ALERTE SÉCURITÉ LINUX : Une backdoor dans xz

Pause Café
#1

ALERTE SÉCURITÉ LINUX : Une backdoor dans xz - Point et explications

https://www.linuxtricks.fr/news/10-logiciels-libres/542-alerte-securite-une-backdoor-dans-xz-sous-linux-porte-derobee/

Cette alerte ne concerne que debian testing, unstable et experimentale qui ont été retro-gradé pour corriger la problématique, la version stable n’étant pas impacté (voir la vidéo a 10min34s c’est expliqué).

https://www.youtube.com/watch?v=zVn0-G8plvY

2 J'aime
#2

Salut
merci pour l’info

Un patch de vérification traine quelque part , probablement dans les mises à jour normales
les versions 5.6 de xz-utils sont à mettre à jour vers 5.6.1+really5.4.5-1

A noter que le backdoor vient de l’intégration de ssh avec systemd ( pour ceux qui détestent systemd , voilà une nouvelle raison :slight_smile: )

quelqu’un peut expliquer ce qu’est valgrind

A noter que Bastian Germann bage@debian.org , krygorin4545 krygorin4545@proton.me , misoeater91@tutamail.com , krygorin4545 krygorin4545@proton.me, Debian FTP Masters ftpmaster@ftp-master.debian.org ont participé chez debian à la propagation ( sans forcément le savoir : https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1067708 ) et que Thorsten Glaser tg@debian.org a senti un truc pas normal.

Une histoire ici :Everything I know about the XZ backdoor

Un peu du travail du découvreur ici : oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise

Je m’étonne que les versions 5.6.0 soient encore sur debian dans Index of /debian/pool/main/x/xz-utils

#3

Chez moi, dans Sid, j’ai bien la version 5.4.5.

En lisant l’histoire du truc, ça ressemble très fortement à une barbouzerie chinoise.

#4

Le nom du trou de sécurité ( 10 sur 10 ) est CVE-2024-3094

#5

Après lecture du lien de dindoun (oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise), je pense désinstaller ssh et sshd de debian et compiler pristine openssh9.7p1 à la main…

#6

pas sur que ce soit une bonne idée
a priori, si tu es en stable, tu ne t’ai pas fait piraté , il faut être en debian13 ; de plus les patchs sont faits (http://ftp.debian.org/debian/pool/main/x/xz-utils/xz-utils_5.6.1+really5.4.5-1_amd64.deb) et il y a un doute sur libarchive, donc tu risques de faire pire.
Mais si tu t’y connais et a regardé l’absence du code malveillant dans les sources, à toi l’univers.

#7

Master of universe ? woaw ! :- :rofl: