La puerta trasera que afectó a las utilidades del formato de compresión XZ se ha convertido en uno de los mayores escándalos a nivel de seguridad de la historia de Linux. Sin embargo, y gracias a una investigación llevada a cabo por un empleado de Microsoft, queda el consuelo de que la vulnerabilidad fue detectada antes de que fuera demasiado tarde.

La historia en torno a la puerta trasera de XZ da para una película de espías, ya que Jia Tan, nombre que usa la persona que la introdujo, tuvo que maniobrar bastante para no ser detectada. De hecho, la vulnerabilidad no estaba presente en el código fuente del software, sino en los binarios compilados que se ponen a disposición, lo que permitió que pasara desaparecida a pesar de que algunos cambios introducidos en el código fuente debieron despertar ciertas sospechas.

Gracias a que el fallo de seguridad fue detectado antes de que fuera demasiado tarde, se pudieron tomar las medidas pertinentes para evitar lo peor, pero la gravedad y la complejidad del asunto no solo obliga a revertir o modificar los cambios en torno a la puerta trasera, sino también a ir más allá para minimizar las probabilidades de que algo similar vuelva a ocurrir.

Con el fin de reforzar a XZ de cara al futuro, un parche publicado el día de ayer introdujo un par de cambios interesantes. El primero se trata de eliminar a Jia Tan de los mantenedores del software junto a todos sus mensajes de commit, mientras que el segundo consiste en un cambio de licencia de XZ Embedded, que ha pasado de dominio público a BSD Zero Clause License (0BSD), que traducida al castellano sería licencia BSD de cláusula cero.

A pesar de su nombre y según explica la web de Open Source Initiative, la licencia 0BSD no deriva de ninguna licencia BSD, sino que es más bien una alteración de la licencia ISC. “BSD Zero Clause License se aprobó originalmente con el nombre de ‘Free Public License 1.0.0’”. Su redacción en inglés es muy corta, lo que da a entender que se trata de una licencia de código abierto permisiva. Los responsables de XZ explican en torno a esto que “ahora se pueden agregar identificadores de licencias de SPDX coincidentes”.

La eliminación del contenido de Jia Tan era algo que se veía venir viendo el origen y la naturaleza de la vulnerabilidad, pero el cambio de licencia posiblemente sea algo que pille a más uno desprevenido.

AVISO: La noticia ha sido rectificada el 22 de julio de 2024 a las 19:37 aproximadamente.

La entrada XZ elimina las aportaciones del autor de la puerta trasera es original de MuyLinux