Forum

bonjour
dans les propositions de YT je tombe aujourd'hui sur cela
https://www.youtube.com/watch?v=jqjtNDtbDNI
à mon niveau je ne mesure pas exactement l'impact.
qu'en pensez vous?

https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/

« Je n’ai pas encore analysé précisément ce qui est vérifié dans le code injecté, pour permettre l’accès non autorisé », écrit Freund. « Étant donné que cela se déroule dans un contexte de pré-authentification, il semble probable qu'il permette une forme d'accès ou une autre forme d'exécution de code distant. »

Dans certains cas, la porte dérobée n'a pas été en mesure de fonctionner comme prévu. L'environnement de construction de Fedora 40, par exemple, contient des incompatibilités qui empêchent l'injection de se produire correctement. Fedora 40 est maintenant revenu aux versions 5.4.x de xz Utils.

Xz Utils est disponible pour la plupart, sinon toutes les distributions Linux, mais pas toutes, elles ne l'incluent pas par défaut. Toute personne utilisant Linux doit vérifier immédiatement auprès de son distributeur pour déterminer si son système est affecté. Freund a fourni un script pour détecter si un système SSH est vulnérable.

Est ce qu'une mise a jour ne fermerais pas cette [censuré] 'porte' ?

Korben en parle :

https://korben.info/backdoor-linux-faille-securite-critique-xz-utils.html

Depuis, c’est le branle-bas de combat. Les mainteneurs de Fedora et Debian se sont empressés de retirer les versions vérolées et de revenir à une release clean de xz Utils. Et les utilisateurs sont appelés à vérifier s’ils sont affectés en utilisant un script de détection mis à dispo par Andres himself.

https://www.openwall.com/lists/oss-security/2024/03/29/4

Édité par steven Le 30/03/2024 à 05h37

Bonjour,
Ma première vérification concerne la version utilisée par Mageia dans cauldron.
https://svnweb.mageia.org/packages/cauldron/xz/current/SPECS/xz.spec?view=markup#l13
On voit que que c'est la version 5.4.6, laquelle est dite non affectée, ce qui est rassurant.
Il reste à vérifier que xz ne serait pas embarqué dans d'autres sources sasns utilisation de la version de la distribution.

Papoteur :

Bonjour,
Ma première vérification concerne la version utilisée par Mageia dans cauldron.
https://svnweb.mageia.org/packages/cauldron/xz/current/SPECS/xz.spec?view=markup#l13
On voit que que c'est la version 5.4.6, laquelle est dite non affectée, ce qui est rassurant.
Il reste à vérifier que xz ne serait pas embarqué dans d'autres sources sasns utilisation de la version de la distribution.

On va encore tirer sur le pianiste mais les rpm eux-même ne dépendent-ils pas de liblzma ???

steven :

Papoteur :

Bonjour,
Ma première vérification concerne la version utilisée par Mageia dans cauldron.
https://svnweb.mageia.org/packages/cauldron/xz/current/SPECS/xz.spec?view=markup#l13
On voit que que c'est la version 5.4.6, laquelle est dite non affectée, ce qui est rassurant.
Il reste à vérifier que xz ne serait pas embarqué dans d'autres sources sasns utilisation de la version de la distribution.

On va encore tirer sur le pianiste mais les rpm eux-même ne dépendent-ils pas de liblzma ???

Qu'importe, la version "vérolée" n'était pas encore arrivée sur Mageia. Sur Mageia nous serions tous sauf à priori.