Para evitar problemas com a recente falha presente no pacote XZ Utils, o Fwupd trocará a compactação XZ pela Zstd.
O Fwupd/LVFS alcançou muitas conquistas nos últimos anos, com o envolvimento de mais fornecedores de hardware, os dispositivos do Google começando a exigir que seus parceiros forneçam atualizações compatíveis com o Fwupd/LVFS e outras melhorias de suporte de hardware.
Ele é um novo recurso e atualização de manutenção para a ferramenta número um do Linux para atualizar o firmware do seu hardware. Um utilitário para atualização de vários componentes de firmware/BIOS nativamente no Linux e integração com o Linux Vendor Firmware Service (LVFS) para a fácil distribuição das referidas imagens de firmware.
Agora, impulsionados pelo fiasco da segurança do XZ com códigos maliciosos destinados à execução remota de código, mais projetos de código aberto estão reavaliando sua dependência do XZ com muita cautela.
O mais recente a fazer isso é o utilitário de atualização de firmware Fwupd Linux com LVFS que agora preferirá a compactação Zstd em vez de XZ.
Fwupd trocará a compactação XZ pela Zstd
Reentemente, a Red Hat emitiu um alerta de segurança urgente para usuários do Fedora Linux 40, Fedora Linux 41 e Fedora Rawhide sobre uma falha de segurança (CVE-2024-3094) nos pacotes XZ Utils 5.6.0 e 5.6.1 que poderia permitir acesso remoto não autorizado via SSH.
Parece que os tarballs upstream do pacote XZ Utils 5.6.0, que é distribuído via GitHub ou site oficial do projeto, incluíam alguns arquivos .m4 extras que continham instruções para construir o software com uma versão do GNU Automake que não existia no repositório.
Durante a compilação da biblioteca liblzma, um arquivo objeto pré-construído é extraído de um dos arquivos de teste e usado para modificar funções específicas no código do XZ Utils.
Como a biblioteca liblzma está sendo usada por softwares como o sshd, ela pode ser usada por um agente mal-intencionado para obter acesso remoto ao sistema vulnerável.
O Fwupd confiou no XZ para compactar sua grande carga XML para acelerar downloads de rede e conservar recursos CDN.
O XZ permitiu uma compactação melhor do que o Gzip usado anteriormente. Mas, por muita cautela, dadas as preocupações sobre o projeto XZ, Richard Hughes agora passou a usar o Zstd.
O Zstd não apenas é mais confiável, mas também produz metadados compactados cerca de 3% menores que o XZ e também é mais rápido na descompactação dos dados.
Essa mudança entrará no lançamento do Fwupd, que será lançado na próxima semana.
Mais detalhes sobre a mudança do Fwupd de XZ para Zstd nesta postagem do blog.