Ritardo della versione beta di Ubuntu 24.04 a causa di codice maligno in xz-utils, altri sistemi operativi Linux sono anche interessati
Un ritardo inaspettato a soli sette giorni dalla release!
Il rilascio della versione beta di Ubuntu 24.04 è stato ritardato a causa di codice maligno nei xz-utils, con altri sistemi Linux che sono stati anch'essi colpiti. Canonical ha preso misure per rimuovere e ricostruire i pacchetti binari compromessi. Il codice dannoso introdotto nei xz-utils potrebbe avere effetti negativi sui sistemi, portando a speculazioni su un possibile ritardo anche per il lancio ufficiale di Ubuntu 24.04.
La decisione di posticipare la beta di Ubuntu 24.04
Secondo un post su Discourse, la beta di Ubuntu 24.04 (codice: Noble Numbat), inizialmente prevista per domani, è stata ritardata e ora dovremmo aspettarcela per l'11 aprile. Il motivo del ritardo è il CVE-2024-3094, altrimenti noto come gli strumenti di compressione XZ, compromessi con codice maligno.
Le conseguenze del ritardo
Questo ritardo ha portato anche a speculazioni sul possibile rinvio del lancio del 24.04, programmato per il 25 aprile. In un post su Discourse, Åukasz 'sil2100' Zemczak ha annunciato che Canonical, l'azienda dietro Ubuntu, ha 'deciso di rimuovere e ricostruire tutti i pacchetti binari che erano stati costruiti per Noble Numbat dopo che il codice CVE-2024-3094 è stato inserito negli xz-utils il 26 febbraio, in nuovi ambienti di sviluppo appositamente creati.'
Ciò significa che eventuali binari costruiti per l'ultima release di Ubuntu non saranno influenzati dalla minaccia recente introdotta tramite xz-utils.
La minaccia e la risposta
La minaccia, che ha anche spinto Red Hat a rilasciare un'allerta di sicurezza urgente, vede l'introduzione di codice maligno nelle versioni 5.6.0 e 5.6.1 di xz-utils. Questo codice sembra introdurre una backdoor nei sistemi. Secondo un post sulla mailing list di Openwall di Andres Freund: 'Dopo aver osservato alcuni sintomi strani attorno a liblzma (parte del pacchetto xz) su installazioni di Debian sid nelle ultime settimane (accessi con ssh che richiedono molta CPU, errori di valgrind) ho capito la risposta: il repository xz upstream e i tarball xz sono stati backdoorati.'
Le implicazioni sul lancio
L'effetto sulla beta è che dovremo ora aspettare una settimana in più prima di poter mettere le mani su qualcosa che si avvicina alla release finale. Naturalmente ci sono build giornaliere che possiamo provare, ma non possiamo garantire che siano esenti dal codice maligno.
Significa che la data di rilascio del 25 aprile sarà posticipata? L'ex dipendente di Canonical e noto podcaster Linux Alan 'Popey' Pope ha lanciato un sondaggio su Mastodon chiedendo se Ubuntu 24.04 potrebbe essere ritardato. Al momento della stesura, il 58% crede che sarà rilasciato in tempo, mentre il 42% teme un ritardo.
Un ritardo raro
L'ultima volta che un rilascio di Ubuntu è stato ritardato risale al 2006: Ubuntu 6.06 'Dapper Drake' è stato posticipato di due mesi per dare al team più tempo per implementare funzionalità aggiuntive per ciò che sarebbe diventato un sistema operativo Linux fondamentale. Ubuntu 6.06 ha visto la fusione di un CD live e di installazione, insieme a un programma di installazione grafico e un modo per installare il sistema operativo su una chiavetta USB.
Secondo una lista compilata da helpnetsecurity.com, la situazione è un po' mista: abbiamo controllato il nostro Raspberry Pi 5 con l'ultimo Raspberry Pi OS (Kernel 6.6.20 dal 7 marzo 2024), e verificando il numero di versione di xz abbiamo ottenuto la versione 5.4.1. Quindi, sembra che tutto vada bene per il nostro computer a scheda singola preferito.