Une grave faille de sécurité dans l’outil de compression XZ pour Linux, connue sous le nom de CVE-2024-3094, ajout de code malveillant aux versions 5.6.0 et 5.6.1 de la bibliothèque XZ Utils. Cela s’est retrouvé dans les distributions Linux couramment utilisées, notamment celles de Red Hat et Debian.
Dans les archives tar (fichier d’archive compressé utilisé pour Linux, entre autres) des versions 5.6.0 et 5.6.1 de l’outil, un fichier .m4 inhabituel est inclus avec des instructions pour un automake. Cela pourrait conduire à une attaque de la chaîne d’approvisionnement lorsque le package liblzma est créé et utilisé par divers outils, dont sshd. chapeau rouge a envoyé un avertissement vendredi, tout comme d’autres fabricants de distribution Linux.
Distributions spécifiques aux compromis
Cette porte dérobée a été insérée soit par un administrateur XZ, soit par quelqu’un qui a compromis le système de l’administrateur. La raison n’est pas claire, mais apparemment l’objectif était de compromettre des distributions spécifiques, car les portes dérobées n’étaient appliquées qu’aux packages DEB ou RPM pour l’architecture x86-64 construite avec gcc et l’éditeur de liens GNU. Les comptes GitHub du créateurs de l’utilitaire ont été suspendus. La porte dérobée a été découverte par un chercheur de Microsoft L’amie d’Andréaqui a tiré la sonnette d’alarme.
Il n’existe aucun rapport connu faisant état de l’inclusion de ces versions dans les versions de production des principales distributions Linux, mais Red Hat et Debian ont signalé que les versions bêta récemment publiées utilisaient au moins une des versions compromises, en particulier dans les tests Fedora Rawhide et Debian, instables et distributions expérimentales. Une version stable d’Arch Linux est également affectée, mais cette distribution n’est pas utilisée dans les systèmes de production.
Le fait que la porte dérobée n’ait pas été trouvée dans les systèmes de production est la raison pour laquelle elle “n’affecte en réalité personne dans le monde réel”, a déclaré un analyste de la société de sécurité Analygence. Ars Technica. «Mais c’est uniquement parce que cela a été découvert très tôt à cause de la négligence du mauvais acteur. Si on ne l’avait pas découvert, cela aurait été catastrophique pour le monde. »
Destiné à contourner l’authentification
Les versions malveillantes interfèrent délibérément avec l’authentification effectuée par SSH, un protocole couramment utilisé pour se connecter à des systèmes à distance. SSH fournit un cryptage robuste pour garantir que seules les parties autorisées se connectent à un système distant.
La porte dérobée est conçue pour permettre à un acteur malveillant de contourner l’authentification et d’obtenir ainsi un accès non autorisé à l’ensemble du système. La porte dérobée fonctionne en insérant du code lors d’une étape clé du processus de connexion.
XZ Utils est disponible pour la plupart, sinon toutes, les distributions Linux, mais toutes ne l’incluent pas par défaut. Les modifications malveillantes ont été soumises par JiaT75, l’un des deux principaux développeurs de XZ Utils avec des années de contribution au projet.
A lire aussi : Une attaque massive contre le framework Ray expose les risques de sécurité de l’IA
2024-03-31 11:32:00
1711875191
#Une #porte #dérobée #dangereuse #découverte #dans #les #packages #pour #Linux