetes binarios que habían sido construidos para Noble Numbat después de que el código CVE-2024-3094 se comprometió a xz-utils (26 de febrero), en entornos de compilación recién aprovisionados".
Puede leer tmabién | Una puerta trasera encontrada en una utilidad de Linux muy utilizada rompe las conexiones SSH cifradas
Esto significa que cualquier binario construido para la última versión de Ubuntu no se verá afectado por la reciente amenaza introducida a través de xz-utils.
La amenaza, que también ha llevado a Red Hat a publicar una alerta de seguridad urgente, consiste en la introducción de código malicioso en las versiones 5.6.0 y 5.6.1 de xz-utils. Este código parece introducir una puerta trasera en los sistemas. Según un mensaje de Andres Freund en la lista de correo de Openwall:
"Después de observar algunos síntomas extraños en torno a liblzma (parte del paquete xz) en instalaciones Debian sid durante las últimas semanas (inicios de sesión con ssh que consumen mucha CPU, errores de valgrind) descubrí la respuesta.
El paquete xz-utils se utiliza para comprimir archivos / directorios utilizando el formato de compresión XZ, comúnmente utilizado en máquinas Linux y Unix. En el momento de escribir estas líneas, Ubuntu 24.04 (Noble Numbat) utiliza la versión 5.6.1 de xz-utils, que era una de las dos versiones afectadas. Al reconstruir los paquetes con entornos de compilación de código bueno conocidos, Canonical afirma que "nos proporciona la confianza de que ningún binario de nuestras compilaciones podría haber sido afectado por esta amenaza emergente."
Puede leer también | ¿Cómo instalar Linux Kernel 6.8 en Ubuntu?
El impacto en la beta es que ahora tendremos que esperar una semana más antes de poder probar algo que se acerque a la versión final (generalmente hay una versión justo antes del lanzamiento, que se considera una versión candidata). Por supuesto, hay versiones diarias que podemos probar, pero no podemos garantizar que estén libres del código malicioso.
¿Significa esto que la fecha de lanzamiento del 25 de abril se retrasará? El ex-empleado de Canonical y conocido podcaster de Linux Alan "Popey" Pope realizó una encuesta en Mastodon preguntando si Ubuntu 24.04 podría retrasarse. En el momento de escribir estas líneas, el 58% cree que se lanzará a tiempo, mientras que el 42% teme que se retrase.
Puede leer tambén | Disponible Ubuntu 22.04.4 LTS con el kernel Linux 6.5
La última vez que se retrasó un lanzamiento de Ubuntu fue en 2006: Ubuntu 6.06 "Dapper Drake" se retrasó dos meses para dar al equipo más tiempo para implementar características adicionales para lo que se convertiría en una distro Linux fundamental. En Ubuntu 6.06 se fusionaron los CD de instalación y de arranque, junto con un instalador gráfico y un medio para instalar el sistema operativo en una unidad USB.
¿Están afectadas otras distribuciones de Linux?
De acuerdo con una lista recopilada por helpnetsecurity.com, se trata de una mezcla:
- Ubuntu 24.04 se ha visto afectada, pero las versiones anteriores no.
- Red Hat, Fedora Rawhide (actual versión de desarrollo de Fedora Linux) y Fedora 40 están afectados. Ninguna versión de Red Hat Enterprise Linux (RHEL) está afectada.
- Debian, no hay versiones estables afectadas, pero se insta a los usuarios que utilicen paquetes de los repositorios de pruebas, inestables y experimentales de Debian a que actualicen el paquete xz-utils.
- Los usuarios de Kali Linux que actualizaron sus sistemas entre el 26 y el 29 de marzo se ven afectados.
- Algunos medios de instalación de Arch Linux, contenedores y máquinas virtuales se ven afectados.
- Linux Mint, Gentoo Linux, Alpine Linux y Amazon Linux no están afectados.