[ad_1]
O GitHub desativa repositório XZ após ataque malicioso. Uma grande surpresa de Páscoa para os usuários do GitHub, da Microsoft. A divulgação de pacotes de lançamento upstream XZ contendo código malicioso para comprometer o acesso remoto SSH certamente foi uma surpresa de fim de semana de Páscoa. A situação só piora quanto mais informações são de conhecimento pública. Todos estão surpresos pela forma como os arquivos foram comprometidos e distribuídos. Assim, o GitHub se viu na obrigação de desativar o repositório XZ em sua totalidade.
O repositório central tukaani-project/xz no GitHub agora foi desativado pelo GitHub com a mensagem:
“O acesso a este repositório foi desativado pela equipe do GitHub devido a uma violação dos termos de serviço do GitHub. Se você for o proprietário do repositório, entre em contato com o Suporte do GitHub para obter mais informações.”
A violação de ToS presumivelmente devido ao acesso de confirmação upstream comprometido. De qualquer forma, um passo notável dado o chorume de notícias de hoje, embora no estado de deficiência, torna mais difícil rastrear outras alterações potencialmente problemáticas pelo(s) ator(es) mal-intencionado(s) com acesso a dados de solicitação de mesclagem e outras informações pertinentes bloqueadas.
Com o upstream XZ ainda não tendo emitido nenhum lançamento corrigido e as contribuições de um de seus principais contribuidores – e criadores de lançamentos – nos últimos dois anos colocadas em questão, não é sem motivo para bater o martelo para o acesso público do repositório XZ. Neste ponto, ele simplesmente não pode ser confiável até uma avaliação mais aprofundada.
GitHub desativa repositório XZ após ataque malicioso
![GitHub desativa repositório XZ após ataque malicioso](https://sempreupdate.com.br/wp-content/uploads/2024/03/image-1-4.webp 650w,https://sempreupdate.com.br/wp-content/uploads/2024/03/image-1-4-300x119.webp 300w)
Algumas, como dentro das discussões do Fedora, levantaram as perspectivas se o XZ deve ser bifurcado, embora ainda haja a questão de auditar compromissos passados. Outros, como o Debian, consideraram voltar para a versão mais recente antes do ator ruim e, em seguida, apenas corrigir correções de segurança verificadas no topo. Enquanto isso, outros sugeriram que essa é uma boa motivação para sair do XZ/liblzma para alternativas como o uso do Zstd.
Phoronix
[ad_2]
Source link