xz
 |
| xz | |
|---|---|
| Desenvolvedor | The Tukaani Project |
| Versão estável | 5.4.6 (26 de janeiro de 2024) |
| Sistema operacional | Windows, Linux, Mac OS X e outros |
| Gênero(s) | Compactador |
| Licença | GPL |
| Página oficial | tukaani.org/xz |
xz é um programa de compressão sem perda de dados e um formato de arquivo que incorpora os algoritmos de compressão LZMA/LZMA2.
O xz implementa uma compressão sem perdas com taxas de compressão muito elevadas e normalmente superiores às obtidas pelos utilitários gzip e bzip2. Tal como estes utilitários, o xz não implementa funcionalidades de arquivador pelo que é frequente a sua utilização em conjunto com arquivadores como o TAR ou o cpio. O xz pode também ser utilizado na compressão de dados em fluxo (streams).
Utilização[editar | editar código-fonte]
O xz é atualmente utilizado para a compressão de muitos dos arquivos disponibilizados para serem descarregados da Internet. As versões oficiais do código fonte do núcleo de sistema operativo Linux estão disponíveis no site kernel.org em arquivos TAR comprimidos com o xz (formato .tar.xz).[1] xz também é utilizado como formato padrão de pacotes da distro Arch Linux.
Inserção de código malicioso[editar | editar código-fonte]
As versões 5.6.0 e 5.6.1 da biblioteca XZ Utils foram lançadas em 24 de fevereiro e 9 de março, e foram utilizadas em algumas distribuições Linux (distros), como Fedora Linux 40 e 41, Debian testing e Kali Linux. As distros estáveis, destinadas ao público em geral, não receberam essas versões.[2]
Em 29 de março de 2024, a empresa Red Hat noticiou que as versões 5.6.0 e 5.6.1 do programa estavam contaminados com código malicioso, que aparentemente permitiria que terceiros acessassem remotamente o sistema sem autorização, obtendo dados sensíveis dos usuários.[3][2] O código foi descoberto por Andres Freund, que notou aumento no uso da CPU e no tempo gasto ao fazer login por SSH. O aumento no tempo foi medidas precisamente pela técnica de micro-benchmarking.[4][5] A vulnerabilidade foi chamada de CVE-2024-3094.[6] O código, ofuscado para dificultar leitura por especialistas, permitia uma entrada backdoor. O código havia sido enviado por JiaT75, um dos principais contribuidores do projeto xz Utils há dois anos.[7]
Will Dormann afirmou que a inserção não afetou ninguém no mundo real, mas apenas por ter sido descoberto a tempo. Se tivesse passado despercebido, as consequências teriam sido catastróficas.[7]
Referências
- ↑ «Happy new year and good-bye bzip2». kernel.org. 27 de dezembro de 2013. Consultado em 15 de agosto de 2016
- ↑ a b Bonfim, Ariel (30 de março de 2024). «Biblioteca XZ Utils tem código malicioso comprometendo distros Linux». diolinux.com.br. Consultado em 31 de março de 2024
- ↑ «Urgent security alert for Fedora 41 and Fedora Rawhide users». www.redhat.com (em inglês). Consultado em 31 de março de 2024
- ↑ Freund, Andres (29 de março de 2024). «oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise». www.openwall.com. Consultado em 31 de março de 2024
- ↑ andresfreund. «A backdoor in xz [LWN.net]». lwn.net. Consultado em 31 de março de 2024
- ↑ Zorz, Zeljka (29 de março de 2024). «Beware! Backdoor found in XZ utilities used by many Linux distros (CVE-2024-3094)». Help Net Security (em inglês). Consultado em 31 de março de 2024
- ↑ a b Goodin, Dan (29 de março de 2024). «Backdoor found in widely used Linux utility breaks encrypted SSH connections». Ars Technica (em inglês). Consultado em 31 de março de 2024
Ver também[editar | editar código-fonte]