Ubuntu 24.04 Beta 由于 xz-utils 中的恶意代码而延迟，其他 Linux 发行版也受到影响

只剩一周了！

根据 Discourse 的帖子，原定于明天发布的 Ubuntu 24.04（代号：Noble Numbat）测试版已被推迟，现在我们预计会在 4 月 11 日发布。据说推迟的原因是 CVE-2024 -3094 — 也称为 XZ 压缩工具，已被恶意代码破坏。

这一延迟还引发了人们的猜测，即原定于 4 月 25 日举行的 24.04 发布可能会被推迟。

在 Discourse 帖子中，Łukasz 'sil2100' Zemczak 宣布 Ubuntu 背后的公司 Canonical “在 CVE-2024-3094 代码提交给 xz 后，决定删除并重建为 Noble Numbat 构建的所有二进制包-utils（2 月 26 日），在新配置的构建环境中。”
这意味着为最新 Ubuntu 版本构建的任何二进制文件都不会受到最近通过 xz-utils 引入的威胁的影响。

该威胁还触发了红帽发布紧急安全警报，该威胁发现 xz-utils 5.6.0 和 5.6.1 版本中引入了恶意代码。该代码似乎在系统中引入了后门。根据 Andres Freund 发布的 Openwall 邮件列表：

“在过去几周观察到 Debian sid 安装上的 liblzma（xz 软件包的一部分）周围的一些奇怪症状（使用 ssh 登录占用大量 CPU、valgrind 错误）后，我找到了答案：

上游 xz 存储库和 xz tarball 已被后门。”

xz-utils 包用于使用 XZ 压缩格式来压缩文件/目录，通常在 Linux 和 Unix 机器上使用。在撰写本文时，Ubuntu 24.04 (Noble Numbat) 使用的是 xz-utils 5.6.1 版本，它是两个受影响的版本之一。通过使用已知良好的代码构建环境重建软件包，Canonical 声称它“让我们确信我们构建中的任何二进制文件都不会受到这种新兴威胁的影响”。

对测试版的影响是，我们现在必须额外等待一周才能获得接近最终版本的功能（通常在发布之前会有一个版本，被视为候选版本）。当然，我们可以尝试日常构建，但我们不能保证它们没有恶意代码。

这是否意味着 4 月 25 日的发布日期将被推迟？前 Canonical 员工、知名 Linux 播客 Alan "Popey" Pope 在 Mastodon 上进行了一项民意调查，询问 Ubuntu 24.04 是否会被推迟。截至撰写本文时，58% 的人认为它将按时发布，而 42% 的人担心它可能会被推迟。

上一次 Ubuntu 版本被推迟是在 2006 年：Ubuntu 6.06“Dapper Drake”被推迟了两个月，以便团队有更多的时间来为后来成为关键 Linux 发行版的产品实现额外的功能。 Ubuntu 6.06 融合了实时 CD 和安装 CD，以及图形安装程序和将操作系统安装到 USB 驱动器的方法。

其他 Linux 发行版是否受到影响？

根据 helpnetsecurity.com 编制的一份列表，它有点鱼龙混杂：

• Ubuntu 24.04 已受到影响，但之前的版本并未受到影响。
• Red Hat、Fedora Rawhide（当前的 Fedora Linux 开发版本）和 Fedora 40 受到影响。没有 Red Hat Enterprise Linux (RHEL) 版本受到影响。
• Debian，没有稳定版本受到影响，但是使用 Debian 测试、不稳定和实验存储库中的软件包的用户被敦促更新 xz-utils 软件包。
• 在 3 月 26 日至 29 日期间更新系统的 Kali Linux 用户会受到影响。
• 一些 Arch Linux 安装介质、容器和虚拟机受到影响。
• Linux Mint、Gentoo Linux、Alpine Linux 和 Amazon Linux 不受影响。

我们确实检查了运行最新 Raspberry Pi 操作系统（2024 年 3 月 7 日起的内核 6.6.20）的 Raspberry Pi 5，并检查 xz 的版本号返回版本 5.4.1。因此，对于我们最喜欢的单板计算机来说，一切看起来都很好。