Para tratar o problema do pacotes XZ com códigos maliciosos ocultos, o openSUSE Tumbleweed lançou atualizações urgentes de mais de 2 mil pacotes.
Tem havido muita atividade na comunidade Linux recentemente desde que foi descoberto que alguns tarballs XZ continham códigos maliciosos ocultos.
Como resultado, os desenvolvedores do Debian decidiram adiar o lançamento da versão 12.6 até que possam entender completamente o quão difundido é o problema e quanto dano o código incorreto pode ter causado.
Atualmente, não há uma maneira simples de determinar se um sistema foi comprometido devido a esta vulnerabilidade.
Vegard Nossum escreveu um script, “detect_sh.bin”, para detectar se é provável que o binário ssh em um sistema esteja vulnerável. O roteiro pode ser encontrado aqui (no final da publicação). Porém, seu uso é mais para fins informativos.
Por outras palavras, a ausência de métodos de detecção fiáveis neste momento enfatiza ainda mais a importância de uma acção imediata por parte dos utilizadores para proteger os seus sistemas.
E o openSUSE Tumbleweed foi rápido em abordar o problema de forma bastante decisiva.
Tumbleweed lançou atualizações urgentes de mais de 2 mil pacotes
Se você usar esta fantástica distribuição de lançamento contínuo, ficará surpreso ao saber que cerca de 2.000 atualizações estão prontas para você hoje. Isso mesmo – o openSUSE Tumbleweed reconstruiu toda a sua base de código e todos os pacotes.
Claro que a quantidade de pacotes varia de acordo com cada instalação. Sim, baixar e instalar atualizações tão extensas pode parecer assustador para muitos usuários.
Porém, é necessário garantir a segurança e integridade dos sistemas dos usuários.
Ao reconstruir toda a base de código contra uma versão conhecida e não comprometida da biblioteca XZ, o openSUSE visa proteger seus usuários contra possíveis violações e manter a confiabilidade de sua distribuição.
Além disso, suponha que você use a área de trabalho Plasma e não tenha atualizado seu computador desde que o Plasma 6 foi adicionado aos repositórios Tumbleweed nas últimas duas semanas.
Nesse caso, é uma boa ideia atualizar de uma forma diferente da habitual. Em vez de atualizar enquanto estiver no ambiente de desktop, faça isso por meio de um terminal virtual.
Veja como: Pressione “CTRL+ALT+F4” para mudar para um console virtual e, em seguida, use os comandos usuais listados abaixo para atualizar seu sistema.
sudo zypper ref
sudo zypper dup