XZ Utils et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois
-
C’est le système de sécurisation des connexions Internet qui a été menacé à l’échelle globale. Plus précisément, un outil d’administration très populaire, OpenSSH. Une “backdoor”, un accès caché, a (presque) été ajouté à cet outil qui gère les connexions sécurisées sur la plupart des serveurs hébergeant des sites web ou des applications.
En gros, si le plan avait fonctionné, le groupe qui a les clés de la backdoor aurait pu ajouter des virus sur quasiment tous les sites webs existants. Pour récupérer toutes les données, installer des virus sur tous les téléphones des utilisateurs. La porte ouverte à tous les problèmes imaginables.
Détails sur : https://piaille.fr/@rusty/112190942173039817
lien vérifié.Ça me passe loin au dessus de mes connaissances mais ça me parait important pour des connaisseurs
-
undefined Violence marked this topic as a regular topic on
-
undefined Violence a déplacé ce sujet de Logiciel & Software sur
-
EDIT TITRE
Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.
La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.
Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.
Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.
NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.
-
On a éviter le carnage
