Проникновение в репозиторий Debian sid, которое произошло несколько дней назад, позволяющее получить удалённый SSH-доступ без аутентификации, вызвало настоящую бурю в Linux-сообществе.
Эта уязвимость безопасности CVE-2024-3094 затронула не только Debian sid. Она также затронула несколько других дистрибутивов Linux, включая Fedora, Arch, openSUSE Tumbleweed, Kali и другие.
В свете этого проект Debian отложил выпуск своей предстоящей версии 12.6, первоначально запланированный на 6 апреля. Это решение было принято после того, как команда провела тщательное расследование, оценив потенциальное влияние уязвимости на Debian Archive.
Несмотря на то, что в настоящее время нет никаких доказательств того, что эта проблема затронула стабильные версии Debian, очень важно убедиться, что уязвимость не повлияет на обширную экосистему приложений и сервисов дистрибутива.
Дистрибутив Debian известен в первую очередь своим приоритетом безопасности и стабильности, не оставляет ничего на волю случая – это делает его надёжной серверной операционной системой.
Так что выпуск шестого обновления серии „Bookworm“ 12 будет отложен, пока разработчики тщательно не проверят каждую деталь CVE-2024-3094, чтобы убедиться, что все возможные риски для пользователей полностью устранены. В настоящее время проект Debian не назначил новую дату выпуска Debian 12.6.
Этот подход хорошо согласуется с их обычной практикой выпуска обновлений только тогда, когда они полностью будут готовы.
Между тем, Лассе Коллин, один из двух ведущих разработчиков XZ, подчеркнул, что Цзя Тан создал и подписал все backdoor-пакеты. На данный момент причины его действий остаются совершенно неясными.
Как всегда, мы внимательно следим за ситуацией и сообщим вам, если что-то изменится.