backdoor XZ

En días anteriores compartimos aquí en el blog la noticia sobre el caso del backdoor que fue detectado en la utilidad XZ, la cual es utilizada en una gran cantidad de distribuciones de Linux y que por ende afecta a todas estas. Lo interesante del caso para muchos y entre los cuales me incluyo, es el cómo se fue preparando la inclusión del backdoor y el cómo género, o se fueron dando las circunstancias para favorecer la introduccion del código y fuera pasado por alto.

En la publicación de blog de Evan Boehs (un programado y hacker), compartió un pequeño análisis cronológico del caso del backdoor en XZ. En la publicacion menciona que el desarrollador Jia Tan fue el responsable de introducir el backdoor en el paquete xz, ya que Jia Tan obtuvo el estatus de mantenedor en 2022 y comenzó a lanzar versiones desde la 5.4.2 del proyecto xz. Además de trabajar en xz, Jia Tan también contribuyó a los paquetes xz-java y xz-embedded, y fue reconocido como mantenedor del proyecto XZ Embedded utilizado en el kernel de Linux.

Además de Jia Tan, se mencionó la participación de dos usuarios más, Jigar Kumar y Hans Jansen, quienes muchos suponen que aparentemente podrían ser personajes virtuales. Jigar Kumar estuvo involucrado en la promoción de los primeros parches de Jia Tan en xz presionando al entonces mantenedor Lasse Collin para que aceptara cambios útiles e implementar el soporte para filtros de cadena en abril de 2022.

En junio de 2022, Lasse Collin cedió el rol de mantenedor a Jia Tan, reconociendo el agotamiento y los problemas de salud mental. Después de estos eventos, Jigar Kumar ya no apareció en la lista de correo del proyecto.

Con el nuevo estatus de mantenedor, Jia Tan comenzó a realizar activamente cambios en el proyecto xz y, según las estadísticas, ocupó el segundo lugar entre los desarrolladores en términos de número de cambios durante dos años.

En marzo de 2023, Lasse Collin reemplazó a la persona responsable de probar el paquete xz en el servicio oss-fuzz por Jia Tan, y en junio se implementaron cambios en la composición de xz, incluyendo el soporte para el mecanismo IFUNC en liblzma, que luego se utilizó para organizar la interceptación de funciones en el backdoor. La sugerencia para este cambio provino de Hans Jansen, cuya cuenta se creó justo antes de enviar la solicitud de extracción relacionada con estos cambios.

En julio de 2023, Jia Tan solicitó a los desarrolladores de oss-fuzz deshabilitar la verificación ifunc debido a su incompatibilidad con el modo «-fsanitize=address». En febrero de 2024, se modificó el enlace al sitio web del proyecto xz en oss-fuzz y tukaani.org, trasladándose de «tukaani.org/xz/» a «xz.tukaani.org». Este último subdominio estaba alojado en GitHub Pages y era controlado personalmente por Jia Tan.

El 23 de febrero, se publicaron en el repositorio xz archivos para probar el decodificador, incluyendo archivos con un backdoor y las macros M4 para activar el backdoor se incluyeron solo en el tarball de la versión 5.6.0 y se excluyeron del repositorio de Git, pero aparecieron en el archivo .gitignore.

El 17 de marzo, Hans Jansen, previamente involucrado en parches con soporte IFUNC, se registró como colaborador en el proyecto Debian. El 25 de marzo, recibió una solicitud para actualizar la versión del paquete xz-utils en el repositorio de Debian. Cabe mencionar que llegaron solicitudes similares, de desarrolladores de Fedora y Ubuntu (aunque en Ubuntu, el cambio fue rechazado debido a la congelación del repositorio).

Varios usuarios se unieron a las solicitudes de actualización de xz, argumentando que la nueva versión solucionaba errores detectados durante la depuración en valgrind. Estos problemas surgieron debido a una determinación incorrecta del diseño de la pila en el controlador del backdoor, intentando resolverlos en la versión xz 5.6.1.

Sobre esto, Lasse Collin, emitió una declaración confirmando que los archivos que contienen las versiones del backdoor fueron creados y firmados por Jia Tan. Además, anunció la eliminación del subdominio xz.tukaani.org, indicando que el sitio xz volverá al servidor principal tukaani.org. También mencionó que su cuenta de GitHub fue bloqueada. Es importante destacar que Lasse Collin tiene control únicamente sobre el sitio web tukaani.org y los repositorios git.tukaani.org. Por otro lado, Jia Tan solo controlaba el proyecto en GitHub y el host xz.tukaani.org, pero no tenía acceso al servidor tukaani.org.

Si estas interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/afXm5GB
via IFTTT

ROSA Linux es una distribución y sistema operativo Linux, desarrollado por la compañía rusa LLC NTC IT ROSA

STC IT ROSA dio a conocer mediante una publicación de blog el lanzamiento de la nueva versión correctiva ROSA Fresh 12.5, la cual continúa el trabajo de mejorar, corregir errores y proporcionar paquetes actualizados de la rama 12.x. Esta actualización trae consigo una serie de mejoras importantes, nuevas funciones y una serie de actualizaciones.

Para quienes desconocen de ROSA Fresh deben saber que esta es una distribucion de Linux rusa, moderna, creada por la comunidad, ya que se originó como un fork de la ahora desaparecida distribución Linux Mandriva y desde entonces ha sido desarrollado en forma independiente. La compañía ROSA fue fundada a principios de 2010 y lanzó la primera versión de su sistema operativo en diciembre de 2010. Inicialmente, apuntaba a los usuarios empresariales, pero a fines de 2012 ROSA inició su distribución orientada al usuario final, la Desktop Fresh.

Principales novedades de ROSA Fresh 12.5

En esta nueva versión que se presenta de ROSA Fresh 12.5 la base del sistema se ha actualizado al kernel de Linux 6.6 (los kernels de las ramas anteriores 5.10 y 5.15 continúan siendo compatibles y actualizados dentro de su rama sin transición automática a 6.1), se menciona que en la mayoría de las diferentes ediciones se actualizaron a la rama estable actual (ya que para la arquitectura i686 se sigue con los Kernels 5.10 y 5.15).

Por el lado del las compilaciones con el nuevo kernel LTS Linux 6.1.20 se menciona que tiene MGLRU habilitado de forma predeterminada y se ha actualizado el firmware y los controladores para Wi-Fi y Bluetooth. Además de ello, de manera general se incluyen las actualizaciones de la pila de gráficos MESA 23.3, con soporte de Steam.

En la edición de ROSA Fresh 12.5 KDE, se han actualizado los componentes del entorno, ya que ahora se ofrece la version de KDE Plasma 5.27.10 junto con KDE Frameworks 5.112.0, y por la parte de las aplicaciones de usuario se ofrece KDE Applications 23/08/04 con Qt 5.15.10.

Ademas de ello, se ha agregado soporte extendido para impresoras y escáneres que utilizan tecnologías ipp-usb y sane-airscan, simplificando su uso y facilitando la compatibilidad con una amplia gama de dispositivos periféricos y se han incluido nuevos controladores propietarios para las tarjetas de video NVIDIA 550, complementando las ramas existentes 340, 390 y 470 que siguen disponibles para aquellos que las necesiten.

Por otra parte,  la nueva versión de ROSA Fresh 12.5 presenta un repositorio completamente rediseñado para garantizar la seguridad y cerrar más de mil vulnerabilidades, además de que se ha implementado el cifrado de datos en el instalador del sistema y la función para guardar contraseñas de discos cifrados en la memoria no volátil de la computadora utilizando la tecnología TPM2 (luksunlock/lukslock) proporciona una capa adicional de protección sin sacrificar la comodidad de uso.

Se introdujo una nueva versión del indicador de actualización en ROSA, que ofrece opciones para restringir el acceso a la instalación de actualizaciones: ahora es posible requerir una contraseña de administrador, una contraseña solo para usuarios o incluso no requerir contraseña alguna.

Tambien se ha añadido soporte para paquetes «sconfigs-*«, que proporcionan configuraciones avanzadas de seguridad y auditoría del sistema, mejorando la gestión y la protección de los entornos de usuario y se ha introducido la utilidad qemoo, que permite iniciar rápidamente imágenes iso en el emulador QEMU, facilitando las pruebas y el desarrollo en entornos virtuales.

De los demás cambios:

• Se ha mejorado la compatibilidad con tarjetas de red Realtek cableadas en chips RTL8111, RTL8168 y RTL8411
• Se corrigió el retraso de inicio al instalar en BTRFS sin una partición /boot separada en ext2/3/4 (“No se permiten archivos dispersos”): la funcionalidad de guardar el último elemento cargado en Grub ahora se desactiva automáticamente al instalar el sistema operativo en tales configuraciones
• se ha agregado y suministrado como parte del sistema operativo un módulo de kernel r8168 listo para usar, que se usa automáticamente como controlador para estas tarjetas de red, y desde el Controlador r8169 en el kernel predeterminado de Linux 6.1
• se eliminó la compatibilidad con estas tarjetas
• Se corrigió el trabajo del comando «reboot» en los scripts kickstart.

Finalmente si estás interesado en poder conocer más al respecto sobre esta nueva versión, puedes consultar los detalles en el siguiente enlace.

Descargar y obtener ROSA Fresh 12.5

Para aquellos interesados en probar o explorar la distribución, se ofrecen compilaciones completamente gratuitas diseñadas para la plataforma x86_64 en versiones con KDE Plasma 5, LXQt, GNOME, Xfce y sin interfaz gráfica (modo texto). Los usuarios que ya tengan instalada una versión anterior de ROSA Fresh R12.x recibirán la actualización de forma automática.

Requisitos mínimos para probar o instalar el sistema:

• Procesador x86 de 64 bits (compatibilidad limitada con i686, solo kernels 5.10 y 5.15)
• 20 GB de espacio disponible en disco
• Pantalla gráfica con una resolución de 1024×768 (también se admite el modo texto del instalador)
• Soporte de arranque desde dispositivos USB (flash)

from Linux Adictos https://ift.tt/fHThpe7
via IFTTT

Ubuntu 24.04 está a la vuelta de la esquina. Mañana deberían haber lanzado la versión beta, pero finalmente se retrasará una semana por el conocido y gravísimo fallo de seguridad de XZ. Cuando llegue, lo hará con una de esas novedades que gustarán más a unos que a otros, pero creo que los primeros serán mayoría: el icono del lanzador de aplicaciones, que hasta ahora eran 9 cuadros en rejilla, pasa a ser el logotipo de Ubuntu.

Ahora mismo, GNOME tiene por defecto el panel en forma de dock – sin llegar a los extremos – y en la parte inferior. Para acceder a él es necesario hacer clic en Actividades o un gesto en el panel táctil, pero se aloja en la parte inferior de la pantalla. Canonical, como parte de su seña de identidad, lo pone a la izquierda, está siempre visible y el botón lanzador de aplicaciones está abajo, pero todo esto se puede modificar. Aquí vamos a explicarte cómo hacer varias modificaciones de este tipo en Ubuntu 24.04.

Poner el lanzador de aplicaciones de Ubuntu 24.04 arriba

La manera más sencilla y rápida es haciendo uso del terminal. Hay una opción de la extensión dash-to-dock que dice justamente eso, mostrar las aplicaciones en la parte superior, y por defecto está en false. Lo único que hay que hacer es abrir un terminal y escribir lo siguiente:

gsettings set org.gnome.shell.extensions.dash-to-dock show-apps-at-top true

El cambio es instantáneo; no es necesario reiniciar ni siquiera esperar. Veremos lo que hay en la captura de cabecera.

Si preferís una herramienta gráfica, algo que no recomendaría para cambios tan pequeños y sencillos para evitar instalar software de más, se puede instalar Editor de dconf desde el Centro de Aplicaciones. También desde el terminal, pero como los que están prestando más atención a este punto son justamente aquellos que no quieren usarlo, explicamos cómo hacerlo desde la tienda de software de Ubuntu 24.04 (el comando para terminal sería sudo apt install dconf-editor, y así todos contentos):

Pasos a seguir

1. Lo primero que hay que hacer es abrir Apps Center.
2. No aparecerá ningún resultado, pero esto es porque Canonical prioriza los paquetes snap sobre los nativos de Debian. Hay que hacer clic en el desplegable que pone «Filtrar por: Paquetes snap» y elegir «Paquetes de Debian».

3. Al hacerlo ya aparecerá «Editor de dconf». Para finalizar la instalación, lo de siempre: hacer clic sobre ese resultado, luego en el botón verde de «Instalar» y, finalmente, se pone la contraseña.

4. Con el Editor de dconf instalado, ahora hay que abrirlo. Hay que hacer clic en el cajón de aplicaciones, que supuestamente lo tendréis abajo, o sacar las apps con tres dedos del teclado hacia arriba y luego clic sobre su icono.

5. Veremos una ventana de aviso. La aceptamos para poder avanzar. Si queremos hacer más cambios en el futuro y no volver a ver este aviso, hay que desmarcar la caja de verificación.

6. Haciendo clic en las carpetas, hay que entrar a /org/gnome/shell/extensions/dash-to-dock, y buscar «top» allí. Hay que dar con «show-apps-at-top» y activar el interruptor. Yo lo tengo activado porque ya he hecho el cambio con el comando.

Como al hacerlo con desde el terminal, el cambio será instantáneo y no requiere esperas ni reinicios.

Haz que el dock sea un dock

Un dato: la opción «top» que estamos modificando aquí es también la izquierda si ponemos el panel en la parte inferior. Y es que un dock de verdad es ese tipo de panel que sólo tiene aplicaciones, puede que la papelera, el lanzador de apps y no llega de parte a parte. También debe crecer conforme vamos abriendo aplicaciones.

Si queremos ver algo como lo de la captura anterior, las indicaciones también se encuentran en la imagen. Hay que abrir los ajustes, desplazarse al apartado «Escritorio de Ubuntu», luego a la sección «Dock», desactivar el modo panel – lo que hace que vaya de parte a parte – y, en posición en la pantalla, elegir «Abajo».

En caso de que prefiramos que el lanzador de aplicaciones esté a la derecha, simplemente omitiremos todo lo de moverlo a la parte superior, que esto también lo pone a la izquierda. GNOME lo prefiere a la derecha cuando está abajo, pero a la izquierda tiene más sentido para los que han usado otros docks o están más acostumbrados a Windows y macOS.

Cambiar la opacidad del panel de Ubuntu 24.04

La opacidad también se puede cambiar con el terminal o con Editor de dconf. Los comandos del terminal serían:

gsettings set org.gnome.shell.extensions.dash-to-dock transparency-mode 'FIXED'

Con el segundo, le cambiamos la opacidad (0.0 es totalmente transparente y 1.0 totalmente opaco):

gsettings set org.gnome.shell.extensions.dash-to-dock background-opacity 0.0

Para revertir los cambios, introduciremos los comandos de nuevo, pero con ‘DEFAULT’ (comillas incluidas) en el primero y 0.8 en el segundo. No es exacto, ya que el valor de la opacidad por defecto tiene muchos más ceros, como veréis en el siguiente método.

Con el Editor de dconf hay que:

1. Ir a la misma ruta /org/gnome/shell/extensions/dash-to-dock.
2. Desplazarse abajo del todo y buscar «transparency-mode».
3. Desactivar el interruptor de «Usar el valor predeterminado».

4. Luego hay que hacer clic en el botón,  que por defecto pone «DEFAULT»,  seleccionar «FIXED» y luego hacer clic en el botón verde de aceptar.

5. Volvemos atrás – si os preguntáis cómo, sencillamente haciendo clic en la ruta del panel superior – y buscamos «background-opacity». Entramos.

6. Una vez dentro:
   1. Desactivamos el interruptor.
   2. Ponemos un valor pesonalizado.
   3. Hacemos clic en el botón de aceptar. Los cambios, como siempre, son instantáneos.

Igual que en versiones recientes

Todo esto ya estaba disponible y era posible en versiones anteriores de GNOME, pero no está de más confirmar que también funciona en el Ubuntu 24.04 que actualmente está en desarrollo. Son opciones que podemos modificar, y al que no le gusten, sencillamente que lo deje todo como está. En Linux somos nosotros los que decidimos, e incluso podemos volver a poner el icono de la rejilla si lo descargamos de este commit de Ubuntu, por ejemplo, y lo ponemos en /usr/share/icons/Yaru/scalable/actions con el nombre de siempre, es decir, como view-app-grid-symbolic.svg. Ojo con sobrescribir porque se podría perder el logotipo de Ubuntu. Con lo bonito que queda.

.barra {display: flex;justify-content: flex-end;height: 25px; background-color: #333;border-radius: 5px 5px 0 0;}.rojo, .naranja, .verde{width: 12px;height: 12px; position: relative;border-radius: 50%;top: 7px; margin: 0 3px;}.rojo{background-color: rgb(248, 82, 82); margin-right: 7px;}.naranja{background-color: rgb(252, 186, 63);}.verde{background-color: rgb(17, 187, 17);}.terminal{background-color: black !important; border-radius: 5px !important;}pre{font-family:monospace !important; padding: 0 10px 10px; line-height: 1.5em; overflow: auto; background-color: black !important; color: #0EE80E !important}code {background-color: rgba(255, 255, 0, 0.18); color: #d63384; padding: 1px 3px; font-family: monospace; border-radius: 2px;}

from Linux Adictos https://ift.tt/NOD75wR
via IFTTT

Un backdoor afecta a Linux

Hace poco se dio a conocer la noticia de que en el paquete XZ Utils ha sido identificado un backdoor que permite a los atacantes interceptar y modificar datos procesados por aplicaciones asociadas a la biblioteca liblzma. La principal vulnerabilidad (ya catalogada bajo CVE-2024-3094) se encuentra en el servidor OpenSSH, que en algunas distribuciones utiliza la biblioteca libsystemd, que a su vez depende de liblzma. Al vincular sshd con una versión vulnerable de liblzma, los atacantes pueden acceder al servidor SSH sin autenticación.

El descubrimiento del backdoor en el proyecto XZ Utils ocurrió tras la detección de problemas como el consumo excesivo de CPU y errores generados por valgrind al conectarse a sistemas basados en Debian sid a través de SSH. Estos problemas llevaron a una investigación más profunda que reveló la presencia del backdoor.

El presunto autor del backdoor, Jia Tan, era un desarrollador activo y respetado en el proyecto xz, con el estatus de «co-mantenedor» durante varios años y contribuciones significativas al desarrollo de varias versiones. Además del proyecto xz, también contribuyó a otros paquetes relacionados, como xz-java y xz-embedded. Incluso fue incluido recientemente entre los mantenedores del proyecto XZ Embedded utilizado en el kernel de Linux.

El cambio malicioso fue descubierto después de quejas sobre problemas con la versión xz 5.6.0, que incluía el backdoor, como desaceleraciones y fallas en sshd. La versión siguiente, xz 5.6.1, incluyó cambios preparados por Jia Tan en respuesta a estas quejas, lo que posiblemente fue una forma de encubrir la presencia del backdoor

Además, se menciona que Jia Tan realizó cambios incompatibles con el modo de inspección «-fsanitize=address» el año pasado, lo que llevó a la deshabilitación de las pruebas fuzz en ese momento. Estos detalles sugieren que la introducción del backdoor fue una acción planeada y oculta dentro del desarrollo del proyecto, lo que podría haber comprometido a un número desconocido de usuarios y proyectos que utilizan XZ Utils.

Aunque esta vulnerabilidad afecta a sistemas x86_64 basados ​​en el kernel de Linux y la biblioteca Glibc C que incluye sshd con libsystemd para admitir el mecanismo sd_notify, varios factores han atenuado el impacto. Por ejemplo, la versión de liblzma con el backdoor no se incluyó en las versiones estables de grandes distribuciones, y algunas distribuciones como Arch Linux y Gentoo usaron una versión vulnerable de xz pero no son susceptibles al ataque debido a ciertas configuraciones.

Se menciona que la activación del backdoor estaba oculto en macros m4 en el archivo build-to-host.m4 utilizado durante la compilación, lo que permitió la inserción de código malicioso en la biblioteca liblzma. Este código malicioso modificó la lógica de funcionamiento de algunas funciones en la biblioteca, lo que facilitó el acceso no autorizado al servidor SSH en sistemas afectados.

El proceso de implementación del backdoor en el paquete XZ Utils implicó varios pasos y técnicas para ocultar su presencia y activación. Se utilizaron macros m4 en el archivo build-to-host.m4 durante la compilación para introducir el código malicioso en la biblioteca liblzma. Estas macros estaban presentes en los archivos tar de la versión, pero no en el repositorio de Git, y se añadieron al .gitignore. Además, se incluyeron archivos de prueba maliciosos en el repositorio, lo que sugiere un acceso privilegiado al proceso de generación de versiones.

El backdoor se activaba mediante la ejecución del comando /usr/sbin/sshd y se ocultaba en entornos no depurados o de producción, evitando la detección en terminales normales. Se falsificó la función RSA_public_decrypt para eludir el proceso de autenticación sshd, lo que permitía a los atacantes obtener acceso no autorizado al servidor SSH.

Para ocultar aún más la presencia del backdoor, se incluyeron mecanismos de protección contra la detección y se verificó la ejecución en entornos de depuración. Todo esto demuestra un nivel avanzado de planificación y conocimiento técnico por parte de los responsables del backdoor para evadir la detección y llevar a cabo ataques exitosos en sistemas afectados.

Si estas interesado en poder conocer mas al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/aUgrh6e
via IFTTT