12 votos

uhoh avatar

Con el reciente problema de seguridad con xz, ¿qué debemos hacer antes de usar Homebrew de nuevo?

Preguntado el 31 de Marzo, 2024
Cuando se hizo la pregunta
4926 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

El 30 de marzo de 2024 de Ars Technica Backdoor found in widely used Linux utility breaks encrypted SSH connections incluye lo siguiente:

Varias personas, incluidos dos lectores de Ars, informaron que varias aplicaciones incluidas en el gestor de paquetes HomeBrew para macOS dependen de la versión 5.6.1 de xz Utils, que tiene un acceso trasero. HomeBrew ha retrocedido la utilidad a la versión 5.4.6. Los mantenedores tienen más detalles disponibles aquí.

En el enlace del bloque de cita (titulado "brew install xz installs the outdated version 5.4.6 instead of 5.6.1 #5243") se habla de brew cleanup xz --prune=0, pero realmente no entiendo las implicaciones de todo lo que se menciona allí.

Puede que necesite usar brew para instalar un paquete numérico específico de Python en aproximadamente una semana. ¿Debería esperar algunos días para que se calmen las cosas, o debería encontrar una manera de "limpiar" o desinstalar y luego reinstalar Homebrew?

Preguntado el 31 de Marzo, 2024 por uhoh

Respuestas

¿Demasiados anuncios?

32voto

staffan avatar
staffan Puntos 3299

TL,DR: solo ejecuta brew upgrade.

“Simplemente actualizar” es casi siempre la respuesta correcta cuando se anuncia una vulnerabilidad de seguridad. Los mantenedores de distribución a menudo son notificados de las vulnerabilidades con anticipación, e incluso cuando no lo son, suelen reaccionar más rápido que los usuarios finales. Para cuando lees un artículo de prensa sobre una vulnerabilidad, generalmente ya ha sido parcheado por todas las distribuciones principales. Y si no lo está, suele ser porque el parcheado es difícil y probablemente no podrás hacerlo por tu cuenta más rápido que la distribución.

Como usuario final de software, generalmente solo necesitas reaccionar ante una vulnerabilidad si lo instalaste manualmente a través de un canal que no realiza actualizaciones. Esta es una de las razones por las que deberías instalar software a través de una tienda de aplicaciones o administrador de paquetes si es posible.

Necesitar comandos especiales fue una medida de emergencia mientras los mantenedores de Homebrew reaccionaban al anuncio de la vulnerabilidad. Homebrew es muy reactivo y ahora solo necesitas actualizar normalmente. Mientras escribo esto, brew upgrade xz baja xz de 5.6.1 a 5.4.6.

En este momento, no se conoce ninguna vulnerabilidad en xz 5.6.1 distribuido por Homebrew (la vulnerabilidad conocida solo se insertó durante algunas compilaciones), pero los mantenedores de Homebrew han revertido xz en caso de que hubiera otra vulnerabilidad mejor oculta.

Respondido el 31 de Marzo, 2024 por staffan (3299 Puntos )

0voto

Steve Evans avatar
Steve Evans Puntos 155

Hasta ahora, no ha habido ninguna advertencia de seguridad del proyecto brew. Tampoco hay problemas abiertos contra xz.

Si el riesgo no ha sido documentado y abordado para cuando necesites los paquetes, instala los paquetes numéricos de Python sin usar brew.

Respondido el 31 de Marzo, 2024 por Steve Evans (155 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X