Alerta de Segurança: Repositório XZ no GitHub foi desativado devido a um Código Malicioso.
Em um desenvolvimento surpreendente durante o fim de semana de Páscoa, pacotes de lançamento do upstream do XZ foram encontrados contendo código malicioso destinado a comprometer o acesso SSH remoto. A situação tem se tornado cada vez mais preocupante, com o comprometimento do projeto upstream e, mais recentemente, a desativação completa do repositório XZ pelo GitHub.
O repositório central tukaani-project/xz no GitHub foi desativado com a seguinte mensagem: “O acesso a este repositório foi desativado pela equipe do GitHub devido a uma violação dos termos de serviço do GitHub. Se você for o proprietário do repositório, entre em contato com o suporte do GitHub para obter mais informações.”
Acredita-se que a violação dos termos de serviço seja devido ao comprometimento do acesso de commit upstream. Embora seja um passo notável, dada a quantidade atual de notícias, o estado desativado torna mais difícil rastrear outras alterações potencialmente problemáticas feitas pelo(s) malfeitor(es), com acesso a dados de solicitação de mesclagem e outras informações pertinentes bloqueadas.
Com o upstream XZ ainda não tendo emitido nenhuma versão corrigida e as contribuições de um de seus principais contribuidores - e criadores de versões - nos últimos dois anos questionadas, é compreensível que o acesso público ao repositório XZ tenha sido restringido. Neste ponto, simplesmente não pode ser confiável até uma avaliação mais aprofundada.
Há discussões em andamento, como as do Fedora, sobre a possibilidade de bifurcar o XZ, embora ainda haja a questão da auditoria de commits anteriores. Outros, como o Debian, estão considerando reverter para a versão mais recente antes do malfeitor e, em seguida, apenas aplicar correções de segurança verificadas. Enquanto isso, outros sugeriram que esta é uma boa motivação para mudar o XZ/liblzma para alternativas como o uso do Zstd.
Mantenha-se atualizado conosco para mais informações sobre este desenvolvimento de segurança crítico.
Até a próxima !!
Nenhum comentário:
Postar um comentário