Aller au contenu principal
Sujet: Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS (Lu 6835 fois) sujet précédent - sujet suivant

Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

On a parlé de cette faille ici. Je remets ci-dessous mon message :
Bonjour,

j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.
C’est digne d’un film d’espionnage cette histoire. Le développeur Jian Tan (JiaT75 sur github) de code malicieux a préparé son coup depuis plusieurs années d'après ce que j'ai lu sur le net sur ce sujet. Tout d’abord en s’incrustant dans le projet et en évinçant le dev d’origine qui n’allait pas bien.
Et ensuite en insérant des bugs pour forcer la mise à jour, avec des comptes créés pour l’occasion par des gens ou lui pour faire pression et faire ces majs.
C’est un paquet intégré à systemd, on ne peut pas s’en passer, du moins l’utilisatrice lambda que je suis.
Il semble que si on n’utilise pas ssh, c’est moins inquiétant. Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.
D’après certains, il pourrait y avoir d’autres « découvertes » dans le code. Le dev de code malicieux ayant pris la main depuis 2022 au moins…

Pour vérifier que vous avez la mise à jour avec les paquets corrigés :
zypper se -is xz liblzma 
Chargement des données du dépôt...
Lecture des paquets installés...
 
S | Name               | Type   | Version               | Arch   | Repository
--+--------------------+--------+-----------------------+--------+-------------------------------
i | liblzma5           | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | liblzma5-x86-64-v3 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | xz                 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | xz-lang            | paquet | 5.6.1.revertto5.4-3.2 | noarch | Dépôt principal de mise à jour
 
Notez le "reverto" qui indique le correctif.

Pour regarder si ssh est actif sur votre système (vous avez pu cocher lors de l'installation pour que ça le soit, même si vous ne l'avez pas utilisé. Il semble que le service est activé par défaut sur Aeon)
sudo systemctl status sshd 
Chez moi j'ai :
○ sshd.service - OpenSSH Daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
     Active: inactive (dead)
qui indique que le service est désactivé (ouf !)
Rappel : il faut mettre à jour puis redémarrer

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #1
merci pour l'info c'est quand même plus clair quand c'est en francais :-)
Ouf aussi

 [Sélectionner]
○ sshd.service - OpenSSH Daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
     Active: inactive (dead)

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #2
Bonjour :)
La suite des événements ...
Par sécurité, les mainteneurs de Tumbleweed ont reconstruits tous les paquets de la distribution
Il faut mettre à jour Tumbleweed vers l'instantané 20240329 puis redémarrer. Personnellement comme, il y a la totalité des paquets du système, je l'ai fait sans me connecter à mon interface graphique, en passant par une console tty Ctl-Alt-F4. On se connecte puis sudo zypper dup et quand c'est fini, sudo reboot.
source : https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/RK7FEZUZ3JJU4RFGHGCVMW2XVLK7SELQ/
Citer
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #3
@chalu : Bonjour et merci pour toutes ces infos en français dans le texte  :) Allez hop on envoie l'énorme maj! (pas de ssh actif chez moi).

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #4
Bonjour à tous,
Sur la chaine Linuxtrick de Adrien D (Youtube) y a toute une explication précises qui "brosse" la grande majorité des systèmes utilisés.
ici : https://youtu.be/zVn0-G8plvY?si=bMURRwsSjA669xhr
C'est un poil long (25 min) mais chapitré et instructif.
Pour celles et ceux qui ont déjà terminé de chercher les zoeufs... Ou en attendant que la loooooongue mise à jour se fasse ...
Amicalement
Philippe


Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #6
Ou encore ici https://linuxfr.org/users/ytterbium/journaux/xz-liblzma-compromis

Citer
Un aspect remarquable de cette porte dérobée est la façon dont elle est camouflée et tente de rester cachée…

Comment a-t-elle pu arriver ?
Tout simplement par l'un des développeurs du projet : https://github.com/tukaani-project/xz/commit/cf44e4b7f5dfdbf8c78aef377c10f71e274f63c0.
Les fichiers binaires à la source de l'injection de code ont été camouflés comme des fichiers de tests déjà compressés (mais aucun test pour les utiliser n'a été rédigé…). Et les fichiers de configs fautifs modifiant la compilation de xz ont été inclus dans des tarballs signés par ce dev.

Il s'agit donc d'une opération au long cours, avec l'inclusion des fichiers binaires comme cheval de Troie quelques mois avant le déclenchement effectif de la faille. Ce contributeur est arrivé il y a deux ans, et a pris dans cet intervalle suffisamment d'importance pour devenir le deuxième contributeur du projet, après l'auteur historique du programme. Pendant ces deux ans, il a écrit des commits assez majeurs, dont un certain nombre ont préparé le terrain techniquement pour le déclenchement de la porte dérobée.
Il peut s'agir d'une compromission assez récente du compte, mais au vu de l'historique, et de son insistance pour inclure les dernières versions de xz dans les distributions, il est plus que probable qu'il s'agisse d'un acteur malveillant. Probablement étatique d'ailleurs compte tenu de la sophistication de l'attaque et de son temps long.Il est d'ailleurs assez ironique que son dernier commit soit une modification de la politique de sécurité du projet.
Je me répète, mais c’est digne des films 007

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #7
@chalu : et c'est certainement le quotidien de milliers de cyber travailleur.se.s des services de renseignements partout dans le monde... Quelle époque ! :)


à plus,
oh!rocks

 

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #8
Merci @chalu pour cette excellente publication et son suivi.
C'est vrai que c'est une histoire d'espionnage ce truc, je n'y croyais pas. Malheureusement, ce genre de "supply-chain attack" est de plus en plus fréquent et l'open-source est particulièrement sensible à ça du fait des bibliothèques partagées dans de nombreuses distributions.

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #9
Il faut mettre à jour Tumbleweed vers l'instantané 20240329 puis redémarrer.
Bonjour
pour le moment, on ne peut plus télécharger une ISO de tumbleweed
Citer
503 Service Unavailable
No server is available to handle this request.

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #10
Bonjour,
@C2G9‍ pas de souci ici, tu es tombé au mauvais moment ? Je n’ai pas vu d’infos non plus là-dessus.

@sogal‍ Merci 😊 ça m’a semblé important de partager sur le forum, avec la communauté fr, les infos que je trouvais et surtout les consignes en français données par les mainteneurs d’openSUSE.

Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS

Répondre #11
Oui pile-poil au mauvais moment car c'est reparti, on peut télécharger tumbleweed  ;)