La puerta trasera descubierta en XZ ha provocado el aumento de las preocupaciones en el ecosistema de Linux, lo que se ha traducido en retrasos o cambios en algunos componentes de software. Si a estas alturas todavía no hemos publicado nada sobre la beta de Ubuntu 24.04 LTS es debido a que Canonical ha decidido retrasar su publicación con el fin de asegurarse de que todo está en orden, y es que, si bien el radio de acción de la puerta trasera parece estar acotado, nunca hay que descartar posibles sorpresas desagradables.
Cuando el escándalo en torno a XZ vio la luz, Canonical fue un poco críptica al decir que eliminó la versión de la biblioteca de las propuestas de compilación de Ubuntu 24.04 LTS. Ahora, y otra vez mediante Discourse, la compañía publica algunos detalles adicionales a modo de preguntas autorrespondidas.
La primera pregunta consiste en si la versión de XZ vulnerable estuvo en algún momento en las compilaciones diarias de Ubuntu 24.04 LTS “Noble Numbat”, cosa a la que Canonical ha respondido con un rotundo no. En lo que respecta a estar seguro de si la versión afectada de la biblioteca no está presente, la compañía insiste en que “la biblioteca en sí ha sido eliminada del bolsillo propuesto del archivo de Noble. Debido a la naturaleza compleja de las dependencias y enlaces de compilación, por precaución, todos los archivos binarios creados para Noble después de la introducción del código malicioso (26 de febrero) fueron eliminados y están siendo recompilados”.
La tercera pregunta consiste en si el usuario ha sido expuesto en algún momento. Aquí Canonical ha dicho que no debido a que “la biblioteca nunca llegó a nuestras compilaciones de imágenes diarias ni a ninguno de nuestros lanzamientos LTS o provisionales”. Es importante tener en cuenta que, según los datos que se tienen hasta ahora, la puerta trasera no ha llegado a estar presente en las versiones 22.04 LTS y 23.10 salvo que el usuario haya introducido XZ 5.6 mediante compilación manual o un repositorio de terceros.
En cuanto a las personas que podrían seguir estando afectadas, Canonical expone dos posibles casos:
- Cualquiera que tenga un repositorio o espejo autohospedado debe verificar que no tenga residente la biblioteca afectada (liblzma versión 5.6.0).
- Cualquiera que haya actualizado manualmente su instalación de liblzma5 a la versión 5.6.0 debe proceder con precaución y considerar el sistema potencialmente comprometido.
Ubuntu 22.04 LTS y Ubuntu 23.10, con permiso de lanzamientos LTS anteriores, son las principales versiones de la distribución con todavía cuentan con soporte. La primera proporciona de manera predeterminada la versión 5.2.5 de XZ, mientras que la segunda tiene la 5.4.1. Por los datos que tenemos hasta ahora, ninguno de los sistemas tiene la puerta trasera.
Canonical ha sido casi siempre taxativa cuando establece la fecha de lanzamiento de una versión de Ubuntu. Esté como esté, para adelante con la publicación en fase estable. Sin embargo, el asunto en torno a XZ es de extrema gravedad, por lo que la compañía podría abrir la puerta a un retraso de la publicación como estable de Ubuntu 24.04 LTS, que por ahora sigue programada para el 25 de abril, para asegurarse de que todo está seguro, a pesar de que el sistema no se ha visto afectado según su versión.
