[Ru_ngi] xz/libarchive: недавно найденная уязвимость

Sun Mar 31 06:38:49 MSK 2024

Граждане, добрый (?) день.

Если у кого-то эксплуатируется Debian SID или Ubuntu Noble
(unstable-ветки, то есть) и там используется xz версий 5.6.0/5.6.1,
  https://www.openwall.com/lists/oss-security/2024/03/29/4
то есть подозрение, что вам неплохо бы обновить (downgrade
сделать) xz-utils: оба дистрибутива поработали над очисткой
xz от _явно_ видного вреда.  Debian выпустило advisory, Ubuntu
(пока) нет, но сказали,
{{{
Xz/liblzma security update. On March 28, 2024 Ubuntu was made aware
of an upstream vulnerability that affected the xz-utils source
package.  The affected library has been removed from our Ubuntu
24.04 LTS (Noble Numbat) proposed builds. We are continuing
to investigate further.
}}}

То же самое можно сказать о Fedora Rawhide,
  https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Если у кого-то есть Arch Linux (мало ли, разные бывают люди;
да и система, говорят, шустра; пробовал -- была шустра, да),
то вот это --
  https://lists.archlinux.org/archives/list/arch-security@lists.archlinux.org/thread/R3HBBSVYIRTXB4O64N2WZX55BF6IIPST/
это можно и пропустить: люди, судя по всему, перебд^Wошиблись:
 - https://www.openwall.com/lists/oss-security/2024/03/29/17
 - https://www.openwall.com/lists/oss-security/2024/03/29/20
 - https://www.openwall.com/lists/oss-security/2024/03/29/22
Но, конечно, как говорила монашка про свечку, "презерватив можно
и одеть: не помешает".  Тогда SSHD также перезапустите, пожалуйста:
божественный systemd не обязательно убережёт прямо самостоятельно.

Аудитом libarchive люди занимаются,
  https://github.com/libarchive/libarchive/issues/2103
пока сделали reverse для одного из исправлений,
  https://github.com/libarchive/libarchive/commit/6110e9c82d8ba830c3440f36b990483ceaaea52c
могущего (подтверждённым образом, не умозрительно) на терминал
вывалить escape-последовательностей.

Дополнительное
==============

ZFS не использует lzma, тут, кажется, ловить нечего.

Ядро Linux, -next (то есть -- bleeding edge) содержало разное
  https://lore.kernel.org/lkml/20240320183846.19475-1-lasse.collin@tukaani.org/t/#md87edf1cbc4d868118bab653200a0c83ca79abde
от группы товарищей, которые lzma.  Разное было пока вычищено (из -mm),
насколько оно нехорошее -- общее мнение пока в том, что "нормальное,
однако посмотреть -- стоит".

Есть мнение (не успел изучить "китайский" code blob, в процессе...),
  https://lists.freebsd.org/archives/freebsd-security/2024-March/000248.html
что люди нацеливались на Linux.

Если у кого WSL2 и там, скажем, Debian SID или что ещё подобное:
вы знаете, что делать.  У вас не Windows, у вас -- потенциальная
дырка внутри того, что живёт внутри WSL.

Termux/остальные на *droid: кажется, что люди ещё и AMD64-специфичные
вещи делали, так что тут, думаю, как в Arch Linux ситуация, только
ещё и архитектурой усугубляется по-большей части.

Take care.

https://lists.debian.org/debian-security-announce/2024/msg00057.html
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://discourse.ubuntu.com/t/xz-liblzma-security-update/43714
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3094
https://tukaani.org/xz-backdoor/
-- 
Eygene Ryabinkin, National Research Centre "Kurchatov Institute"

Always code as if the guy who ends up maintaining your code will be
a violent psychopath who knows where you live.