Aller au contenu principal
Sujet: openSUSE répond à une attaque contre la bibliothèque de compression xz (Lu 29487 fois) sujet précédent - sujet suivant

openSUSE répond à une attaque contre la bibliothèque de compression xz

Citer
Les responsables d’openSUSE ont reçu une notification d’une attaque de la chaîne d’approvisionnement contre l’outil de compression “xz” et la bibliothèque “liblzma5”.

Contexte

Le chercheur en sécurité Andres Freund a signalé à Debian que la bibliothèque xz/liblzma avait été détournée.

Cette porte dérobée a été introduite dans le projet github xz en amont avec version 5.6.0 en février 2024.

Notre distribution continue openSUSE Tumbleweed et openSUSE MicroOS inclus cette version entre le 7 et le 28 mars.

SUSE Linux Enterprise et Leap sont construits indépendamment d’openSUSE. Le code, les fonctionnalités et les caractéristiques de Tumbleweed ne sont pas automatiquement introduit dans SUSE Linux Enterprise et/ou Leap. Il a été établi que le fichier malveillant introduit dans Tumbleweed n’est pas présent dans SUSE Linux Enterprise et/ou Leap.

https://passiongnulinux.tuxfamily.org/blog/2024-03-29-opensuse-addresses-supply-chain-attack-against-xz-compression-library/

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #1
@seb95 :

Bonsoir,

Tiens! j'ai mis à jour (20240328) et redémarrer immédiatement sans connaissance de tout ça (qui ne m'éclaire pas trop sur le risque que j'encoure personnellement). Bon, prosaïquement j'attendais autre chose de cette maj  :)) KDE 6.0.3,  quoi de neuf? ou plutôt, quoi de mieux? qu'est-ce que j'observe de mieux?

La consigne est donc de mettre à jour et de redémarrer.

Merci pour l'info (ça le fait, une citation et un lien vers ton blog).

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #2
Bonjour,
j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.
C’est digne d’un film d’espionnage cette histoire. Le développeur Jian Tan (JiaT75 sur github) de code malicieux a préparé son coup depuis plusieurs années d'après ce que j'ai lu sur le net sur ce sujet. Tout d’abord en s’incrustant dans le projet et en évinçant le dev d’origine qui n’allait pas bien.
Et ensuite en insérant des bugs pour forcer la mise à jour, avec des comptes créés pour l’occasion par des gens ou lui pour faire pression et faire ces majs.
C’est un paquet intégré à systemd, on ne peut pas s’en passer, du moins l’utilisatrice lambda que je suis.
Il semble que si on n’utilise pas ssh, c’est moins inquiétant. Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.
D’après certains, il pourrait y avoir d’autres « découvertes » dans le code. Le dev de code malicieux ayant pris la main depuis 2022 au moins…

Pour vérifier que vous avez la mise à jour avec les paquets corrigés :
zypper se -is xz liblzma 
Chargement des données du dépôt...
Lecture des paquets installés...
 
S | Name               | Type   | Version               | Arch   | Repository
--+--------------------+--------+-----------------------+--------+-------------------------------
i | liblzma5           | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | liblzma5-x86-64-v3 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | xz                 | paquet | 5.6.1.revertto5.4-3.2 | x86_64 | Dépôt principal de mise à jour
i | xz-lang            | paquet | 5.6.1.revertto5.4-3.2 | noarch | Dépôt principal de mise à jour
 
Notez le "reverto" qui indique le correctif.

Pour regarder si ssh est actif sur votre système (vous avez pu cocher lors de l'installation pour que ça le soit, même si vous ne l'avez pas utilisé. Il semble que le service est activé par défaut sur Aeon)
sudo systemctl status sshd 
Chez moi j'ai :
○ sshd.service - OpenSSH Daemon
     Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; preset: disabled)
     Active: inactive (dead)
qui indique que le service est désactivé (ouf !)

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #3
@seb95 :

Bonsoir,

Tiens! j'ai mis à jour (20240328) et redémarrer immédiatement sans connaissance de tout ça (qui ne m'éclaire pas trop sur le risque que j'encoure personnellement). Bon, prosaïquement j'attendais autre chose de cette maj  :)) KDE 6.0.3,  quoi de neuf? ou plutôt, quoi de mieux? qu'est-ce que j'observe de mieux?

La consigne est donc de mettre à jour et de redémarrer. J'ai l'impression, dans le contexte géopolitique actuel, qu'il va falloir être encore plus attentif (tous systèmes confondus  ;) )

Merci pour l'info (ça le fait, une citation et un lien vers ton blog).

Coucou Chumi;

Bah je n'attends trop rien des mises à jour en générale, étant un habitué de Debian stable, à la limite que le bureau m'apporte des changements sympa, mais ayant Gnome, c'est pas toujours la joie, souvent des choses pourtant simples et disponibles partout ailleurs disparaissent comme le "system tray" (les icônes miniatures des logiciels ouvert en arrière plan) bien utile pour moi. Sinon mon XFCE mais là on est sur un truc qui ne veut pas bousculer ses habitués et c'est pas plus mal. Bien sur il y a kde, bureau que j'utilise et puis que j'abandonne, j'y reviens, mais je ne reste pas. Pour ça, il faut une rolling car un bureau comme plasma qui se bonifie assez rapidement et fréquemment demande une distribution roulante, sur une stable comme Debian c'est une cata, on ne profite pas d'une version récente. Sur Leap c’était pas mal car ça bougeait mais surtout il y a les dépôts "experimantal" qui permettent de faire "rouler" le kde comme si on était sur une rolling.

Les vérifications des updates chez moi c'est juste regarder si tout ce qui est supprimé soit pour une bonne raison ou est remplacé. Je ne regarde pas ce qui s'est upgradé dans une nouvelle version ou autre. Du reste chez Nixos, j'avais carrément mis en place les updates auto et transparent.

Pour la citation et le lien, si ça le fait comme ça on va dire que ça m'arrange ;-p

Coucou Chalu;

Citer
j’ai eu une notification rouge hier m’invitant à mettre à jour avec l’indication mise à jour de sécurité. Au moins les notifs sur plasma 6 fonctionnent.

Ah ça c'est bien, je n'ai rien vu depuis gnome, j'ai du moins pas fait gaffe. Pareil pour zypper, je n'ai pas vu qu'il y avaitquelque chose de pressant.

Citer
C’est digne d’un film d’espionnage cette histoire...

Ah merci pour la petite histoire, c'est intéressant, j'ai pas eu le courage de chercher plus loin, ce que je vois c'est qu'au lieu de nous casser les pieds avec les émulateurs et de les attaquer pour se faire de la tune, n'est ce pas nintendo alors que tu abandonne tes propres consoles assez rapidement (combien de temps vas tu garder pour la switch, les serveurs ouverts, quand sa remplaçante sera la?), on devrait avoir des plaintes pour ce genre de gars, bien sur il doit se trouver dans un pays où il ne risque pas grand chose.

Citer
Par contre la fin de l’annonce indique bien que si on l’utilise, il faut refaire une installation fraîche, le système (et les clés) risquant d’être compromis.

C'est là que j'ai pas compris car ils disent bien:
Citer
Sinon, mettez simplement à jour vers openSUSE Tumbleweed 20240328 ou version ultérieure et redémarrez le système.

Le sinon est t'il pour "sinon ceux qui ne l'ont pas activé", ou bien "sinon si vous ne voulez pas tout reinstaller" ?

Bon, ne l'ayant pas activé chez moi, c'est good, mais je regardais ce qui se passe du coté de Debian, ils sont revenu avec une version 5.6.1 qui est en fait une 5.4.5.
Citer
xz-utils (5.6.1+really5.4.5-1) unstable; urgency=critical

  * Non-maintainer upload by the Security Team.
  * Revert back to the 5.4.5-0.2 version

 -- Salvatore Bonaccorso <carnil@debian.org>  Thu, 28 Mar 2024 15:59:38 +0100

Donc comme openSUSE, ils reviennent à une version bien plus vieille certainement qu'il y a eu des audits?

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #4
Pour moi c'est clair. Si tu n'as pas utilisé ssh, mettre à jour corrige ce problème,  reste à savoir s'il y a eu d'autres services touchés, j'imagine que du côté des équipes de sécurité de toutes les distributions Linux , ça bosse dur !
Par contre si tu utilises ssh et que le code malveillant était sur ton système alors il y a un risque d'infection. Il faut réinstaller.... mais quoi ? Les deux PCs en liaison j'imagine par sécurité ?
Citer
ils sont revenu avec une version 5.6.1 qui est en fait une 5.4.5.
comme openSUSE qui est revenu à une version sauvegardée sans le patch malicieux

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #5
je cite

"
Les responsables d'openSUSE ont reçu une notification d'une attaque de la chaîne d'approvisionnement contre l'outil de compression « xz » et la bibliothèque « liblzma5 ».

Arrière-plan

Le chercheur en sécurité Andres Freund a signalé à Debian que la bibliothèque xz/liblzma avait été détournée.

Cette porte dérobée a été introduite dans le projet github xz en amont avec version 5.6.0 en février 2024.

Notre distribution continue openSUSE Tumbleweed et openSUSE MicroOS inclus cette version entre le 7 et le 28 mars.

SUSE Linux Enterprise et Leap sont construits indépendamment d'openSUSE. Le code, les fonctionnalités et les caractéristiques de Tumbleweed ne sont pas automatiquement introduit dans SUSE Linux Enterprise et/ou Leap.

Il a été établi que le fichier malveillant introduit dans Tumbleweed n'est pas présent dans SUSE Linux Enterprise et/ou Leap.

...


....


Recommandation pour l'utilisateur :

Pour nos utilisateurs openSUSE Tumbleweed où SSH est exposé à Internet nous vous recommandons d'installer une nouvelle version, car on ne sait pas si la porte dérobée a été exploitée.

En raison de la nature sophistiquée de la porte dérobée, un la détection d’une violation sur le système n’est probablement pas possible.

Rotation également de toutes les informations d'identification qui auraient pu être récupérées depuis le Le système est fortement recommandé.


Sinon, mettez simplement à jour vers openSUSE Tumbleweed 20240328 ou version ultérieure et redémarrez le système.

    Page d'informations sur la sécurité SUSE CVE-2024-3094
    Divulgation de la vulnérabilité par la sécurité OSS
"

https://news.opensuse.org/2024/03/29/xz-backdoor/

 

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #6
Bonjour les gens,

Merci +++ @chalu
Mais est ce que tu devrais pas l'épingler dans la rubrique sécurité cette annonce ou l'épingler mais juste l'annonce sans discussion dessous ?
-
Pour ma part j'avais mis à jour et j'ai vérifié avec tes commande, c'est tout bon et joie... J'ai pas SSH actif non plus ...

Bonne journée
Philippe

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #7
C’est fait, j’ai mis un message épinglé dans sécurité. En fait j’avais oublié cette rubrique  :-[

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #8
Je ne sais pas si c'est en relation avec cette faille mais j'ai eu une mise-à-jour de 2343 paquets ce soir. Soit la quasi intégralité du système...

Ouf ! C'est passé nickel. :)


à plus,
oh!rocks

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #9
Oui c’est la suite. Ils reconstruisent tout, j’ai lu ça sur Telegram
source :
https://lists.opensuse.org/archives/list/factory@lists.opensuse.org/thread/RK7FEZUZ3JJU4RFGHGCVMW2XVLK7SELQ/

Citer
Pour l'instantané 0328, Ring0 a été complètement amorcé (car les vecteurs d'attaque pour xz n'étaient pas entièrement connu, nous avons emprunté la route la plus sûre) et pour 0329, tout Tumbleweed a été reconstruit contre cette nouvelle base ; Attendez-vous à ce que cet instantané apparaisse « grand » (bien que de nombreux packages ne soient pas différents).

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #10
Hello,

donc si n'importe quelle tumbleweed fait sa mise à jour elle sera entièrement rebatie à neuf ?

Ca parait fun :)

Et n'oubliez pas de faire tourner les serviettes , mettre à jour les montres etc ... va y avoir du taf :D
https://www.youtube.com/watch?v=9nOYviJqBAI

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #11
Coucou les gens,

Voilà, c'est parti... plus de 4000 paquet chez moi.
En TTY bien entendu ... C'est looooooooongggg !!!
Et j'ai plusieurs machines à mettre à jour ....
Je vous tiens au courant du succès (ou pas ...  :o )
Amicalement
Philippe

Edit à 11h27 : ça fonctionne correctement ! C'est loooong mais j'ai pas eu de problèmes majeurs. Allez... Machine N°2 maintenant ...
Bon dimanche à tous

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #12
bonjour;Chez moi tout c'est bien  passé  ;même sur krypton

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #13

Bah je n'attends trop rien des mises à jour en générale, étant un habitué de Debian stable, à la limite que le bureau m'apporte des changements sympa, mais ayant Gnome, c'est pas toujours la joie, souvent des choses pourtant simples et disponibles partout ailleurs disparaissent comme le "system tray" (les icônes miniatures des logiciels ouvert en arrière plan) bien utile pour moi. Sinon mon XFCE mais là on est sur un truc qui ne veut pas bousculer ses habitués et c'est pas plus mal. Bien sur il y a kde, bureau que j'utilise et puis que j'abandonne, j'y reviens, mais je ne reste pas.
...

Pour la petite histoire, toutes les distributions, même la vénérable debian est touchée par cette histoire de xz.
le problème concerne si on a ssh en action et fait une  mise  à jour durant les quelques jours ( 2/3 ? )  où la version de xz était vérolée. ( si j'ai bien tout compris)

ça fait froid dans le dos.  J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables.

Re : openSUSE répond à une attaque contre la bibliothèque de compression xz

Répondre #14
J'imagine l'angoisse de nos amis sous système propriétaire dans lesquels ces failles sont indétectables.

Bonjour,

Andres Freund qui a découvert la faille est un ingénieur de chez Microsoft (on peut trouver sa fiche sur Linkedin). Ce n'est pas rapporté dans tous les articles ou toutes les nouvelles mais ici oui par exemple :

https://www.it-connect.fr/alerte-de-securite-linux-une-porte-derobee-a-ete-integree-dans-xz-utils/

Et Microsoft communique aussi au sujet du problème :

https://techcommunity.microsoft.com/t5/microsoft-defender-vulnerability/microsoft-faq-and-guidance-for-xz-utils-backdoor/ba-p/4101961

Il faut reconnaître que le déroulé de l'affaire fait surtout apparaître une faiblesse humaine dans le modèle de développement du logiciel libre. Cela n'invalide pas le modèle social de ce dernier mais le monde est ce qu'il est aujourd'hui, pourri de tensions géopolitiques et économiques auxquelles rien n'échappe.