On a parlé de cette faille ici (https://www.alionet.org/index.php?topic=1834.msg15223#msg15223). Je remets ci-dessous mon message :
Bonjour,j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.C’est digne d’un film d’espionnage cette histoire. Le développeur Jian Tan (JiaT75 sur github) de code malicieux a préparé son coup depuis plusieurs années d'après ce que j'ai lu sur le net sur ce sujet. Tout d’abord en s’incrustant dans le projet et en évinçant le dev d’origine qui n’allait pas bien.Et ensuite en insérant des bugs pour forcer la mise à jour, avec des comptes créés pour l’occasion par des gens ou lui pour faire pression et faire ces majs.C’est un paquet intégré à systemd, on ne peut pas s’en passer, du moins l’utilisatrice lambda que je suis.Il semble que si on n’utilise pas ssh, c’est moins inquiétant. Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.D’après certains, il pourrait y avoir d’autres « découvertes » dans le code. Le dev de code malicieux ayant pris la main depuis 2022 au moins…Pour vérifier que vous avez la mise à jour avec les paquets corrigés :zypper se -is xz liblzma
Chargement des données du dépôt...
Lecture des paquets installés...
S | Name | Type | Version | Arch | Repository
--+--------------------+--------+-----------------------+--------+-------------------------------
i | liblzma5 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | liblzma5-x86-64-v3 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | xz | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | xz-lang | paquet | 5.6.1.revertto5.4-3.2 | noarch | Dépôt principal de mise à jour
Notez le "reverto" qui indique le correctif.Pour regarder si ssh est actif sur votre système (vous avez pu cocher lors de l'installation pour que ça le soit, même si vous ne l'avez pas utilisé. Il semble que le service est activé par défaut sur Aeon)sudo systemctl status sshd
Chez moi j'ai :○ sshd.service - OpenSSH Daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
Active: inactive (dead)
qui indique que le service est désactivé (ouf !)Rappel : il faut mettre à jour puis redémarrer
merci pour l'info c'est quand même plus clair quand c'est en francais :-)
Ouf aussi
[Sélectionner]
○ sshd.service - OpenSSH Daemon
Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
Active: inactive (dead)
Bonjour :)
La suite des événements ...
Par sécurité, les mainteneurs de Tumbleweed ont reconstruits tous les paquets de la distribution
Il faut mettre à jour Tumbleweed vers l'instantané 20240329 puis redémarrer. Personnellement comme, il y a la totalité des paquets du système, je l'ai fait sans me connecter à mon interface graphique, en passant par une console tty Ctl-Alt-F4. On se connecte puis sudo zypper dup et quand c'est fini, sudo reboot.
source : https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/RK7FEZUZ3JJU4RFGHGCVMW2XVLK7SELQ/
@chalu : Bonjour et merci pour toutes ces infos en français dans le texte :) Allez hop on envoie l'énorme maj! (pas de ssh actif chez moi).
Bonjour à tous,
Sur la chaine Linuxtrick de Adrien D (Youtube) y a toute une explication précises qui "brosse" la grande majorité des systèmes utilisés.
ici : https://youtu.be/zVn0-G8plvY?si=bMURRwsSjA669xhr (https://youtu.be/zVn0-G8plvY?si=bMURRwsSjA669xhr)
C'est un poil long (25 min) mais chapitré et instructif.
Pour celles et ceux qui ont déjà terminé de chercher les zoeufs... Ou en attendant que la loooooongue mise à jour se fasse ...
Amicalement
Philippe
;=)
ici aussi en français https://korben.info/backdoor-linux-faille-securite-critique-xz-utils.html
je me suis amusé pour voir à faire un zypper rm xz ...
ya du monde concerné , bon courage aux chercheurs...
Ou encore ici https://linuxfr.org/users/ytterbium/journaux/xz-liblzma-compromis
Je me répète, mais c’est digne des films 007
@chalu : et c'est certainement le quotidien de milliers de cyber travailleur.se.s des services de renseignements partout dans le monde... Quelle époque ! :)
à plus,
oh!rocks
Merci
@chalu pour cette excellente publication et son suivi.
C'est vrai que c'est une histoire d'espionnage ce truc, je n'y croyais pas. Malheureusement, ce genre de "supply-chain attack" est de plus en plus fréquent et l'open-source est particulièrement sensible à ça du fait des bibliothèques partagées dans de nombreuses distributions.
Bonjour
pour le moment, on ne peut plus télécharger une ISO de tumbleweed
Bonjour,
@C2G9 pas de souci ici, tu es tombé au mauvais moment ? Je n’ai pas vu d’infos non plus là-dessus.
@sogal Merci 😊 ça m’a semblé important de partager sur le forum, avec la communauté fr, les infos que je trouvais et surtout les consignes en français données par les mainteneurs d’openSUSE.
Oui pile-poil au mauvais moment car c'est reparti, on peut télécharger tumbleweed ;)