Aller au contenu principal
Sujet: openSUSE répond à une attaque contre la bibliothèque de compression xz (Lu 29504 fois) sujet précédent - sujet suivant

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #15
@chumi : en même temps, le sous-système Linux développé par (et pour) Microsoft est sans doute également impacté par cette backdoor.


à plus,
oh!rocks

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #16

Bah je n'attends trop rien des mises à jour en générale, étant un habitué de Debian stable, à la limite que le bureau m'apporte des changements sympa, mais ayant Gnome, c'est pas toujours la joie, souvent des choses pourtant simples et disponibles partout ailleurs disparaissent comme le "system tray" (les icônes miniatures des logiciels ouvert en arrière plan) bien utile pour moi. Sinon mon XFCE mais là on est sur un truc qui ne veut pas bousculer ses habitués et c'est pas plus mal. Bien sur il y a kde, bureau que j'utilise et puis que j'abandonne, j'y reviens, mais je ne reste pas.
...
Pour la petite histoire, toutes les distributions, même la vénérable debian est touchée par cette histoire de xz.
le problème concerne si on a ssh en action et fait une  mise  à jour durant les quelques jours ( 2/3 ? )  où la version de xz était vérolée. ( si j'ai bien tout compris)

ça fait froid dans le dos.  J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables.
Hello oui et non.

Debian comme Rhed and co, ne sont touché que dans leur branche de dev. (donc testing/SID pour debian)
La branche stable de Debian elle n'a pas été compromise.
Idem Leap n'a pas été compromise non plus vu que la montée de version est beaucoup plus rare et se fait uniquement si nécessaire/obligatoire.
La majorité des montées de version étant sur la version leap +1 si monté il y a.

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #17
Coucou à toutes et tous,

Ce jour, à l'instant, il m'est proposé encore un downgrade de la librairie XZ
Que se soit avec DIscover ou en CLI avec Zypper j'ai cette proposition :

Actuellement j'ai xz (et consors) 5.6.1.revertto5.4-3.2 - (que j'avais mis à jour le 30 mars)

et maintenant le système propose un downgrade vers 5.6.1.revertto5.4-2.1

The following 6 packages are going to be downgraded:
  liblzma5 liblzma5-32bit liblzma5-x86-64-v3 xz xz-devel xz-lang
  par zypper et/ou par Discover

Vous en pensez koa les amis ?
Amicalement
Philippe
 

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #18
Oui, j'ai eu ça aussi : j'ai dit oui et c'est passé. :)


à plus,
oh!rocks

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #19
Salut @oh!rocks
J'ai pas trop de doute sur le fait que "ça passe" mais sur le fait que ça soit safe ....
...
ça yé... Avec toutes ces histoires je deviens parano....  :P
Aya...
Philippe

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #20
@Philoupes‍ : moi je l'ai fait, je pense qu'ils ont dû trouver des trucs qui n'allaient pas dans la première version rétrogradée.
Le gars était le deuxième contributeur depuis 2022... et il a procédé par petite touche donc d'ici à ce que tout soit relu et vérifié...

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #21
Re coucou @chalu et @oh!rocks

Oui, en fait je vais faire la mise à jour, mais comme on en parle j'ai préféré avoir vos avis avisés...
Vous êtes plus au courant de ce qui se passe que moi.
Amicalement
Philippe

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #22
@Philoupes : je n'ai pas les moyens intellectuels de comprendre les tenants et aboutissants techniques de telles failles. Je visualise bien le concept mais je suis incapable de lire donc d'auditer un code.
Aussi, ou je fais confiance aux mainteneurs d'openSUSE (qui ont largement prouvé leurs compétences) ou je reprends mes silex et mes charbons de bois pour décorer ma grotte. :)

La sécurité (ou plutôt le sentiment de sécurité) est quelque chose de très personnel et dépend autant des risques réels (en l'occurrence, la compromission de logiciels open source), que de nos expériences passées, de nos attentes, de ce que l'on considère comme important (donc à protéger), mais surtout des compétences, des méthodes et des outils dont nous disposons pour tenter de répondre même partiellement à toutes ces problématiques.

Pour ma part, j'ai laissé tomber : je numérise beaucoup (textes et photos, notamment) et je considère que j'accepte le risque de voir tout disparaître. Je me suis déjà fait voler deux ordinateurs pleins à craquer de données jamais récupérées mais j'ai décidé que ça ne devait pas altérer ma vie de tous les jours. Enfin, pas trop. :)

Carpe diem ! ;)


à plus,
oh!rocks

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #23
@chumi : en même temps, le sous-système Linux développé par (et pour) Microsoft est sans doute également impacté par cette backdoor.

Oui certainement mais dire que ces failles sont indétectables par ou dans des systèmes propriétaires m'a semblé caricatural. Le logiciel propriétaire a de bons ingénieurs, la preuve. Par contre, c'est vrai, l'ouverture du code, à l'avantage du logiciel libre, a permis à l'un de ces ingénieurs "propriétaires" de mettre le nez dedans.

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #24
Coucou à toutes et tous,

Ce jour, à l'instant, il m'est proposé encore un downgrade de la librairie XZ
Que se soit avec DIscover ou en CLI avec Zypper j'ai cette proposition :

Actuellement j'ai xz (et consors) 5.6.1.revertto5.4-3.2 - (que j'avais mis à jour le 30 mars)

et maintenant le système propose un downgrade vers 5.6.1.revertto5.4-2.1

The following 6 packages are going to be downgraded:
  liblzma5 liblzma5-32bit liblzma5-x86-64-v3 xz xz-devel xz-lang
  par zypper et/ou par Discover

Vous en pensez koa les amis ?
Amicalement
Philippe
 
C'est justement la solution c'est normal.
La version 5.6.0 et 5.6.1 sont verrolés, il faut donc redescendre à un e version précédente.

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #25
@burn2 : Là on rétropédale encore une fois (-2), d'où l'inquiétude. Je n'ai pas non plus les moyens intellectuels de vérifier la pertinence de tout ça.

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #26
Je vous conseille de faire les mises à jour dés que possible, le sujet est ultra suivi et les mises à jour proposées le sont pour sécuriser vos machines.

Il faut en prime penser à renouveller vos identifiants / mots de passe sensibles, comme mesure complémentaire et n'empêchant pas la mise à jour.

 

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #27


Pour la petite histoire, toutes les distributions, même la vénérable debian est touchée par cette histoire de xz.
le problème concerne si on a ssh en action et fait une  mise  à jour durant les quelques jours ( 2/3 ? )  où la version de xz était vérolée. ( si j'ai bien tout compris)

ça fait froid dans le dos.  J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables.


Pour la petite histoire, toutes les distributions rollings ou de developpements, sauf les distributions comme la vénérable debian stable ou encore Ubuntu LTS, ou encore openSUSE Leap... Le soucis ne date pas de quelques jours mais de plusieurs semaines/mois d'où pourquoi on retourne sur une version aussi lointaine.