Ubuntu stelt bètaversie Noble Numbat met week uit wegens XZ-backdoor

[Captain Kirk]

Linux-distributie Ubuntu heeft vanwege de XZ-backdoor besloten een bètaversie van Ubuntu 24.04 LTS (Noble Numbat) met een week uit te stellen. Oorspronkelijk stond deze versie voor morgen gepland, maar dat is verschoven naar 11 april. Als gevolg van de backdoor, aangeduid als CVE-2024-3094, heeft Canonical de beslissing genomen om alle binary packages voor Noble Numbat, die na de commit van de backdoor aan XZ-utils zijn gemaakt, te verwijderen en opnieuw te builden.

"Dit geeft ons het vertrouwen dat geen enkele binary in onze builds door deze opkomende dreiging getroffen is", aldus Lukasz Zemczak van Canonical, de ontwikkelaar van Ubuntu. Eerder werd gewaarschuwd dat de gecompromitteerde versies van XZ aan verschillende Linux-distributies waren toegevoegd, waaronder Fedora Linux 40 beta en Fedora Rawhide.

Wired kwam vandaag met een artikel over 'Jia Tan', de persoon die de backdoor aan datacompressietool XZ toevoegde. Onderzoekers vermoeden dat het om een persona van een statelijke actor gaat met als langetermijndoel het compromitteren van opensourceprojecten.

 

bron: https://www.security.nl