3min

Update 15/04/2024 – De nieuwe bètaversie van Ubuntu, versie 24.04 met de bijnaam ‘Noble Numbat’, is uitgebracht na iets meer dan een week vertraging. Deze vertraging kwam door de backdoor die in compressietool xz was gevonden. De release zou plaatsvinden op donderdag 11 april maar het duurde uiteindelijk een dagje langer.

De nieuwe Ubuntu-bèta is gebaseerd op de nieuwste Linux-kernel 6.8, bevat versie 46 van het GNOME-gui en een nieuw App Center. Deze winkel is specifiek voor Canonical’s eigen Snap-applicaties, waar gebruikers een breed scala aan software kunnen vinden en installeren, maar wel alleen in dit formaat.

Origineel – Canonical, de maker van Linux-distributie Ubuntu, stelt de bètarelease van Ubuntu 24.04 LTS met een week uit vanwege de ontdekking van de backdoor in de veelgebruikte compressietool xz Utils. De release zou eigenlijk vandaag plaatsvinden, maar deze is verschoven naar 11 april.

Canonical heeft hiervoor gekozen om naar eigen zeggen de veiligheid van gebruikers te waarborgen. Lukasz Zemczak, Senior Software Engineer and Interim Manager van het bedrijf, deelde mee dat alle binary packages van de bètaversie die zijn gemaakt ná de commit van de backdoor aan XZ-utils (26 februari), worden verwijderd en opnieuw opgebouwd.

Hierdoor kan Canonical garanderen dat geen enkele binary in de builds van Ubuntu 24.04 LTS met de codenaam Noble Numbat is aangetast door de dreiging.

Eind vorige week kwam aan het licht dat er een backdoor zat in de xz-compressietool en de bijbehorende libraries. Deze heeft CVSS-code CVE-2024-3094 gekregen. Naast Ubuntu heeft ook Red Hat, de ontwikkelaar van Fedora Linux, gewaarschuwd voor de kwetsbaarheid. Red Hat adviseert gebruikers van de experimentele Fedora Rawhide-versie om geen installaties meer uit te voeren met betrekking tot deze specifieke versie.

Downgraden van xz Utils naar versie 5.4.x

Hoewel de stabiele Fedora 40 niet is getroffen is, raadt Red Hat aan om te downgraden naar ten hoogste een 5.4.x-versie van xz. In de bètaversie van Fedora 40 is de gecompromitteerde versie van xz wél aangetroffen. Gebruikers daarvan moeten eveneens hun xz Utils-pakket downgraden. Andere Linux-distributies zoals OpenSUSE en Debian hebben hun gebruikers ook gewaarschuwd.

De ontdekking van de backdoor gebeurde tijdens het nalopen van eigenaardige SSH-prestatieproblemen en valgrind crashes door een Microsoft-engineer. De backdoor kon potentieel een kwaadwillende ongeautoriseerd toegang geven tot systemen door code in te voegen tijdens het SSH-aanmeldproces.

De dader of groepering achter de backdoor (bekend onder de naam ‘Jia Tan’) bracht in de loop van ruim twee jaar wijzigingen aan. Daarbij oefende men druk uit op Linux-distributeurs om gecompromitteerde versies van xz op te nemen onder het mom van nieuwe functionaliteiten.

Backdoor tijdig ontdekt

Uiteindelijk zijn de gecompromitteerde 5.6.0- en 5.6.1-versies van xz in slechts enkele Linux-distributies terecht gekomen. De meeste daarvan zijn development-, test- of experimentele versies en daarom niet veelvuldig in gebruik. De tijdige ontdekking ervan heeft voorkomen dat de malafide versie op productieomgevingen terecht is gekomen.

Het nieuws over deze backdoor houdt de cybersecuritygemeenschap flink bezig. Wired heeft een artikel gepubliceerd over de vermoedelijke verantwoordelijke achter de backdoor. Onderzoekers vermoeden dat ‘Jia Tan’ een pseudoniem is voor een staatsactor met als doel het compromitteren van opensourceprojecten op de lange termijn.

Lees meer: xz-backdoor toont hoe kwetsbaar open-source is voor hackers met lange adem