Aller au contenu principal

Messages

Cette espace vous permet de voir toutes les Messages réalisées par ce membre. Vous ne pouvez voir que les Messages réalisées dans les espaces auxquels vous avez accès.

Messages - chalu

31
Sécurité / Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS
Ou encore ici https://linuxfr.org/users/ytterbium/journaux/xz-liblzma-compromis

Citer
Un aspect remarquable de cette porte dérobée est la façon dont elle est camouflée et tente de rester cachée…

Comment a-t-elle pu arriver ?
Tout simplement par l'un des développeurs du projet : https://github.com/tukaani-project/xz/commit/cf44e4b7f5dfdbf8c78aef377c10f71e274f63c0.
Les fichiers binaires à la source de l'injection de code ont été camouflés comme des fichiers de tests déjà compressés (mais aucun test pour les utiliser n'a été rédigé…). Et les fichiers de configs fautifs modifiant la compilation de xz ont été inclus dans des tarballs signés par ce dev.

Il s'agit donc d'une opération au long cours, avec l'inclusion des fichiers binaires comme cheval de Troie quelques mois avant le déclenchement effectif de la faille. Ce contributeur est arrivé il y a deux ans, et a pris dans cet intervalle suffisamment d'importance pour devenir le deuxième contributeur du projet, après l'auteur historique du programme. Pendant ces deux ans, il a écrit des commits assez majeurs, dont un certain nombre ont préparé le terrain techniquement pour le déclenchement de la porte dérobée.
Il peut s'agir d'une compromission assez récente du compte, mais au vu de l'historique, et de son insistance pour inclure les dernières versions de xz dans les distributions, il est plus que probable qu'il s'agisse d'un acteur malveillant. Probablement étatique d'ailleurs compte tenu de la sophistication de l'attaque et de son temps long.Il est d'ailleurs assez ironique que son dernier commit soit une modification de la politique de sécurité du projet.
Je me répète, mais c’est digne des films 007
32
Configuration avancée / Re : Depot google chrome
@xiloa‍ :
Tu ouvres YaST > dépôt de Logiciels
En bas à droite de la fenêtre qui liste tes dépôts, tu as le bouton "Clés GPG" pour gérer les clés.
Tu cliques sur ce bouton et dans la fenêtre qui s'ouvre, tu as toutes les clés utilisées.
Tu sélectionnes celle du dépôt de chrome et tu cliques sur le bouton supprimer.
Tu cliques sur le bouton OK jusqu'à sortir de YaST et la clé est supprimée.
Il faut ensuite que tu ajoutes la clé du dépôt google chrome. Il me semble que tu as une commande pour ça ?

Edit : bon c'est définitif, pour le futur de Leap, il nous faut YaST et tous ses modules !!
33
Sécurité / Re : Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS
Bonjour :)
La suite des événements ...
Par sécurité, les mainteneurs de Tumbleweed ont reconstruits tous les paquets de la distribution
Il faut mettre à jour Tumbleweed vers l'instantané 20240329 puis redémarrer. Personnellement comme, il y a la totalité des paquets du système, je l'ai fait sans me connecter à mon interface graphique, en passant par une console tty Ctl-Alt-F4. On se connecte puis sudo zypper dup et quand c'est fini, sudo reboot.
source : https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/RK7FEZUZ3JJU4RFGHGCVMW2XVLK7SELQ/
Citer
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).
34
Nouvelles du projet openSUSE / Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Oui c’est la suite. Ils reconstruisent tout, j’ai lu ça sur Telegram
source :
https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/RK7FEZUZ3JJU4RFGHGCVMW2XVLK7SELQ/

Citer
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).
39
Sécurité / Faille de sécurité dans le paquet xz sur Tumbleweed et MicroOS
On a parlé de cette faille ici. Je remets ci-dessous mon message :
Bonjour,
j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.
C’est digne d’un film d’espionnage cette histoire. Le développeur Jian Tan (JiaT75 sur github) de code malicieux a préparé son coup depuis plusieurs années d'après ce que j'ai lu sur le net sur ce sujet. Tout d’abord en s’incrustant dans le projet et en évinçant le dev d’origine qui n’allait pas bien.
Et ensuite en insérant des bugs pour forcer la mise à jour, avec des comptes créés pour l’occasion par des gens ou lui pour faire pression et faire ces majs.
C’est un paquet intégré à systemd, on ne peut pas s’en passer, du moins l’utilisatrice lambda que je suis.
Il semble que si on n’utilise pas ssh, c’est moins inquiétant. Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.
D’après certains, il pourrait y avoir d’autres « découvertes » dans le code. Le dev de code malicieux ayant pris la main depuis 2022 au moins…

Pour vérifier que vous avez la mise à jour avec les paquets corrigés :
Code: [Sélectionner]
zypper se -is xz liblzma 
Chargement des données du dépôt... 
Lecture des paquets installés... 
 
S | Name               | Type   | Version               | Arch   | Repository 
--+--------------------+--------+-----------------------+--------+------------------------------- 
i | liblzma5           | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | liblzma5-x86-64-v3 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | xz                 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | xz-lang            | paquet | 5.6.1.revertto5.4-3.2 | noarch | Dépôt principal de mise à jour
 
Notez le "reverto" qui indique le correctif.

Pour regarder si ssh est actif sur votre système (vous avez pu cocher lors de l'installation pour que ça le soit, même si vous ne l'avez pas utilisé. Il semble que le service est activé par défaut sur Aeon)
Code: [Sélectionner]
sudo systemctl status sshd
Chez moi j'ai :
Code: [Sélectionner]
○ sshd.service - OpenSSH Daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
     Active: inactive (dead)
qui indique que le service est désactivé (ouf !)
Rappel : il faut mettre à jour puis redémarrer
40
Nouvelles du projet openSUSE / Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Pour moi c'est clair. Si tu n'as pas utilisé ssh, mettre à jour corrige ce problème,  reste à savoir s'il y a eu d'autres services touchés, j'imagine que du côté des équipes de sécurité de toutes les distributions Linux , ça bosse dur !
Par contre si tu utilises ssh et que le code malveillant était sur ton système alors il y a un risque d'infection. Il faut réinstaller.... mais quoi ? Les deux PCs en liaison j'imagine par sécurité ?
Citer
ils sont revenu avec une version 5.6.1 qui est en fait une 5.4.5.
comme openSUSE qui est revenu à une version sauvegardée sans le patch malicieux
41
Installation et boot / Re : Opensuse TW partiellement en français et anglais
@gillles‍ :
j'arrive sur l'écran de connexion, je ne me connecte pas à ma session graphique mais je fais : Ctrl-Alt-F4 qui m'amène sur une console tty où je me connecte en root (si tu n'as pas de mot de passe root, tu te connectes avec ton identifiant et tu utiliseras sudo)
pour redémarrer : reboot
et là normalement tout se passe bien ;)

Pour passer d'une console tty à une session graphique, je fais Ctrl-Alt-F3

Edit : pense à mettre à jour ta TW, il y a une mise à jour de sécurité importante, voir https://www.alionet.org/index.php?topic=1834.msg15216#msg15216
42
Nouvelles du projet openSUSE / Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Bonjour,
j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.
C’est digne d’un film d’espionnage cette histoire. Le développeur Jian Tan (JiaT75 sur github) de code malicieux a préparé son coup depuis plusieurs années d'après ce que j'ai lu sur le net sur ce sujet. Tout d’abord en s’incrustant dans le projet et en évinçant le dev d’origine qui n’allait pas bien.
Et ensuite en insérant des bugs pour forcer la mise à jour, avec des comptes créés pour l’occasion par des gens ou lui pour faire pression et faire ces majs.
C’est un paquet intégré à systemd, on ne peut pas s’en passer, du moins l’utilisatrice lambda que je suis.
Il semble que si on n’utilise pas ssh, c’est moins inquiétant. Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.
D’après certains, il pourrait y avoir d’autres « découvertes » dans le code. Le dev de code malicieux ayant pris la main depuis 2022 au moins…

Pour vérifier que vous avez la mise à jour avec les paquets corrigés :
Code: [Sélectionner]
zypper se -is xz liblzma 
Chargement des données du dépôt... 
Lecture des paquets installés... 
 
S | Name               | Type   | Version               | Arch   | Repository 
--+--------------------+--------+-----------------------+--------+------------------------------- 
i | liblzma5           | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | liblzma5-x86-64-v3 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | xz                 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour 
i | xz-lang            | paquet | 5.6.1.revertto5.4-3.2 | noarch | Dépôt principal de mise à jour
 
Notez le "reverto" qui indique le correctif.

Pour regarder si ssh est actif sur votre système (vous avez pu cocher lors de l'installation pour que ça le soit, même si vous ne l'avez pas utilisé. Il semble que le service est activé par défaut sur Aeon)
Code: [Sélectionner]
sudo systemctl status sshd
Chez moi j'ai :
Code: [Sélectionner]
○ sshd.service - OpenSSH Daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
     Active: inactive (dead)
qui indique que le service est désactivé (ouf !)
43
Programmes et logiciels / Re : DisplayCAL, KDE Plasma et Wayland
Il faut mettre quote au lieu de codé entre les crochets, on voit le code source du message en cliquant sur le bouton à droite sur PC, sur tablette ou smartphone je ne sais plus si c’est pareil.
j’ai édité ton message pour faire le changement 
44
Général / Re : Mise à jour Plasma 6 sur TW... Quelques questionnements...
@Philoupes‍ : si tu as VLC en flatpak, c'est que tu l'as installé à un moment, peut-être pour tester. En tout cas le flatpak ne peut pas te causer de bazar avec le système.

Pour le thème de sddm, je pense que GentleBlur est un thème que tu as téléchargé sur plasma5 et qui n'est plus compatible plasma6.
Il n'est pas intégré par défaut à openSUSE, je ne l'ai pas. Essaie un des 5 ci-dessous :

Citation de: Philoupes – le
D'ailleurs dans Configuration du système et choix de l'écran de login, y a aucune possibilité pour en télécharger d'autres...
Oui chez moi non plus, je ne sais pas si c'est prévu. Tu peux toujours télécharger un thème compatible plasma6 et ensuite sur la fenêtre de configuration de SDDM en cliquant sur les 3 petits points, tu as "Installer à partir d'un fichier"
Je n'ai pas testé, je ne sais pas si ça marche. Tiens nous au courant ;)