Selon un article de Discourse, la version bêta d'Ubuntu 24.04 (nom de code : Noble Numbat), qui devait sortir demain, a été retardée et nous devrions maintenant l'attendre le 11 avril. La raison du retard serait CVE-2024 -3094 — autrement connu sous le nom d'outils de compression XZ, qui ont été compromis par un code malveillant.
Ce retard laisse également penser que le prochain lancement du 24.04 – prévu pour le 25 avril – pourrait éventuellement être retardé.
Dans l'article Discourse, Łukasz 'sil2100' Zemczak a annoncé que Canonical, la société derrière Ubuntu, a « pris la décision de supprimer et de reconstruire tous les packages binaires qui avaient été construits pour Noble Numbat après que le code CVE-2024-3094 ait été validé sur xz ». -utils (26 février), sur les environnements de build nouvellement provisionnés.”
Cela signifie que les fichiers binaires créés pour la dernière version d'Ubuntu ne seront pas affectés par la récente menace introduite via xz-utils.
La menace, qui a également incité Red Hat à publier une alerte de sécurité urgente, voit un code malveillant être introduit dans les versions 5.6.0 et 5.6.1 de xz-utils. Ce code semble introduire une porte dérobée dans les systèmes. Selon un message d'Andres Freund sur la liste de diffusion Openwall :
“Après avoir observé quelques symptômes étranges autour de liblzma (qui fait partie du paquet xz) sur les installations Debian sid au cours des dernières semaines (connexions avec ssh prenant beaucoup de CPU, erreurs valgrind), j'ai trouvé la réponse :
Le dépôt xz en amont et les archives xz ont été détournés.”
Le package xz-utils est utilisé pour compresser des fichiers/répertoires à l'aide du format de compression XZ, couramment utilisé sur les machines Linux et Unix. Au moment de la rédaction, Ubuntu 24.04 (Noble Numbat) utilise la version 5.6.1 de xz-utils, qui était l'une des deux versions concernées. En reconstruisant les packages avec de bons environnements de construction de code connus, Canonical affirme que cela “nous donne l'assurance qu'aucun binaire de nos versions n'aurait pu être affecté par cette menace émergente”.
L'impact sur la version bêta est que nous devrons désormais attendre une semaine supplémentaire avant de pouvoir mettre la main sur quelque chose qui se rapproche de la version finale (il y a généralement une version juste avant le lancement, qui est considérée comme une version candidate). Bien sûr, il existe des versions quotidiennes que nous pouvons essayer, mais nous ne pouvons pas garantir qu'elles soient exemptes de code malveillant.
Cela signifie-t-il que la date de sortie du 25 avril sera repoussée ? Alan “Popey” Pope, ancien employé de Canonical et podcasteur Linux bien connu, a mené un sondage sur Mastodon demandant si Ubuntu 24.04 pourrait être retardé. Au moment de la rédaction de cet article, 58 % pensent qu’il sera publié à temps, tandis que 42 % craignent qu’il soit retardé.
La dernière fois qu'une version d'Ubuntu a été retardée, c'était en 2006 : Ubuntu 6.06 “Dapper Drake” a été retardé de deux mois pour donner à l'équipe plus de temps pour implémenter des fonctionnalités supplémentaires pour ce qui allait devenir une distribution Linux essentielle. Ubuntu 6.06 a vu la fusion d'un CD live et d'installation, ainsi qu'un programme d'installation graphique et un moyen d'installer le système d'exploitation sur une clé USB.
Les autres distributions Linux sont-elles concernées ?
Selon une liste compilée par helpnetsecurity.com, la situation est un peu mitigée :
- Ubuntu 24.04 a été impacté, mais pas les versions précédentes.
- Red Hat, Fedora Rawhide (version de développement actuelle de Fedora Linux) et Fedora 40 sont concernés. Aucune version de Red Hat Enterprise Linux (RHEL) n'est affectée.
- Debian, aucune version stable n'est affectée, mais les utilisateurs qui utilisent des packages des référentiels de test, instables et expérimentaux Debian sont invités à mettre à jour le package xz-utils.
- Les utilisateurs de Kali Linux ayant mis à jour leurs systèmes entre le 26 et le 29 mars sont impactés.
- Certains supports d'installation, conteneurs et machines virtuelles Arch Linux sont impactés.
- Linux Mint, Gentoo Linux, Alpine Linux et Amazon Linux ne sont pas concernés.
Nous avons vérifié notre Raspberry Pi 5 exécutant le dernier système d'exploitation Raspberry Pi (noyau 6.6.20 du 7 mars 2024) et vérifié le numéro de version de xz a renvoyé la version 5.4.1. Ainsi, tout semble bien pour notre ordinateur monocarte préféré.