Faille de sécurité majeure découverte dans XZ-Tools des distributions Linux

En raison d’une utilisation anormalement élevée du processeur et de messages d’erreur lors de l’utilisation de la connexion à distance via SSH, le développeur de logiciels Andreas Freund a remarqué une énorme faille de sécurité dans son installation Debian SID. Le développeur a pu identifier la cause de cette faille : XZ-Tools, une collection d’outils de compression inclus dans de nombreuses distributions Linux et utilisés par SSH.

La vulnérabilité, baptisée CVE-2024-3094 permet un accès à distance non autorisé aux systèmes Linux concernés. Les versions affectées par la porte dérobée sont les utilitaires XZ et la bibliothèque liblmza associée dans les versions 5.6.0 de fin février et 5.6.1 du 9 mars. Ces versions XZ compromises, introduites par l’un des développeurs XZ lui-même, contournent l’authentification SSH, ce qui permet aux attaquants de prendre le contrôle complet du système à distance.

Le développeur de logiciels Andreas Freund décrit sa découverte de la vulnérabilité : “Après avoir observé quelques symptômes étranges autour de liblzma (partie du paquet xz) sur des installations Debian sid au cours des dernières semaines (connexions avec ssh prenant beaucoup de CPU, erreurs valgrind), j’ai trouvé la réponse : Le dépôt amont xz et les tarballs xz ont été backdoorés. J’ai d’abord pensé qu’il s’agissait d’une compromission du paquet Debian, mais il s’avère qu’il s’agit d’une compromission en amont”

Le code de la porte dérobée n’était que partiellement caché dans le code source ouvert sur GitHub, et GitHub lui-même a suspendu le compte de XZ Utilities pour le moment. Les distributions Linux affectées, pour lesquelles des mises à jour sont déjà disponibles, à l’exception de Fedora Rawhide, sont les suivantes :

• Tests Debian, instables et expérimentaux
• Fedora Cuir Brut
• Arch Linux
• openSUSE Tumbleweed

Les distributions telles que Debian Stable, Fedora 39, openSUSE Leap ou Red Hat Enterprise Linux (RHEL) ne sont pas affectées par la vulnérabilité de XZ Utilities. Si vous utilisez l’une des distributions Linux ci-dessus, vous pouvez vérifier le numéro de version de XZ Utilities dans la console avec xz -version. Idéalement, une nouvelle installation est recommandée, surtout si l’accès SSH est activé sur le système Linux.