Por causa da descoberta de um backdoor no pacote XZ Utils, o lançamento do Debian 12.6 foi adiado para analisar o impacto do problema.
O Projeto Debian é uma associação de indivíduos que criaram uma causa comum para criar um sistema operacional livre. Este sistema operacional é chamado Debian.
Atualmente, os sistemas Debian usam o kernel do Linux. O Linux é um software completamente gratuito iniciado por Linus Torvalds e apoiado por milhares de programadores em todo o mundo.
Naturalmente, o que as pessoas querem é o software aplicativo: programas para ajudá-los a conseguir o que querem fazer, desde a edição de documentos, a execução de uma empresa, a execução de jogos, até a criação de mais softwares.
O Debian vem com mais de 50.000 pacotes (software pré-compilado que é empacotado em um formato agradável para fácil instalação em sua máquina), tudo isso gratuito.
É um pouco como uma torre. Na base está o kernel. Além disso, estão todas as ferramentas básicas. Em seguida é todo o software que você executa no computador.
Agora, após a descoberta de um backdoor no pacote XZ Utils, os desenvolvedores do Debian decidiram pausar a versão 12.6 para uma análise aprofundada dos efeitos do problema.
Lançamento do Debian 12.6 foi adiado
Sem dúvida, a descoberta de um backdoor no pacote XZ Utils no repositório sid do Debian há alguns dias, permitindo acesso SSH remoto sem autenticação, provocou uma verdadeira tempestade na comunidade Linux.
Esta vulnerabilidade de segurança, CVE-2024-3094, não afetou apenas o Debian sid. Também impactou várias outras distribuições Linux, incluindo certas versões do Fedora, Arch, openSUSE Tumbleweed, Kali e muito mais.
À luz disso, o projeto Debian anunciou um atraso no lançamento de sua próxima versão 12.6, inicialmente planejada para 6 de abril.
Esta decisão ocorre no momento em que a equipe realiza uma investigação completa envolvendo a avaliação de seu impacto potencial no Debian Archive, uma coleção abrangente de Debian pacotes de software.
Embora atualmente não haja evidências que sugiram que quaisquer versões estáveis do Debian sejam afetadas por este problema, é crucial garantir que a vulnerabilidade não afete o vasto ecossistema de aplicações e serviços da distribuição.
Não é surpreendente que o Debian, conhecido por priorizar segurança e estabilidade, não deixe nada ao acaso – um compromisso que o torna uma escolha preferível para um sistema operacional de servidor confiável.
Portanto, o lançamento da sexta atualização da série ‘Bookworm’ 12 será adiado até que os desenvolvedores verifiquem minuciosamente todos os detalhes do CVE-2024-3094 para garantir que todos os riscos possíveis para os usuários sejam totalmente resolvidos.
Atualmente, o projeto Debian não definiu uma nova data para o lançamento 12.6.
Essa abordagem se adapta bem à prática usual de lançar atualizações somente quando estiverem totalmente prontas.
Enquanto isso, Lasse Collin, um dos dois principais desenvolvedores do XZ, postou informações destacando que Jia Tan criou e assinou todos os pacotes backdoor. Neste momento, as razões por detrás das suas ações permanecem totalmente obscuras.
Como sempre, estamos monitorando de perto a situação e iremos atualizá-lo sempre que algo mudar.
