Débats et nouvelles => Nouvelles du projet openSUSE => Discussion initiée par: seb95 le 29 Mars, 2024, 21:20:09
Titre: openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: seb95 le 29 Mars, 2024, 21:20:09
Citer
Les responsables d’openSUSE ont reçu une notification d’une attaque de la chaîne d’approvisionnement contre l’outil de compression “xz” et la bibliothèque “liblzma5”.
Contexte
Le chercheur en sécurité Andres Freund a signalé à Debian que la bibliothèque xz/liblzma avait été détournée.
Cette porte dérobée a été introduite dans le projet github xz en amont avec version 5.6.0 en février 2024.
Notre distribution continue openSUSE Tumbleweed et openSUSE MicroOS inclus cette version entre le 7 et le 28 mars.
SUSE Linux Enterprise et Leap sont construits indépendamment d’openSUSE. Le code, les fonctionnalités et les caractéristiques de Tumbleweed ne sont pas automatiquement introduit dans SUSE Linux Enterprise et/ou Leap. Il a été établi que le fichier malveillant introduit dans Tumbleweed n’est pas présent dans SUSE Linux Enterprise et/ou Leap.
Tiens! j'ai mis à jour (20240328) et redémarrer immédiatement sans connaissance de tout ça (qui ne m'éclaire pas trop sur le risque que j'encoure personnellement). Bon, prosaïquement j'attendais autre chose de cette maj :)) KDE 6.0.3, quoi de neuf? ou plutôt, quoi de mieux? qu'est-ce que j'observe de mieux?
La consigne est donc de mettre à jour et de redémarrer.
Merci pour l'info (ça le fait, une citation et un lien vers ton blog).
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: chalu le 30 Mars, 2024, 07:54:09
Bonjour, j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent. C’est digne d’un film d’espionnage cette histoire. Le développeur Jian Tan (JiaT75 sur github) de code malicieux a préparé son coup depuis plusieurs années d'après ce que j'ai lu sur le net sur ce sujet. Tout d’abord en s’incrustant dans le projet et en évinçant le dev d’origine qui n’allait pas bien. Et ensuite en insérant des bugs pour forcer la mise à jour, avec des comptes créés pour l’occasion par des gens ou lui pour faire pression et faire ces majs. C’est un paquet intégré à systemd, on ne peut pas s’en passer, du moins l’utilisatrice lambda que je suis. Il semble que si on n’utilise pas ssh, c’est moins inquiétant. Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis. D’après certains, il pourrait y avoir d’autres « découvertes » dans le code. Le dev de code malicieux ayant pris la main depuis 2022 au moins…
Pour vérifier que vous avez la mise à jour avec les paquets corrigés :
zypper se -is xz liblzma Chargement des données du dépôt... Lecture des paquets installés...
S | Name | Type | Version | Arch | Repository --+--------------------+--------+-----------------------+--------+------------------------------- i | liblzma5 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour i | liblzma5-x86-64-v3 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour i | xz | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour i | xz-lang | paquet | 5.6.1.revertto5.4-3.2 | noarch | Dépôt principal de mise à jour
Notez le "reverto" qui indique le correctif.
Pour regarder si ssh est actif sur votre système (vous avez pu cocher lors de l'installation pour que ça le soit, même si vous ne l'avez pas utilisé. Il semble que le service est activé par défaut sur Aeon)
Tiens! j'ai mis à jour (20240328) et redémarrer immédiatement sans connaissance de tout ça (qui ne m'éclaire pas trop sur le risque que j'encoure personnellement). Bon, prosaïquement j'attendais autre chose de cette maj :)) KDE 6.0.3, quoi de neuf? ou plutôt, quoi de mieux? qu'est-ce que j'observe de mieux?
La consigne est donc de mettre à jour et de redémarrer. J'ai l'impression, dans le contexte géopolitique actuel, qu'il va falloir être encore plus attentif (tous systèmes confondus ;) )
Merci pour l'info (ça le fait, une citation et un lien vers ton blog).
Coucou Chumi;
Bah je n'attends trop rien des mises à jour en générale, étant un habitué de Debian stable, à la limite que le bureau m'apporte des changements sympa, mais ayant Gnome, c'est pas toujours la joie, souvent des choses pourtant simples et disponibles partout ailleurs disparaissent comme le "system tray" (les icônes miniatures des logiciels ouvert en arrière plan) bien utile pour moi. Sinon mon XFCE mais là on est sur un truc qui ne veut pas bousculer ses habitués et c'est pas plus mal. Bien sur il y a kde, bureau que j'utilise et puis que j'abandonne, j'y reviens, mais je ne reste pas. Pour ça, il faut une rolling car un bureau comme plasma qui se bonifie assez rapidement et fréquemment demande une distribution roulante, sur une stable comme Debian c'est une cata, on ne profite pas d'une version récente. Sur Leap c’était pas mal car ça bougeait mais surtout il y a les dépôts "experimantal" qui permettent de faire "rouler" le kde comme si on était sur une rolling.
Les vérifications des updates chez moi c'est juste regarder si tout ce qui est supprimé soit pour une bonne raison ou est remplacé. Je ne regarde pas ce qui s'est upgradé dans une nouvelle version ou autre. Du reste chez Nixos, j'avais carrément mis en place les updates auto et transparent.
Pour la citation et le lien, si ça le fait comme ça on va dire que ça m'arrange ;-p
Coucou Chalu;
Citer
j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.
Ah ça c'est bien, je n'ai rien vu depuis gnome, j'ai du moins pas fait gaffe. Pareil pour zypper, je n'ai pas vu qu'il y avaitquelque chose de pressant.
Citer
C’est digne d’un film d’espionnage cette histoire...
Ah merci pour la petite histoire, c'est intéressant, j'ai pas eu le courage de chercher plus loin, ce que je vois c'est qu'au lieu de nous casser les pieds avec les émulateurs et de les attaquer pour se faire de la tune, n'est ce pas nintendo alors que tu abandonne tes propres consoles assez rapidement (combien de temps vas tu garder pour la switch, les serveurs ouverts, quand sa remplaçante sera la?), on devrait avoir des plaintes pour ce genre de gars, bien sur il doit se trouver dans un pays où il ne risque pas grand chose.
Citer
Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.
C'est là que j'ai pas compris car ils disent bien:
Citer
Sinon, mettez simplement à jour vers openSUSE Tumbleweed 20240328 ou version ultérieure et redémarrez le système.
Le sinon est t'il pour "sinon ceux qui ne l'ont pas activé", ou bien "sinon si vous ne voulez pas tout reinstaller" ?
Bon, ne l'ayant pas activé chez moi, c'est good, mais je regardais ce qui se passe du coté de Debian, ils sont revenu avec une version 5.6.1 qui est en fait une 5.4.5.
* Non-maintainer upload by the Security Team. * Revert back to the 5.4.5-0.2 version
-- Salvatore Bonaccorso <carnil@debian.org> Thu, 28 Mar 2024 15:59:38 +0100
Donc comme openSUSE, ils reviennent à une version bien plus vieille certainement qu'il y a eu des audits?
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: chalu le 30 Mars, 2024, 13:42:26
Pour moi c'est clair. Si tu n'as pas utilisé ssh, mettre à jour corrige ce problème, reste à savoir s'il y a eu d'autres services touchés, j'imagine que du côté des équipes de sécurité de toutes les distributions Linux , ça bosse dur ! Par contre si tu utilises ssh et que le code malveillant était sur ton système alors il y a un risque d'infection. Il faut réinstaller.... mais quoi ? Les deux PCs en liaison j'imagine par sécurité ?
Citer
ils sont revenu avec une version 5.6.1 qui est en fait une 5.4.5.
comme openSUSE qui est revenu à une version sauvegardée sans le patch malicieux
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: manchette le 30 Mars, 2024, 15:10:06
je cite
" Les responsables d'openSUSE ont reçu une notification d'une attaque de la chaîne d'approvisionnement contre l'outil de compression « xz » et la bibliothèque « liblzma5 ».
Arrière-plan
Le chercheur en sécurité Andres Freund a signalé à Debian que la bibliothèque xz/liblzma avait été détournée.
Cette porte dérobée a été introduite dans le projet github xz en amont avec version 5.6.0 en février 2024.
Notre distribution continue openSUSE Tumbleweed et openSUSE MicroOS inclus cette version entre le 7 et le 28 mars.
SUSE Linux Enterprise et Leap sont construits indépendamment d'openSUSE. Le code, les fonctionnalités et les caractéristiques de Tumbleweed ne sont pas automatiquement introduit dans SUSE Linux Enterprise et/ou Leap.
Il a été établi que le fichier malveillant introduit dans Tumbleweed n'est pas présent dans SUSE Linux Enterprise et/ou Leap.
...
....
Recommandation pour l'utilisateur :
Pour nos utilisateurs openSUSE Tumbleweed où SSH est exposé à Internet nous vous recommandons d'installer une nouvelle version, car on ne sait pas si la porte dérobée a été exploitée.
En raison de la nature sophistiquée de la porte dérobée, un la détection d’une violation sur le système n’est probablement pas possible.
Rotation également de toutes les informations d'identification qui auraient pu être récupérées depuis le Le système est fortement recommandé.
Sinon, mettez simplement à jour vers openSUSE Tumbleweed 20240328 ou version ultérieure et redémarrez le système.
Page d'informations sur la sécurité SUSE CVE-2024-3094 Divulgation de la vulnérabilité par la sécurité OSS "
https://news.opensuse.org/2024/03/29/xz-backdoor/
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: Philoupes le 30 Mars, 2024, 17:23:52
Bonjour les gens,
Merci +++ @chalu Mais est ce que tu devrais pas l'épingler dans la rubrique sécurité cette annonce ou l'épingler mais juste l'annonce sans discussion dessous ? - Pour ma part j'avais mis à jour et j'ai vérifié avec tes commande, c'est tout bon et joie... J'ai pas SSH actif non plus ...
Bonne journée Philippe
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: chalu le 30 Mars, 2024, 20:54:58
C’est fait, j’ai mis un message épinglé dans sécurité. En fait j’avais oublié cette rubrique :-[
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: oh!rocks le 30 Mars, 2024, 22:41:53
Je ne sais pas si c'est en relation avec cette faille mais j'ai eu une mise-à-jour de 2343 paquets ce soir. Soit la quasi intégralité du système...
Ouf ! C'est passé nickel. :)
à plus, oh!rocks
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: chalu le 30 Mars, 2024, 22:48:27
Oui c’est la suite. Ils reconstruisent tout, j’ai lu ça sur Telegram source : https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/RK7FEZUZ3JJU4RFGHGCVMW2XVLK7SELQ/
Citer
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: manchette le 31 Mars, 2024, 09:22:48
Hello,
donc si n'importe quelle tumbleweed fait sa mise à jour elle sera entièrement rebatie à neuf ?
Ca parait fun :)
Et n'oubliez pas de faire tourner les serviettes , mettre à jour les montres etc ... va y avoir du taf :D https://www.youtube.com/watch?v=9nOYviJqBAI
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: Philoupes le 31 Mars, 2024, 10:35:50
Coucou les gens,
Voilà, c'est parti... plus de 4000 paquet chez moi. En TTY bien entendu ... C'est looooooooongggg !!! Et j'ai plusieurs machines à mettre à jour .... Je vous tiens au courant du succès (ou pas ... :o ) Amicalement Philippe
Edit à 11h27 : ça fonctionne correctement ! C'est loooong mais j'ai pas eu de problèmes majeurs. Allez... Machine N°2 maintenant ... Bon dimanche à tous
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: JR53 le 31 Mars, 2024, 12:16:31
bonjour;Chez moi tout c'est bien passé ;même sur krypton
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: xiloa le 02 Avril, 2024, 09:02:58
Bah je n'attends trop rien des mises à jour en générale, étant un habitué de Debian stable, à la limite que le bureau m'apporte des changements sympa, mais ayant Gnome, c'est pas toujours la joie, souvent des choses pourtant simples et disponibles partout ailleurs disparaissent comme le "system tray" (les icônes miniatures des logiciels ouvert en arrière plan) bien utile pour moi. Sinon mon XFCE mais là on est sur un truc qui ne veut pas bousculer ses habitués et c'est pas plus mal. Bien sur il y a kde, bureau que j'utilise et puis que j'abandonne, j'y reviens, mais je ne reste pas. ...
Pour la petite histoire, toutes les distributions, même la vénérable debian est touchée par cette histoire de xz. le problème concerne si on a ssh en action et fait une mise à jour durant les quelques jours ( 2/3 ? ) où la version de xz était vérolée. ( si j'ai bien tout compris)
ça fait froid dans le dos. J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables.
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: Chumi le 02 Avril, 2024, 10:38:43
J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables.
Bonjour,
Andres Freund qui a découvert la faille est un ingénieur de chez Microsoft (on peut trouver sa fiche sur Linkedin). Ce n'est pas rapporté dans tous les articles ou toutes les nouvelles mais ici oui par exemple :
Il faut reconnaître que le déroulé de l'affaire fait surtout apparaître une faiblesse humaine dans le modèle de développement du logiciel libre. Cela n'invalide pas le modèle social de ce dernier mais le monde est ce qu'il est aujourd'hui, pourri de tensions géopolitiques et économiques auxquelles rien n'échappe.
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: oh!rocks le 02 Avril, 2024, 14:25:10
@chumi : en même temps, le sous-système Linux développé par (et pour) Microsoft est sans doute également impacté par cette backdoor.
à plus, oh!rocks
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: burn2 le 02 Avril, 2024, 23:18:28
Bah je n'attends trop rien des mises à jour en générale, étant un habitué de Debian stable, à la limite que le bureau m'apporte des changements sympa, mais ayant Gnome, c'est pas toujours la joie, souvent des choses pourtant simples et disponibles partout ailleurs disparaissent comme le "system tray" (les icônes miniatures des logiciels ouvert en arrière plan) bien utile pour moi. Sinon mon XFCE mais là on est sur un truc qui ne veut pas bousculer ses habitués et c'est pas plus mal. Bien sur il y a kde, bureau que j'utilise et puis que j'abandonne, j'y reviens, mais je ne reste pas. ...
Pour la petite histoire, toutes les distributions, même la vénérable debian est touchée par cette histoire de xz. le problème concerne si on a ssh en action et fait une mise à jour durant les quelques jours ( 2/3 ? ) où la version de xz était vérolée. ( si j'ai bien tout compris)
ça fait froid dans le dos. J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables.
Hello oui et non.
Debian comme Rhed and co, ne sont touché que dans leur branche de dev. (donc testing/SID pour debian) La branche stable de Debian elle n'a pas été compromise. Idem Leap n'a pas été compromise non plus vu que la montée de version est beaucoup plus rare et se fait uniquement si nécessaire/obligatoire. La majorité des montées de version étant sur la version leap +1 si monté il y a.
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: Philoupes le 03 Avril, 2024, 17:27:43
Coucou à toutes et tous,
Ce jour, à l'instant, il m'est proposé encore un downgrade de la librairie XZ Que se soit avec DIscover ou en CLI avec Zypper j'ai cette proposition :
Actuellement j'ai xz (et consors) 5.6.1.revertto5.4-3.2 - (que j'avais mis à jour le 30 mars)
et maintenant le système propose un downgrade vers 5.6.1.revertto5.4-2.1
The following 6 packages are going to be downgraded: liblzma5 liblzma5-32bit liblzma5-x86-64-v3 xz xz-devel xz-lang par zypper et/ou par Discover
Vous en pensez koa les amis ? Amicalement Philippe
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: oh!rocks le 03 Avril, 2024, 17:38:58
Oui, j'ai eu ça aussi : j'ai dit oui et c'est passé. :)
à plus, oh!rocks
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: Philoupes le 03 Avril, 2024, 17:56:59
Salut @oh!rocks J'ai pas trop de doute sur le fait que "ça passe" mais sur le fait que ça soit safe .... ... ça yé... Avec toutes ces histoires je deviens parano.... :P Aya... Philippe
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: chalu le 03 Avril, 2024, 18:23:52
@Philoupes : moi je l'ai fait, je pense qu'ils ont dû trouver des trucs qui n'allaient pas dans la première version rétrogradée. Le gars était le deuxième contributeur depuis 2022... et il a procédé par petite touche donc d'ici à ce que tout soit relu et vérifié...
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: Philoupes le 03 Avril, 2024, 18:25:49
Oui, en fait je vais faire la mise à jour, mais comme on en parle j'ai préféré avoir vos avis avisés... Vous êtes plus au courant de ce qui se passe que moi. Amicalement Philippe
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: oh!rocks le 03 Avril, 2024, 19:15:46
@Philoupes : je n'ai pas les moyens intellectuels de comprendre les tenants et aboutissants techniques de telles failles. Je visualise bien le concept mais je suis incapable de lire donc d'auditer un code. Aussi, ou je fais confiance aux mainteneurs d'openSUSE (qui ont largement prouvé leurs compétences) ou je reprends mes silex et mes charbons de bois pour décorer ma grotte. :)
La sécurité (ou plutôt le sentiment de sécurité) est quelque chose de très personnel et dépend autant des risques réels (en l'occurrence, la compromission de logiciels open source), que de nos expériences passées, de nos attentes, de ce que l'on considère comme important (donc à protéger), mais surtout des compétences, des méthodes et des outils dont nous disposons pour tenter de répondre même partiellement à toutes ces problématiques.
Pour ma part, j'ai laissé tomber : je numérise beaucoup (textes et photos, notamment) et je considère que j'accepte le risque de voir tout disparaître. Je me suis déjà fait voler deux ordinateurs pleins à craquer de données jamais récupérées mais j'ai décidé que ça ne devait pas altérer ma vie de tous les jours. Enfin, pas trop. :)
Carpe diem ! ;)
à plus, oh!rocks
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: Chumi le 03 Avril, 2024, 22:17:03
@chumi : en même temps, le sous-système Linux développé par (et pour) Microsoft est sans doute également impacté par cette backdoor.
Oui certainement mais dire que ces failles sont indétectables par ou dans des systèmes propriétaires m'a semblé caricatural. Le logiciel propriétaire a de bons ingénieurs, la preuve. Par contre, c'est vrai, l'ouverture du code, à l'avantage du logiciel libre, a permis à l'un de ces ingénieurs "propriétaires" de mettre le nez dedans.
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: burn2 le 03 Avril, 2024, 22:23:12
Ce jour, à l'instant, il m'est proposé encore un downgrade de la librairie XZ Que se soit avec DIscover ou en CLI avec Zypper j'ai cette proposition :
Actuellement j'ai xz (et consors) 5.6.1.revertto5.4-3.2 - (que j'avais mis à jour le 30 mars)
et maintenant le système propose un downgrade vers 5.6.1.revertto5.4-2.1
The following 6 packages are going to be downgraded: liblzma5 liblzma5-32bit liblzma5-x86-64-v3 xz xz-devel xz-lang par zypper et/ou par Discover
Vous en pensez koa les amis ? Amicalement Philippe
C'est justement la solution c'est normal. La version 5.6.0 et 5.6.1 sont verrolés, il faut donc redescendre à un e version précédente.
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: Chumi le 03 Avril, 2024, 22:45:50
@burn2 : Là on rétropédale encore une fois (-2), d'où l'inquiétude. Je n'ai pas non plus les moyens intellectuels de vérifier la pertinence de tout ça.
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: manchette le 04 Avril, 2024, 18:32:40
Je vous conseille de faire les mises à jour dés que possible, le sujet est ultra suivi et les mises à jour proposées le sont pour sécuriser vos machines.
Il faut en prime penser à renouveller vos identifiants / mots de passe sensibles, comme mesure complémentaire et n'empêchant pas la mise à jour.
Titre: Re : openSUSE répond à une attaque contre la bibliothèque de compression xz
Publié par: seb95 le 04 Avril, 2024, 20:12:49
Pour la petite histoire, toutes les distributions, même la vénérable debian est touchée par cette histoire de xz. le problème concerne si on a ssh en action et fait une mise à jour durant les quelques jours ( 2/3 ? ) où la version de xz était vérolée. ( si j'ai bien tout compris)
ça fait froid dans le dos. J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables.
Pour la petite histoire, toutes les distributions rollings ou de developpements, sauf les distributions comme la vénérable debian stable ou encore Ubuntu LTS, ou encore openSUSE Leap... Le soucis ne date pas de quelques jours mais de plusieurs semaines/mois d'où pourquoi on retourne sur une version aussi lointaine.