En un movimiento destinado a reforzar la seguridad, XZ ha eliminado todas las aportaciones del autor identificado como Jia Tan, quien había introducido una puerta trasera en las utilidades del formato de compresión XZ. Este incidente ha sido uno de los mayores escándalos de seguridad en la historia de Linux. Afortunadamente, una investigación realizada por un empleado de Microsoft permitió detectar la vulnerabilidad a tiempo.
Un Escándalo de Seguridad en el Mundo de Linux
La puerta trasera, que afectaba a las utilidades del formato XZ, no estaba presente en el código fuente, sino en los binarios compilados disponibles para los usuarios, lo que dificultó su detección. Este sofisticado ataque tuvo que sortear numerosas barreras para no ser descubierto, y a pesar de las sospechas que debieron surgir por algunos cambios en el código fuente, pasó desapercibido inicialmente.
Gracias a la detección oportuna, se pudieron tomar medidas para evitar consecuencias graves. Sin embargo, la gravedad del incidente ha llevado a una revisión exhaustiva del código y la implementación de cambios importantes para prevenir futuros ataques similares.
Medidas Implementadas
Ayer se publicó un parche que introdujo varias modificaciones clave. La más destacada es la eliminación de Jia Tan como mantenedor del software y la eliminación de todos sus mensajes de commit. Además, se ha cambiado la licencia de XZ Embedded de dominio público a BSD Zero Clause License (0BSD).
La licencia 0BSD, a pesar de su nombre, no deriva de ninguna licencia BSD, sino que es una modificación de la licencia ISC. Esta licencia es permisiva y permite una mayor flexibilidad en el uso del software. Los responsables de XZ explican que este cambio permite agregar identificadores de licencias de SPDX coincidentes, mejorando la claridad y la gestión del código.
Repercusiones y Futuro
La eliminación del contenido relacionado con Jia Tan era una medida esperada debido a la naturaleza de la vulnerabilidad. No obstante, el cambio de licencia ha sorprendido a algunos en la comunidad. Este cambio busca no solo mejorar la seguridad, sino también facilitar la colaboración y el mantenimiento del proyecto a largo plazo.
Anuncio Oficial
El anuncio oficial fue realizado por Lasse Collin, quien detalló las actualizaciones de licencia, filtros y opciones de compresión. Entre los cambios técnicos se incluye la mejora de la documentación, la introducción de nuevos filtros para ARM64 y RISC-V, y ajustes en las opciones de compresión del kernel.
El comunicado resalta que la revisión de la documentación y la inclusión de nuevos filtros permitirán una mejor compresión del kernel y una mayor seguridad en los procesos de construcción.
Impacto en la Comunidad
Este incidente ha puesto en evidencia la importancia de la seguridad en los proyectos de código abierto. La comunidad de Linux, conocida por su colaboración y transparencia, ha tomado medidas rápidas y efectivas para mitigar los riesgos asociados con la puerta trasera. Los usuarios son alentados a descargar la última versión de XZ y a mantenerse informados sobre las actualizaciones y mejoras de seguridad.
Con estos cambios, XZ busca no solo recuperarse del incidente, sino también establecer un estándar más alto de seguridad y confiabilidad en el software de compresión.
