Aller au contenu principal

Messages

Cette espace vous permet de voir toutes les Messages réalisées par ce membre. Vous ne pouvez voir que les Messages réalisées dans les espaces auxquels vous avez accès.

Messages - chalu

17
Internet, réseaux et serveurs / Re : Alternative à Teamviewer... Rustdesk ?
ça n'a pas l'air très sécurisé comme protocole XDMCP,  c'est pourquoi les développeurs de SDDM n'ajouteront pas de fonctionnalité pour le prendre en charge, plus le fait qu'il ne sera pas compatible wayland (?).

Edit : rustek ça avait l'air pas mal pour remplacer Teamviewer. C'est souvent présenté comme un clone libre . Qu'est ce qui ne marchait pas avec lui si tu l'as essayé ?
21
Sécurité / Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS
Ou encore ici https://linuxfr.org/users/ytterbium/journaux/xz-liblzma-compromis

Citer
Un aspect remarquable de cette porte dérobée est la façon dont elle est camouflée et tente de rester cachée…

Comment a-t-elle pu arriver ?
Tout simplement par l'un des développeurs du projet : https://github.com/tukaani-project/xz/commit/cf44e4b7f5dfdbf8c78aef377c10f71e274f63c0.
Les fichiers binaires à la source de l'injection de code ont été camouflés comme des fichiers de tests déjà compressés (mais aucun test pour les utiliser n'a été rédigé…). Et les fichiers de configs fautifs modifiant la compilation de xz ont été inclus dans des tarballs signés par ce dev.

Il s'agit donc d'une opération au long cours, avec l'inclusion des fichiers binaires comme cheval de Troie quelques mois avant le déclenchement effectif de la faille. Ce contributeur est arrivé il y a deux ans, et a pris dans cet intervalle suffisamment d'importance pour devenir le deuxième contributeur du projet, après l'auteur historique du programme. Pendant ces deux ans, il a écrit des commits assez majeurs, dont un certain nombre ont préparé le terrain techniquement pour le déclenchement de la porte dérobée.
Il peut s'agir d'une compromission assez récente du compte, mais au vu de l'historique, et de son insistance pour inclure les dernières versions de xz dans les distributions, il est plus que probable qu'il s'agisse d'un acteur malveillant. Probablement étatique d'ailleurs compte tenu de la sophistication de l'attaque et de son temps long.Il est d'ailleurs assez ironique que son dernier commit soit une modification de la politique de sécurité du projet.
Je me répète, mais c’est digne des films 007
22
Configuration avancée / Re : Depot google chrome
@xiloa‍ :
Tu ouvres YaST > dépôt de Logiciels
En bas à droite de la fenêtre qui liste tes dépôts, tu as le bouton "Clés GPG" pour gérer les clés.
Tu cliques sur ce bouton et dans la fenêtre qui s'ouvre, tu as toutes les clés utilisées.
Tu sélectionnes celle du dépôt de chrome et tu cliques sur le bouton supprimer.
Tu cliques sur le bouton OK jusqu'à sortir de YaST et la clé est supprimée.
Il faut ensuite que tu ajoutes la clé du dépôt google chrome. Il me semble que tu as une commande pour ça ?

Edit : bon c'est définitif, pour le futur de Leap, il nous faut YaST et tous ses modules !!
23
Sécurité / Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS
Bonjour :)
La suite des événements ...
Par sécurité, les mainteneurs de Tumbleweed ont reconstruits tous les paquets de la distribution
Il faut mettre à jour Tumbleweed vers l'instantané 20240329 puis redémarrer. Personnellement comme, il y a la totalité des paquets du système, je l'ai fait sans me connecter à mon interface graphique, en passant par une console tty Ctl-Alt-F4. On se connecte puis sudo zypper dup et quand c'est fini, sudo reboot.
source : https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/RK7FEZUZ3JJU4RFGHGCVMW2XVLK7SELQ/
Citer
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).
24
Nouvelles du projet openSUSE / Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Oui c’est la suite. Ils reconstruisent tout, j’ai lu ça sur Telegram
source :
https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/RK7FEZUZ3JJU4RFGHGCVMW2XVLK7SELQ/

Citer
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).
29
Sécurité / Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS
On a parlé de cette faille ici. Je remets ci-dessous mon message :
Bonjour,
j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.
C’est digne d’un film d’espionnage cette histoire. Le développeur Jian Tan (JiaT75 sur github) de code malicieux a préparé son coup depuis plusieurs années d'après ce que j'ai lu sur le net sur ce sujet. Tout d’abord en s’incrustant dans le projet et en évinçant le dev d’origine qui n’allait pas bien.
Et ensuite en insérant des bugs pour forcer la mise à jour, avec des comptes créés pour l’occasion par des gens ou lui pour faire pression et faire ces majs.
C’est un paquet intégré à systemd, on ne peut pas s’en passer, du moins l’utilisatrice lambda que je suis.
Il semble que si on n’utilise pas ssh, c’est moins inquiétant. Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.
D’après certains, il pourrait y avoir d’autres « découvertes » dans le code. Le dev de code malicieux ayant pris la main depuis 2022 au moins…

Pour vérifier que vous avez la mise à jour avec les paquets corrigés :
Code: [Sélectionner]
zypper se -is xz liblzma 
Chargement des données du dépôt... 
Lecture des paquets installés... 
 
S | Name               | Type   | Version               | Arch   | Repository 
--+--------------------+--------+-----------------------+--------+------------------------------- 
i | liblzma5           | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | liblzma5-x86-64-v3 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | xz                 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | xz-lang            | paquet | 5.6.1.revertto5.4-3.2 | noarch | Dépôt principal de mise à jour
 
Notez le "reverto" qui indique le correctif.

Pour regarder si ssh est actif sur votre système (vous avez pu cocher lors de l'installation pour que ça le soit, même si vous ne l'avez pas utilisé. Il semble que le service est activé par défaut sur Aeon)
Code: [Sélectionner]
sudo systemctl status sshd
Chez moi j'ai :
Code: [Sélectionner]
○ sshd.service - OpenSSH Daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
     Active: inactive (dead)
qui indique que le service est désactivé (ouf !)
Rappel : il faut mettre à jour puis redémarrer
30
Nouvelles du projet openSUSE / Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Pour moi c'est clair. Si tu n'as pas utilisé ssh, mettre à jour corrige ce problème,  reste à savoir s'il y a eu d'autres services touchés, j'imagine que du côté des équipes de sécurité de toutes les distributions Linux , ça bosse dur !
Par contre si tu utilises ssh et que le code malveillant était sur ton système alors il y a un risque d'infection. Il faut réinstaller.... mais quoi ? Les deux PCs en liaison j'imagine par sécurité ?
Citer
ils sont revenu avec une version 5.6.1 qui est en fait une 5.4.5.
comme openSUSE qui est revenu à une version sauvegardée sans le patch malicieux