Ils sont forts, ces cons! https://security-tracker.debian.org/tracker/CVE-2024-3094
'fallait pas `testing' en prod!! Le Sat, Mar 30, 2024 at 12:24:48PM +0100, Marc SCHAEFER via gull a écrit : > Hello, > > On Fri, Mar 29, 2024 at 07:01:49PM +0100, Philippe Strauss via gull wrote: > > https://www.openwall.com/lists/oss-security/2024/03/29/4 > > Et quelqu'un a analysé temporellement ce qui s'est passé. Y compris des > faux comptes qui poussent pour qu'une personne ait un accès développeur, > en utilisant les difficultés perçues du développeur principal [1]. > > En effet, c'est le dépôt source du logiciel XZ qui semble avoir été compris. > > Pour info, il semblerait que l'impact direct soit limité à Fedora 40, > Fedora "unstable" (je ne sais plus son nom), Debian testing et > Debian unstable et à la plateforme amd64 (x86_64). En cas d'usage > d'un sshd sans lien à systemd, pas de vulnérabilité non plus, > vraisemblablement. > > Evidemment, l'impact indirect pourrait également être problématique, par > exemple chez les développeurs RH-Fedora et Debian qui pourraient > utiliser les prereleases, ou chez ceux qui utilise des images Docker > non basées sur Debian stable, par exemple. > > Voici un script de test, à faire sous root: > > path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')" > if hexdump -ve '1/1 "%.2x"' "$path" | grep -q > f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410 > then > echo probably vulnerable > else > echo probably not vulnerable > fi > > Ca rejoint aussi une discussion qu'on avait eu ici sur la problématique > que systemd dépend d'énormément de bibliothèques (attack surface), et > que sshd dépend de libsystemd. Il y a d'ailleurs à ce sujet une > proposition de confiner la dépendance systemd de ssh dans un processus > limité [2]. > > [1] https://boehs.org/node/everything-i-know-about-the-xz-backdoor > [2] https://www.openwall.com/lists/oss-security/2024/03/29/23 > _______________________________________________ > gull mailing list > [email protected] > https://forum.linux-gull.ch/mailman/listinfo/gull -- Félix Hauri - <[email protected]> - http://www.f-hauri.ch __________________________________________________________________________ Félix Hauri - Informaticien consultant |\ /| ___ _ -------------------------------------- | \ __ / | / - / o 4, rue Centrale / CH-1450 Sainte-Croix | . . | /_ ___ / Tél: (+41/0) 24 454 54 04 Fax:..54 00 | /\ | / /__/ / / \/ http://www.f-hauri.ch | \ __ / | / /__ /_ /_ /\ email: [email protected] \ ____ / --------------------- Félix Hauri - Informaticien consultant - <[email protected]> Tél: (+41/0) 24 454 54 04 - 079 703 15 36 - http://www.f-hauri.ch ########################################################################## Ni PGP, ni cryptage: Tant que mal maîtrisé et/ou mal installé ce sys- tème est entre inutile et dangereux. Attention! Il existe désormais des dispositions légales tendant à faire valoir à une signature électronique le même poids qu'une signature manuscrite! ########################################################################## _______________________________________________ gull mailing list [email protected] https://forum.linux-gull.ch/mailman/listinfo/gull
