Vous n’avez peut-être jamais entendu parler du code de compression de données xz, mais il est vital pour de nombreux programmes, et nous savons maintenant que quelqu’un y a implanté du code malveillant.
Quand chapeau rouge a annoncé pour la première fois la nouvelle que le la dernière version des bibliothèques de compression de données xz contenait un piège, Les gens étaient inquiets mais pas trop inquiets. Après tout, pensaient-ils, il semblait que beaucoup pensaient au début qu’il s’agissait simplement d’une autre faille de sécurité. Tandis que d’autres pensaient que si cela affectait seulement Fedora Linux 40 bêtaà quel point cela pourrait-il être grave ?
La réponse : vraiment très, très mauvais.
Vous voyez, même si aucune personne sensée ne lancerait une version bêta de Fedora en production, le problème ne vient pas de Fedora. C’est avec le nouveau bibliothèques xz: xz-libs-5.6.0-1.fc40.x86_64.rpm et xz-libs-5.6.0-2.fc40.x86_64.rpm.
Les bibliothèques contiennent du code malveillant conçu pour permettre aux attaquants de prendre le contrôle des systèmes, avec un accès non autorisé. Ce malware de porte dérobée a été écrit dans le référentiel xz en amont, puis placé dans ses archives tar.
En un mot c’est mauvais, avec des majuscules.
Red Hat a donné ce code malveillant dans son CVE-2024-3094 rapportez la note CVSS (Common Vulnerability Scoring System) la plus élevée possible de 10. Ou, comme j’aime appeler ce niveau de bug, il s’agit de « arrachez le cordon d’alimentation du mur maintenant et évitez toute douleur supplémentaire ».
l’ami d’Andréun Microsoft ingénieur logiciel principal, analysé le malware xz. Freund a découvert que l’attaquant avait injecté un script obscurci qui activait la porte dérobée. Dans certains cas, son attaque principale ne fonctionnait pas, et le seul résultat était de ralentir considérablement SSH connexions.
En effet, dans le cas du populaire programme SSH OuvertSSH, vous n’avez même pas besoin de le démarrer en tant que serveur pour que l’effet de ralentissement frappe votre système. Puisque SSH est essentiel pour le développement et l’administration de Linux, c’est plus que suffisant.
Qu’est-ce qui en fait vraiment un élément majeur PITA le problème est que ces bibliothèques ne sont pas uniquement présentes dans Fedora. Oh mon Dieu, non. Xz est un utilitaire Linux de base. Vous trouverez ces bibliothèques partout.
La chose la plus troublante à propos de cet incident est qu’il semble qu’un responsable de confiance de xz, Jia Tan, soit le pirate informatique.
Freund a déclaré : « Compte tenu de l’activité qui s’est déroulée sur plusieurs semaines, soit le committer est directement impliqué, soit il y a eu une compromission assez grave de son système. Malheureusement, cette dernière explication semble la moins probable, étant donné qu’ils ont communiqué sur diverses listes au sujet des ‘correctifs’ mentionnés ci-dessus.»
Bien que du code malveillant ait déjà été injecté dans du code open source fiable par les responsables, il s’agit d’un événement vraiment rare. À ma connaissance, cela n’est jamais arrivé à un utilitaire Linux important auparavant.
Oh oui, il y a peut-être d’autres serpents de sécurité cachés dans l’herbe. Freund admet : « Je suis pas un chercheur en sécurité, ni un ingénieur inverse. Il y a beaucoup de choses que je n’ai pas analysées, et la plupart de ce que j’ai observé provient uniquement de l’observation plutôt que d’une analyse exhaustive du code de la porte dérobée.
La bonne nouvelle – il y en a – est que xz 5.6.0 et 5.6.1 ne sont pas encore largement inclus dans les distributions Linux. Là où il a été incorporé, le code se trouvait principalement dans des versions préliminaires. La mauvaise nouvelle est qu’outre Fedora, il est déjà présent dans les premières versions de Debian, ouvertSUSEUbuntu, etc. Vous l’appelez, et c’est une distribution de pointe ou une version bêta, il y a de fortes chances que le mauvais code se cache à l’intérieur.
Alors, que pouvez-vous faire à ce sujet ? Eh bien, la suggestion par défaut est de revenir à xz 5.6.0/5.6.1. Mais, prévient Joey Hess, développeur Debian, cela pourrait ne pas suffire. Hess craint que Tan n’ait caché d’autres portes dérobées dans xz. Hess vous suggère de revenir à xz 5.3.1.
Si, bien sûr, vous parvenez à trouver ce code. GitHub a désactivé le référentiel xz. Il s’agit vraiment d’un gâchis de sécurité de première classe.
Les gens se soucient depuis longtemps de la qualité du code de xz et, en fait, de certains principes de base du projet. Avec cette erreur, je pense qu’il est temps d’envisager sérieusement d’extraire xz et de le remplacer à partir du code source.
La plupart des utilisateurs ne seront pas affectés par ce malware, mais s’il n’avait pas été détecté pendant deux ou trois mois supplémentaires, tous les utilisateurs de Linux auraient été confrontés au plus grand désastre de sécurité jamais enregistré.
YOUTUBE.COM/THENEWSTACK
La technologie évolue vite, ne manquez aucun épisode. Abonnez-vous à notre chaîne YouTube pour diffuser tous nos podcasts, interviews, démos et bien plus encore.
S’ABONNER
Groupe créé avec Sketch.
Steven J. Vaughan-Nichols, alias sjvn, écrit sur la technologie et le commerce de la technologie depuis que CP/M-80 était le système d’exploitation PC de pointe, 300 bps était une connexion Internet rapide, WordStar était l’état de l’art. -traitement de texte artistique, et nous l’avons aimé.
Lire la suite de Steven J. Vaughan-Nichols
2024-03-30 22:26:23
1711830854
#code #malveillant #dans #les #bibliothèques #Linux #met #danger #SSH