Ubuntu hàng tuần #1
Lỗi bảo mật xz/liblzma CVE-2024-3094 lùm xùm cuối tháng 3/2024 đã làm xôn xao cộng đồng mã nguồn mở trên toàn thế giới. Cho các bạn chưa có dịp theo dõi, CVE-2024-3094 là mã định danh cho một lỗi bảo mật của thư viện nén dữ liệu lzma, trong đó hacker nặc danh đã cố ý chèn mã độc vào mã nguồn của lzma. Các chuyên gia an ninh mạng trong cộng đồng vẫn đang ngày đêm dịch ngược mã độc này để hiểu rõ hơn mục tiêu cũng như phạm vi ảnh hưởng của CVE này. Hiện tại, bạn có thể tham khảo dòng thời gian của toàn bộ quá trình tấn công tại bản tóm tắt của Russ Cox
Trong khi sẽ còn tốn rất nhiều thời gian đến khi ảnh hưởng của CVE-2024-3094 đến toàn hệ sinh thái mã nguồn mở được làm rõ, CVE này chắc chắn đã ảnh hưởng đến quá trình phát triển của Ubuntu 24.04. Canonical Security đã quyết định xóa và build lại toàn bộ các binary của Ubuntu 24.04. Do việc build lại này, lịch phát hành của bản Beta sẽ bị rời sang ngày 11/4/2024. Lịch phát hành chính thức của Ubuntu 24.04 sẽ vẫn là 25/04/2024 theo như kế hoạch ban đầu.
Theo như bản tóm tắt của Russ Cox, backdoor được chính thức phát hành vào xz v5.6.1 và được lobby đưa vào Debian ngày 25/03/2024. Debian cập nhật phiên bản xz trong repo của Debian ngày 27/03/2024. Jia Tian (một trong các hacker) tạo một báo cáo bug yêu cầu Ubuntu đưa xz vào Ubuntu 24.04 để kịp quá trình phát hành. Theo như dòng thời gian này, người dùng tham gia vào quá trình test Ubuntu 24.04 hoặc dùng kho phần mềm *-proposed của Ubuntu 24.04 đều có khả năng có backdoor này trong hệ thống.
Chỉ xz phiên bản 5.6.0 hoặc 5.6.1 bị ảnh hưởng vì vậy hệ thống chạy phần mềm xz phiên bản cũ hơn 5.6.0 không cần lo lắng về lỗi bảo mật này. Để kiểm tra phiên bản của phần mềm xz trong hệ thống, người dùng có thể dùng câu lệnh sau:
$ dpkg -l xz-utils
ii xz-utils 5.2.5-2ubuntu1 amd64 XZ-format compression utilities
Phiên bản xy-utils hiện tại trong Ubuntu 22.04 là 5.2.5-2ubuntu1 không bao gồm mã độc.
Cập nhật USN
USN-6720-1: Cacti vulnerability
- CVE-2023-39361Phần mềm vẽ đồ thị tài nguyên hệ thống. Lỗi SQL injection được phát hiện ở script
graph_view.php - Sửa lỗi thế nào? Cập nhật phần mềm cacti lên phiên bản 1.2.19+ds1-2ubuntu1+esm1
LSN-0102-1: Kernel Live Patch Security Notice
- Một số bản vá cho lỗi bảo mật ở kernel được phát hành. io-ring CVE-2023-1872, netfilter CVE-2023-4569 CVE-2024-1086, TLS subsystem CVE-2023-6176, Apple Talk Subsystem CVE-2023-51781.
- Sửa lỗi thế nào?: Livepatch sẽ tự động cập nhật các bản vá này. Nếu không có livepatch, kernel cần được cập nhật và máy cần được khỏi động lại.
USN-6710-2: Firefox regressions
- Firefox có thể sẽ chạy chương trình CVE-2024-29943, CVE-2024-29944
- Sửa lỗi thế nào?: Cập nhật Firefox package lên phiên bản 124.0.2+build1-0ubuntu0.20.04.1 vừa khởi động lại browser đang mở. Ubuntu 22.04 hoặc mới hơn cần cập nhật firefox snap.
USN-6721-1: X.Org X Server vulnerabilities
- Hacker có thể tận dụng lỗi để lấy các thông tin nhạy cảm đối với hệ thống: CVE-2024-31080, CVE-2024-31081, CVE-2024-31082 hoặc crash máy CVE-2024-31083
- Sửa lỗi thế nào?: Cập nhật xserver-xorg-core hoặc xwayland lên các phiên bản sau:
| Phiên bản | xserver-xorg-core | xwayland |
|---|---|---|
| Ubuntu 23.10 | 2:21.1.7-3ubuntu2.8 | 2:23.2.0-1ubuntu0.5 |
| Ubuntu 22.04 | 2:21.1.4-2ubuntu1.7~22.04.9 | 2:22.1.1-1ubuntu0.12 |
| Ubuntu 20.04 | 2:1.20.13-1ubuntu1~20.04.16 | 2:1.20.13-1ubuntu1~20.04.16 |
| Ubuntu 18.04 | 2:1.19.6-1ubuntu4.15+esm7 | 2:1.19.6-1ubuntu4.15+esm7 |
| Ubuntu 16.04 | 2:1.18.4-0ubuntu0.12+esm12 | 2:1.18.4-0ubuntu0.12+esm12 |
| Ubuntu 14.04 | 2:1.15.1-0ubuntu2.11+esm11 |