48
Bonjour,
j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.
C’est digne d’un film d’espionnage cette histoire. Le développeur Jian Tan (JiaT75 sur github) de code malicieux a préparé son coup depuis plusieurs années d'après ce que j'ai lu sur le net sur ce sujet. Tout d’abord en s’incrustant dans le projet et en évinçant le dev d’origine qui n’allait pas bien.
Et ensuite en insérant des bugs pour forcer la mise à jour, avec des comptes créés pour l’occasion par des gens ou lui pour faire pression et faire ces majs.
C’est un paquet intégré à systemd, on ne peut pas s’en passer, du moins l’utilisatrice lambda que je suis.
Il semble que si on n’utilise pas ssh, c’est moins inquiétant. Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.
D’après certains, il pourrait y avoir d’autres « découvertes » dans le code. Le dev de code malicieux ayant pris la main depuis 2022 au moins…
Pour vérifier que vous avez la mise à jour avec les paquets corrigés :
zypper se -is xz liblzma
Chargement des données du dépôt...
Lecture des paquets installés...
S | Name | Type | Version | Arch | Repository
--+--------------------+--------+-----------------------+--------+-------------------------------
i | liblzma5 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | liblzma5-x86-64-v3 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | xz | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | xz-lang | paquet | 5.6.1.revertto5.4-3.2 | noarch | Dépôt principal de mise à jour
Notez le "reverto" qui indique le correctif.
Pour regarder si ssh est actif sur votre système (vous avez pu cocher lors de l'installation pour que ça le soit, même si vous ne l'avez pas utilisé. Il semble que le service est activé par défaut sur Aeon)
sudo systemctl status sshd
Chez moi j'ai :
○ sshd.service - OpenSSH Daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
Active: inactive (dead)
qui indique que le service est désactivé (ouf !)
54
Ce n'est pas pareil, je crois. Cette commande rpm liste les paquets orphelins comme l'autre donnée plus haut. L'option nouvellement intégrée dans zypper propose de les supprimer pour faire du nettoyage.
Edit : commande testée ce soir après la mise à jour de Tumbleweed 20240326
localhost:~ # zypper dup --remove-orphaned
Chargement des données du dépôt...
Lecture des paquets installés...
Avertissement : Vous êtes sur le point d'exécuter une mise à niveau de distribution avec tous les dépôts activés. Assurez-vous que ces dépôts sont compatibles avant de continuer. Reportez-vous à 'man zypper' pour obtenir plus d'informations sur cette commande.
Calcul de la mise à niveau de la distribution...
Les 3 paquets suivants vont être SUPPRIMÉS :
libabsl2301_0_0 libprotobuf22_5_0 libprotobuf-lite22_5_0
3 paquets à supprimer.
Après l'opération, 4,9 MiB d'espace disque sera libéré.
Backend: classic_rpmtrans
Continue? [o/n/v/...? affiche toutes les options] (o):
(1/3) Suppression de libprotobuf-lite22_5_0-22.5-4.1.x86_64 ...[fait]
(2/3) Suppression de libprotobuf22_5_0-22.5-4.1.x86_64 ...[fait]
(3/3) Suppression de libabsl2301_0_0-20230125.3-3.1.x86_64 ...[fait]
Exécution des scripts ultérieurs à la transaction ...[fait]
Bon, j'avais vérifié avant en faisant une recherche sur le début des noms de paquets que des versions plus récentes étaient installées sur le système et c'était le cas.
On peut voir qu'il y a demande de confirmation, il faut bien regarder ce qui va être supprimé.