Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #15 – 02 Avril, 2024, 14:25:10 @chumi : en même temps, le sous-système Linux développé par (et pour) Microsoft est sans doute également impacté par cette backdoor.à plus,oh!rocks Citer la sélection
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #16 – 02 Avril, 2024, 23:18:28 Citation de: xiloa – le 02 Avril, 2024, 09:02:58Citation de: seb95 – le 30 Mars, 2024, 10:33:04Bah je n'attends trop rien des mises à jour en générale, étant un habitué de Debian stable, à la limite que le bureau m'apporte des changements sympa, mais ayant Gnome, c'est pas toujours la joie, souvent des choses pourtant simples et disponibles partout ailleurs disparaissent comme le "system tray" (les icônes miniatures des logiciels ouvert en arrière plan) bien utile pour moi. Sinon mon XFCE mais là on est sur un truc qui ne veut pas bousculer ses habitués et c'est pas plus mal. Bien sur il y a kde, bureau que j'utilise et puis que j'abandonne, j'y reviens, mais je ne reste pas. ...Pour la petite histoire, toutes les distributions, même la vénérable debian est touchée par cette histoire de xz. le problème concerne si on a ssh en action et fait une mise à jour durant les quelques jours ( 2/3 ? ) où la version de xz était vérolée. ( si j'ai bien tout compris)ça fait froid dans le dos. J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables. Hello oui et non.Debian comme Rhed and co, ne sont touché que dans leur branche de dev. (donc testing/SID pour debian)La branche stable de Debian elle n'a pas été compromise. Idem Leap n'a pas été compromise non plus vu que la montée de version est beaucoup plus rare et se fait uniquement si nécessaire/obligatoire.La majorité des montées de version étant sur la version leap +1 si monté il y a. Citer la sélection Dernière édition : 02 Avril, 2024, 23:21:24 par burn2
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #17 – 03 Avril, 2024, 17:27:43 Coucou à toutes et tous,Ce jour, à l'instant, il m'est proposé encore un downgrade de la librairie XZQue se soit avec DIscover ou en CLI avec Zypper j'ai cette proposition : Actuellement j'ai xz (et consors) 5.6.1.revertto5.4-3.2 - (que j'avais mis à jour le 30 mars)et maintenant le système propose un downgrade vers 5.6.1.revertto5.4-2.1The following 6 packages are going to be downgraded: liblzma5 liblzma5-32bit liblzma5-x86-64-v3 xz xz-devel xz-lang par zypper et/ou par DiscoverVous en pensez koa les amis ?AmicalementPhilippe Citer la sélection
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #18 – 03 Avril, 2024, 17:38:58 Oui, j'ai eu ça aussi : j'ai dit oui et c'est passé. à plus,oh!rocks Citer la sélection
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #19 – 03 Avril, 2024, 17:56:59 Salut @oh!rocks J'ai pas trop de doute sur le fait que "ça passe" mais sur le fait que ça soit safe .......ça yé... Avec toutes ces histoires je deviens parano.... Aya...Philippe Citer la sélection
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #20 – 03 Avril, 2024, 18:23:52 @Philoupes : moi je l'ai fait, je pense qu'ils ont dû trouver des trucs qui n'allaient pas dans la première version rétrogradée.Le gars était le deuxième contributeur depuis 2022... et il a procédé par petite touche donc d'ici à ce que tout soit relu et vérifié... Citer la sélection 2 J'aime
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #21 – 03 Avril, 2024, 18:25:49 Re coucou @chalu et @oh!rocks Oui, en fait je vais faire la mise à jour, mais comme on en parle j'ai préféré avoir vos avis avisés... Vous êtes plus au courant de ce qui se passe que moi.AmicalementPhilippe Citer la sélection
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #22 – 03 Avril, 2024, 19:15:46 @Philoupes : je n'ai pas les moyens intellectuels de comprendre les tenants et aboutissants techniques de telles failles. Je visualise bien le concept mais je suis incapable de lire donc d'auditer un code.Aussi, ou je fais confiance aux mainteneurs d'openSUSE (qui ont largement prouvé leurs compétences) ou je reprends mes silex et mes charbons de bois pour décorer ma grotte. La sécurité (ou plutôt le sentiment de sécurité) est quelque chose de très personnel et dépend autant des risques réels (en l'occurrence, la compromission de logiciels open source), que de nos expériences passées, de nos attentes, de ce que l'on considère comme important (donc à protéger), mais surtout des compétences, des méthodes et des outils dont nous disposons pour tenter de répondre même partiellement à toutes ces problématiques.Pour ma part, j'ai laissé tomber : je numérise beaucoup (textes et photos, notamment) et je considère que j'accepte le risque de voir tout disparaître. Je me suis déjà fait voler deux ordinateurs pleins à craquer de données jamais récupérées mais j'ai décidé que ça ne devait pas altérer ma vie de tous les jours. Enfin, pas trop. Carpe diem ! à plus,oh!rocks Citer la sélection 2 J'aime
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #23 – 03 Avril, 2024, 22:17:03 Citation de: oh!rocks – le 02 Avril, 2024, 14:25:10@chumi : en même temps, le sous-système Linux développé par (et pour) Microsoft est sans doute également impacté par cette backdoor.Oui certainement mais dire que ces failles sont indétectables par ou dans des systèmes propriétaires m'a semblé caricatural. Le logiciel propriétaire a de bons ingénieurs, la preuve. Par contre, c'est vrai, l'ouverture du code, à l'avantage du logiciel libre, a permis à l'un de ces ingénieurs "propriétaires" de mettre le nez dedans. Citer la sélection Dernière édition : 03 Avril, 2024, 22:20:07 par Chumi
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #24 – 03 Avril, 2024, 22:23:12 Citation de: Philoupes – le 03 Avril, 2024, 17:27:43Coucou à toutes et tous,Ce jour, à l'instant, il m'est proposé encore un downgrade de la librairie XZQue se soit avec DIscover ou en CLI avec Zypper j'ai cette proposition : Actuellement j'ai xz (et consors) 5.6.1.revertto5.4-3.2 - (que j'avais mis à jour le 30 mars)et maintenant le système propose un downgrade vers 5.6.1.revertto5.4-2.1The following 6 packages are going to be downgraded: liblzma5 liblzma5-32bit liblzma5-x86-64-v3 xz xz-devel xz-lang par zypper et/ou par DiscoverVous en pensez koa les amis ?AmicalementPhilippe C'est justement la solution c'est normal.La version 5.6.0 et 5.6.1 sont verrolés, il faut donc redescendre à un e version précédente. Citer la sélection
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #25 – 03 Avril, 2024, 22:45:50 @burn2 : Là on rétropédale encore une fois (-2), d'où l'inquiétude. Je n'ai pas non plus les moyens intellectuels de vérifier la pertinence de tout ça. Citer la sélection 1 J'aime
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #26 – 04 Avril, 2024, 18:32:40 Je vous conseille de faire les mises à jour dés que possible, le sujet est ultra suivi et les mises à jour proposées le sont pour sécuriser vos machines.Il faut en prime penser à renouveller vos identifiants / mots de passe sensibles, comme mesure complémentaire et n'empêchant pas la mise à jour. Citer la sélection
Re : openSUSE répond à une attaque contre la bibliothèque de compression xz Répondre #27 – 04 Avril, 2024, 20:12:49 Citation de: xiloa – le 02 Avril, 2024, 09:02:58Pour la petite histoire, toutes les distributions, même la vénérable debian est touchée par cette histoire de xz. le problème concerne si on a ssh en action et fait une mise à jour durant les quelques jours ( 2/3 ? ) où la version de xz était vérolée. ( si j'ai bien tout compris)ça fait froid dans le dos. J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables. Pour la petite histoire, toutes les distributions rollings ou de developpements, sauf les distributions comme la vénérable debian stable ou encore Ubuntu LTS, ou encore openSUSE Leap... Le soucis ne date pas de quelques jours mais de plusieurs semaines/mois d'où pourquoi on retourne sur une version aussi lointaine. Citer la sélection