Problemas de seguridad en Canonical: un «incidente de traducción maliciosa» en los instaladores de Ubuntu 23.10 obliga a retirar momentáneamente algunas ISO
Como ya habíamos adelantado en el artículo sobre el lanzamiento de Ubuntu 23.10, tenemos que informar de un hecho lamentable. Hay imágenes (ISO) que no estarán disponibles hasta que solucionen un fallo, y eso no es lo malo. Lo malo es el motivo, que básicamente ha sido que a alguien le ha parecido gracioso modificar las traducciones del instalador usando palabras poco bonitas que, sin más información, no podemos decir exactamente qué había.
La cuenta oficial de Ubuntu en X ha mencionado concretamente «discurso de odio» que ha llegado por parte de un colaborador malicioso en algunas de las traducciones entregadas como parte de una herramienta de terceros del archivo de Ubuntu. En un artículo abierto y cerrado en el Discourse de Ubuntu dan algunos detalles más.
Discurso de odio en el instalador de Ubuntu 23.10
We have identified hate speech from a malicious contributor in some of our translations submitted as part of a third party tool outside of the Ubuntu Archive.
The Ubuntu 23.10 image has been taken down and a new version will be available once the correct translations have been…
— Ubuntu (@ubuntu) October 12, 2023
Según podemos leer en ese post, «Poco después del lanzamiento, identificamos expresiones de odio de un colaborador malintencionado en un conjunto específico de traducciones de la interfaz de usuario del instalador de Ubuntu Desktop y hemos tomado medidas inmediatas. Estas traducciones están siendo eliminadas y una ISO actualizada estará disponible para su descarga una vez que hayamos reemplazado el material ofensivo.» Quieren dejar claro que estas traducciones no son parte de Ubuntu en sí.
Las imágenes afectadas son las de Ubuntu Desktop 23.10, Ubuntu Daily y Ubuntu Budgie 23.10, pero sólo las versiones normales. Las del instalador «Lagacy» no están afectadas, y son esas las ISO que se podrán descargar hasta que solucionen el problema.
Tampoco debería estar afectado nada del sistema operativo, por lo que el que ya lo tenga instalado, en teoría, lo tiene todo correcto. Las traducciones estarían sólo en algunos instaladores.
También hubo paquetes maliciosos en snapcraft
Por motivos que no tienen relevancia y no voy a explicar aquí, no publicamos aquí en Linux Adictos una noticia sobre un fallo de seguridad que afectó a snapcraft, el portal a donde se suben los paquetes snap. El fallo tenía que ver con aplicaciones con cierta malicia relacionada a la minería de criptomonedas.
Ya tuvo problemas similares hace unos 5 años, por lo que Canonical ha decidido revisar manualmente todas las nuevas subidas, algo que creo que deberían haber hecho antes.
Todo esto en menos de dos semanas. No creo que haya que alarmarse y pensar que Ubuntu no es una zona segura, pero sí podría ser mejor si no pensaran que todo el mundo es bueno.