Canonical stelt de release van de bèta van Ubuntu 24.04, ook bekend onder codenaam Noble Numbat, met een week uit. Aanleiding is een ernstige kwetsbaarheid in de veelgebruikte compressietool XZ en de bijbehorende libraries.
Onderzoekers deelden eind vorige week de vondst van een ernstige kwetsbaarheid in de upstream van XZ, een compressietool die in veel verschillende Linux-distributies voorkomt. In versie 5.6.0 en het recentere 5.6.1 van de tool lijkt een backdoor te zitten waarmee aanvallers toegang krijgen tot een systeem. De kwetsbaarheid lijkt een maand geleden te zijn ontstaan.
Ook Ubuntu gebruikt de tool, wat voor maker Canonical nu reden is om alle binary packages die zijn aangemaakt nadat de kwetsbaarheid ontstond te verwijderen en opnieuw te bouwen. “Dat geeft ons de zekerheid dat geen enkele binary in onze builds getroffen kunnen zijn door deze dreiging”, schrijft Lukasz ‘sil2100’ Zemczak van Canonical op Discourse. De beslissing heeft als gevolg dat de bètarelease van Ubuntu 24.04 LTS uitgesteld is tot 11 april. De bètaversie had eigenlijk op 4 april moeten verschijnen.
Canonical is niet de enige die waarschuwt voor XZ. Red Hat raadt specifiek Fedora Rawhide-gebruikers aan om die installaties niet meer te gebruiken. Fedora 40 is niet getroffen, maar Red Hat adviseert desondanks om te downgraden naar een 5.4-build of lager van XZ. Verder waarschuwen OpenSUSE en Debian voor de fout.
Leave a Reply
You must be logged in to post a comment.