Backdoor inyectado en las herramientas de compresión XZ de varias distribuciones Linux
Debido a un uso inusualmente elevado de la CPU y a mensajes de error al utilizar el inicio de sesión remoto a través de SSH, el desarrollador de software Andreas Freund se percató de la existencia de un enorme agujero de seguridad en su instalación de Debian SID. El desarrollador pudo identificar la causa como XZ-Tools, una colección de herramientas de compresión incluidas en muchas distribuciones de Linux y utilizadas por SSH.
La vulnerabilidad, denominada CVE-2024-3094, permite el acceso remoto no autorizado a los sistemas Linux afectados. Las versiones afectadas por la puerta trasera son las utilidades XZ y la biblioteca liblmza asociada en las versiones 5.6.0 desde finales de febrero y 5.6.1 desde el 9 de marzo. Estas versiones XZ comprometidas, introducidas por uno de los propios desarrolladores de XZ, eluden la autenticación SSH, lo que permite a los atacantes hacerse con el control remoto total del sistema.
El desarrollador de software Andreas Freund escribe sobre su descubrimiento de la vulnerabilidad: "Tras observar algunos síntomas extraños en torno a liblzma (parte del paquete xz) en instalaciones Debian sid durante las últimas semanas (inicios de sesión con ssh que consumían mucha CPU, errores de valgrind) descubrí la respuesta: El repositorio upstream xz y los tarballs xz han sido retrocedidos. Al principio pensé que se trataba de un compromiso del paquete de Debian, pero resulta que es upstream"
El código backdoor sólo estaba parcialmente oculto en el código fuente abierto en GitHub, y el propio GitHub ha suspendido la cuenta de XZ Utilities por el momento. Las distribuciones de Linux afectadas, para las que ya hay actualizaciones disponibles, a excepción de Fedora Rawhide, son
- Debian Testing, Inestable y Experimental
- Fedora Rawhide
- Arch Linux
- openSUSE Tumbleweed
Distribuciones como Debian Stable, Fedora 39, openSUSE Leap o Red Hat Enterprise Linux (RHEL) no están afectadas por la vulnerabilidad en XZ Utilities. Si utiliza una de las distribuciones de Linux mencionadas, puede comprobar el número de versión de XZ Utilities en la consola con xz -version. Lo ideal es realizar una nueva instalación, especialmente si el acceso SSH está habilitado en el sistema Linux.
Top 10 Análisis
» Top 10 Portátiles Multimedia
» Top 10 Portátiles de Juego
» Top 10 Portátiles de Juego ligeros
» Top 10 Portátiles Asequibles de Oficina/Empresa
» Top 10 Portátiles de Juego Ligeros
» Top 10 Portátiles de Oficina/Empresa Premium
» Top 10 Estaciones de Trabajo
» Top 10 Subportátiles
» Top 10 Ultrabooks
» Top 10 Convertibles
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Tablets de menos de 250 Euros
» Top 10 Phablets (>5.5")
» Top 10 Smartphones
» Top 10 Smartphones (≤5")
» Top 10 Smartphones de menos de 300 Euros
» Top 10 Smartphones de menos de 120 Euros
» Top 10 Portátiles de menos de 1000 Euros
» Top 10 Portátiles de menos de 500 Euros
» Top 10 Portátiles de menos de 300 Euros
» Los Mejores Displays de Portátiles Analizados por Notebookcheck