Actualités & Annonces de l'équipe de développement et des administrateurs du forum.
Répondre

faille critique sécurité xz/lzma et openssh

#1Messageil y a 3 semaines

faille critique sécurité xz/lzma et openssh

#2Messageil y a 3 semaines

faille critique sécurité xz/lzma et openssh

#3Messageil y a 3 semaines

??

Quand je fais :

~ > sudo pacman -Syu                                                                                      todo 33
Tap your Yubikey
:: Synchronisation des bases de données de paquets…
 core est à jour
 extra est à jour
 community est à jour
 multilib est à jour
:: Début de la mise à jour complète du système…
 il n’y a rien à faire
Donc il n'y a rien à mettre à jour pour moi ?

Merci.

faille critique sécurité xz/lzma et openssh

#4Messageil y a 3 semaines

bonjour

Il est possible que ton serveur ne soit pas encore à jour

fait ce matin pour moi en stable

core/xz  5.6.0-1 -> 5.6.1-2
La "méchante" version était disponible depuis le début du mois chez nous en stable (6 mars)

grep 'upgraded xz' /var/log/pacman.log
[2024-02-21T19:33:13+0100] [ALPM] upgraded xz (5.4.5-1 -> 5.4.6-1)
[2024-03-06T19:38:48+0100] [ALPM] upgraded xz (5.4.6-1 -> 5.6.0-1)
[2024-03-30T10:51:12+0100] [ALPM] upgraded xz (5.6.0-1 -> 5.6.1-2)
Note:
Comme indiqué dans le premier message de stephane, c'est un accès dérobé uniquement pour ceux qui utilisent un serveur ssh(d)

faille critique sécurité xz/lzma et openssh

#5Messageil y a 3 semaines

faille critique sécurité xz/lzma et openssh

#6Messageil y a 3 semaines

Pas de problème pour la vidéo

MAIS
Il faut noter que arch communique que cette faille de sécurité ne concerne pas archlinux (donc manjaro)
Arch ne relie pas directement openssh à liblzma, et ce vecteur d’attaque n’est donc pas possible.
...
Cependant, par prudence, nous conseillons aux utilisateurs de supprimer le code malveillant de leur système en effectuant une mise à niveau.

faille critique sécurité xz/lzma et openssh

#7Messageil y a 3 semaines

Salut les Manjaros,
Je viens d'allumer ma bécane et exécuté deux maj disponibles : lib32-xz-5.6.1-2 & xz-5.6.1-2 :
:: Synchronisation des bases de données de paquets…
core est à jour
extra est à jour
community est à jour
multilib est à jour
:: Début de la mise à jour complète du système…
résolution des dépendances…
recherche des conflits entre paquets…

Paquets (2) lib32-xz-5.6.1-2 xz-5.6.1-2

Taille totale installée : 2,69 MiB
Taille de mise à jour nette : 0,03 MiB

:: Procéder à l’installation ? [O/n]
(2/2) vérification des clés dans le trousseau [#############################################] 100%
(2/2) vérification de l’intégrité des paquets [#############################################] 100%
(2/2) chargement des fichiers des paquets [#############################################] 100%
(2/2) analyse des conflits entre fichiers [#############################################] 100%
(2/2) vérification de l’espace disque disponible [#############################################] 100%
:: Exécution des crochets (« hooks ») de pré-transaction…
(1/1) Creating Timeshift snapshot before upgrade...
==> skipping timeshift-autosnap due skipRsyncAutosnap in /etc/timeshift-autosnap.conf set to TRUE.
:: Traitement des changements du paquet…
(1/2) mise à jour de xz [#############################################] 100%
(2/2) mise à jour de lib32-xz [#############################################] 100%
:: Exécution des crochets (« hooks ») de post-transaction…
(1/2) Arming ConditionNeedsUpdate...
(2/2) Refreshing PackageKit...
Merci stephane, damien674, papajoke pour les infos, alertes, doc, vidéo.

faille critique sécurité xz/lzma et openssh

#8Messageil y a 3 semaines

@damien674 : au moment ou adrien linuxtricks enregistre la vidéo , il est assez loin de l'ensemble des dégats et vérifications à mener :
- il y a au moins entre 3 a 5 comptes compromis depuis le debut de la version 5.6.0 , cela porte sur 2 ans si on e se fie à l'historique du compte
- le gz se trouve principalement dans les tar , mais aussi dans les images noyaux ou containers sans parler de scripts
- il y a eu des demandes de diffusions partout ( kernel , DE majeurs , embarqué et meme macos x )
- à la base pour bien comprendre , si on recupère le source uniquement de git , il n' y a pas backdoor , par contre tous les autres formats compressés du dépôts inclus le backdoor.

la demande de diffusion remonte a début février 2024 pour la 5.6.0 , supprimer les isos téléchargés entre février et mars 2024.

comme indiqué précédemment sur le code xz , son évolution est quasi impossible car il soulève trop de problèmes pour être résolus par le format container utilisé ( analyse entre 2016 et 2022 ) .
https://www.nongnu.org/lzip/xz_inadequate.html

faille critique sécurité xz/lzma et openssh

#9Messageil y a 3 semaines

stephane a écrit : il y a 3 semaines @damien674 : au moment ou adrien linuxtricks enregistre la vidéo , il est assez loin de l'ensemble des dégats et vérifications à mener :
- il y a au moins entre 3 a 5 comptes compromis depuis le debut de la version 5.6.0 , cela porte sur 2 ans si on e se fie à l'historique du compte
- le gz se trouve principalement dans les tar , mais aussi dans les images noyaux ou containers sans parler de scripts
- il y a eu des demandes de diffusions partout ( kernel , DE majeurs , embarqué et meme macos x )
- à la base pour bien comprendre , si on recupère le source uniquement de git , il n' y a pas backdoor , par contre tous les autres formats compressés du dépôts inclus le backdoor.

la demande de diffusion remonte a début février 2024 pour la 5.6.0 , supprimer les isos téléchargés entre février et mars 2024.

comme indiqué précédemment sur le code xz , son évolution est quasi impossible car il soulève trop de problèmes pour être résolus par le format container utilisé ( analyse entre 2016 et 2022 ) .
https://www.nongnu.org/lzip/xz_inadequate.html
Merci pour ces précisions.
Répondre