xz Utils : a t'on évité une infection mondiale ?

idioteidiote · Le 06/04/2024, à 04:34

Un article en anglais explique qu'un code sournois avait été inséré dans un update - non diffusé - pour xz Utils, outil de compression très répandu.

Il visait Fedora, Red Hat et Debian.

Qui a eu le nez creux pour le détecter ? Un testeur chez Microsoft...

article (en anglais) complet ici :
https://arstechnica.com/security/2024/0 … the-world/

:-(

Dernière modification par idioteidiote (Le 06/04/2024, à 04:35)

krodelabestiole · Le 06/04/2024, à 04:37

idioteidiote a écrit :

Un testeur chez Microsoft...

encore heureux : le logiciel est distribué par eux, sur github.

idioteidiote · Le 06/04/2024, à 04:38

krodelabestiole a écrit :

idioteidiote a écrit :
Un testeur chez Microsoft...
encore heureux : le logiciel est distribué par eux, sur github.

https://cdn.arstechnica.net/wp-content/ … scaled.jpg

vicieux... très vicieux

iznobe · Le 06/04/2024, à 09:13

krodelabestiole a écrit :

idioteidiote a écrit :
Un testeur chez Microsoft...
encore heureux : le logiciel est distribué par eux, sur github.

Bonjour , super , ils ramenent leurs sal....ries dans le monde libre , manquait plus que ca !!!

JBF · Le 06/04/2024, à 09:56

Des liens en français sur linuxfr.org :
https://linuxfr.org/users/ytterbium/jou … -compromis
https://linuxfr.org/news/xz-et-liblzma- … -deux-mois

JBF · Le 06/04/2024, à 09:58

iznobe a écrit :

krodelabestiole a écrit :
idioteidiote a écrit :
Un testeur chez Microsoft...
encore heureux : le logiciel est distribué par eux, sur github.
Bonjour , super , ils ramenent leurs sal....ries dans le monde libre , manquait plus que ca !!!

Ici ce n'est pas le cas et github n'y est pour rien.

JBF · Le 06/04/2024, à 09:59

Ma réponse à la question du titre est : oui, probablement.

geole · Le 06/04/2024, à 10:07

Toujours se méfier des outils sans valeur ajoutée.
Quel est l'intéret d'utiliser la compression alors que c'est devenu basique. Toutes les vidéos sont comprimées par les logiciels de vidéos, idem pour les photos.
De plus le logiciel microsoft compresse naturellement sans intervention et tôt ou tard ubuntu fera pareil dans les partitions EXT4. C'est déja possible dans les partitions BTRFS et standard dans les partitions ZFS.
Donc à part consommer de l'énergie.......pour compresser les fichiers de 512 Bytes.

note que la diffusion a eu lieu sur ubuntu version 24.04 mais qu'elle a été rapidement "contrée" voir les discutions dédièes à cette pre-version.

Dernière modification par geole (Le 06/04/2024, à 10:15)

JBF · Le 06/04/2024, à 10:11

Il ne s'agit pas ici de compresser des vidéos ou des images, mais, entre autres, de construire des paquets deb ou rpm.

Nuliel · Le 06/04/2024, à 10:22

Bonjour,
Microsoft n'y est pour rien par rapport à github: github contient énormément de code, et ce n'est pas à eux d'aller auditer tout ce code. Surtout qu'il y a énormément de projets abandonnés dessus.
Le problème est toujours le même: il n'y a pas assez de bénévoles pour chaque projet, et la plupart des entreprises utilisent ces programmes sans rien leur apporter (ni financièrement, ni en participant au développement).
Là c'est bien pire qu'une vuln qui traîne dans un projet géré par quelques bénévoles (log4j par exemple) vu que la vuln dans xz est intentionnelle.
Il suffit de regarder ce qu'a fait Microsoft il y a moins d'un mois pour voir que la situation n'est pas prête de changer: https://korben.info/ffmpeg-microsoft-ch … ource.html

Pour info xz est utilisé par de nombreux logiciels. Et ce genre de programme c'est loin, trèèèèèèèèèèèèèèèès loin d'être basique.

Dernière modification par Nuliel (Le 06/04/2024, à 10:24)

iznobe · Le 06/04/2024, à 10:32

Il suffit de regarder ce qu'a fait Microsoft il y a moins d'un mois pour voir que la situation n'est pas prête de changer: https://korben.info/ffmpeg-microsoft-ch … ource.html

bien fait pour leur pomme ( sans jeux de mots ) , si j' avais les capacités de ceux qui bossent sur les codecs , pour la peine je serais 3 fois plus exigeant , et Microsoft aura pas la choix que de cracher car ils sont pris à la gorge et l' ont bien montré a tout le monde vu leur réaction justement ca leur servira de leçon j ' espere .

krodelabestiole · Le 06/04/2024, à 13:51

Nuliel a écrit :

Microsoft n'y est pour rien par rapport à github: github contient énormément de code, et ce n'est pas à eux d'aller auditer tout ce code.

au contraire, je pense qu'en tant qu'hébergeur de ce code, et de ces programmes compilés, ils ont une grosse responsabilité (qu'ils ont accepté d'assumer en rachetant github). c'est en tout cas comme ça que la loi s'applique pour le reste du monde.
et pour le coup ils ont visiblement bien réagi (ça a l'air même plus propre que ce qui se passe sur snapcraft !)

krodelabestiole · Le 06/04/2024, à 13:58

iznobe a écrit :

Bonjour , super , ils ramenent leurs sal....ries dans le monde libre , manquait plus que ca !!!

techniquement ce sont les plus gros contributeurs du libre actuellement, et du noyau linux aussi (et depuis un moment).

le plus important soutien au logiciel libre aujourd'hui c'est microsoft. voir leur apport financier à la linux foundation, les contributions réelles de leurs employés au développement du noyau, leur rachat de github, etc.
et ce sont loin d'être la seule grosse compagnie moralement questionable impliquée dans l'orientation et le développement de linux (cliquer ici sur board of directors, tencent, qualcomm, meta c'est facebook, ... - il n'y a plus que red-hat qui fait du linux, et c'est ibm).

https://forum.ubuntu-fr.org/viewtopic.p … #p22737343

iznobe · Le 06/04/2024, à 14:05

... on est mal barré alors . ca s' annonce plutôt mal pour le libre sur le long therme du coup .
Forcément ils vont trouver des moyens pour prendre le controle tot ou tard . quelle bonne idée d' avoir laisser entrer le loup dans la bergerie

Dernière modification par iznobe (Le 06/04/2024, à 14:06)

xubu1957 · Le 06/04/2024, à 14:08

Bonjour,

> Le loup rentre dans la bergerie, Microsoft rejoint la fondation Linux

berserk · Le 06/04/2024, à 14:20

Bonjour

https://piaille.fr/@rusty/112190942173039817

krodelabestiole · Le 06/04/2024, à 14:42

ok, donc ce n'est pas du tout dans le cadre d'un travail chez github que la backdoor a été repérée, c'est plutôt inquiétant.

ça montre aussi bien l'intérêt d'utiliser des versions éprouvées des logiciels (grâce à debian ou ubuntu stable par ex.) plutôt que déployer en permanence les dernières sorties avec des distros au taquet ou de testing comme arch et dérivées, en particulier pour des serveurs, ou des machines sensibles.

iznobe · Le 06/04/2024, à 15:04

krodelabestiole a écrit :

ok, donc ce n'est pas du tout dans le cadre d'un travail chez github que la backdoor a été repérée, c'est plutôt inquiétant.
ça montre aussi bien l'intérêt d'utiliser des versions éprouvées des logiciels (grâce à debian ou ubuntu stable par ex.) plutôt que déployer en permanence les dernières sorties avec des distros au taquet ou de testing comme arch et dérivées, en particulier pour des serveurs, ou des machines sensible

+1
c' est bien pour ca que debian a toujours eu une forte part sur les serveurs . beaucoup de monde a deja compris ca .
cela dis , ca n' empeche pas qu ' un gros poisson peut toujours passer à travers les mailles du filet . ( evidemment ca reste rare )
la preuve , ca c' est joué a rien il y a quelques jours ...

geole · Le 06/04/2024, à 15:40

iznobe a écrit :

cela dis , ca n' empeche pas qu ' un gros poisson peut toujours passer à travers les mailles du filet . ( evidemment ca reste rare )
la preuve , ca c' est joué a rien il y a quelques jours ...

Tout cela parce le poisson consommait trop de processeur. S'il avait su ne pas surconsommer lorsqu'il s'est mis à fonctionner, il passait certainement inaperçu.

iznobe · Le 06/04/2024, à 15:47

c' etait pas de la conso CPU :

Andres Freund, développeur chez Microsoft, est en train de faire des tests pour améliorer le logiciel sur lequel il travaille (postgres). Il découvre que depuis qu'il a fait des mises à jour, la connexion sécurisée (ssh) prend 500 milllisecondes de plus qu'avant.

Mais bon ...

krodelabestiole · Le 06/04/2024, à 15:57

le truc aurait de toute façon fini par être détecté, quand exploité. mais ça aurait pu faire énormément de dégâts effectivement.
un organisme d'europe de l'est ou moyen-orient (d'après l'étude sur la temporalité du boulot) aurait eu les moyens de la nsa pendant une certaine période : open bar général sur tous les serveurs reliés à internet.

bruno · Le 06/04/2024, à 18:31

@iznobe: c'est bien la consommation de CPU qui a alerté, cf. https://mastodon.social/@AndresFreundTe … 6142695845

krodelabestiole a écrit :

ça montre aussi bien l'intérêt d'utiliser des versions éprouvées des logiciels (grâce à debian ou ubuntu stable par ex.)

Sauf que Ubuntu allait sortir en fin de mois avec une version compromise de xz puisque le paquet provenait de Debian testing…

Il faut évidemment utiliser des version stables et éprouvées mais ce n'est pas une garantie contre toutes les failles de sécurité.

Par exemple, une faille assez importante dans l’implémentation HTTP/2 de la plupart des serveurs web mais qui heureusement ne semble pas exploitée. Les paquets Debian apache2 avec la mise à jour de sécurité seront proposés la semaine prochaine, pour Ubuntu pas d'infos pour le moment.

JBF · Le 06/04/2024, à 18:43

bruno a écrit :

Sauf que Ubuntu allait sortir en fin de mois avec une version compromise de xz puisque le paquet provenait de Debian testing…

Le pirate a essayé le 28 mars, donc la veille du jour où la porte dérobée a été révélée, de convaincre Ubuntu d'intégrer la version piégée de xz dans la prochaine LTS. Sans succès : https://bugs.launchpad.net/ubuntu/+sour … ug/2059417

geole · Le 06/04/2024, à 18:59

Pourquoi ce bug
https://code.launchpad.net/ubuntu/+source/xz-utils
contient cette phrase
To fork this repository and propose fixes from there, push to this repository:
git push git+ssh://geole0@git.launchpad.net/~geole0/ubuntu/+source/xz-utils BRANCHNAME

To fork this repository and propose fixes from there, push to this repository:
git push git+ssh://geole0@git.launchpad.net/~geole0/ubuntu/+source/xz-utils BRANCHNAME

C est quand même très proche de mon identification
OpenID login: https://launchpad.net/~geole0

Dernière modification par geole (Le 06/04/2024, à 19:25)

jplemoine · Le 06/04/2024, à 19:09

En fait, c'est parce que tu es connecté avec ton utilisateur...
Si je me connecte :

Get this repository:
git clone https://git.launchpad.net/ubuntu/+source/xz-utils
git clone git+ssh://untoutseul05@git.launchpad.net/ubuntu/+source/xz-utils

Si je me déconnecte :

Get this repository:
git clone https://git.launchpad.net/ubuntu/+source/xz-utils
Members of git-ubuntu import can upload to this repository. Log in for directions.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/04/2024, à 04:34

xz Utils : a t'on évité une infection mondiale ?

#2 Le 06/04/2024, à 04:37

Re : xz Utils : a t'on évité une infection mondiale ?

#3 Le 06/04/2024, à 04:38

Re : xz Utils : a t'on évité une infection mondiale ?

#4 Le 06/04/2024, à 09:13

Re : xz Utils : a t'on évité une infection mondiale ?

#5 Le 06/04/2024, à 09:56

Re : xz Utils : a t'on évité une infection mondiale ?

#6 Le 06/04/2024, à 09:58

Re : xz Utils : a t'on évité une infection mondiale ?

#7 Le 06/04/2024, à 09:59

Re : xz Utils : a t'on évité une infection mondiale ?

#8 Le 06/04/2024, à 10:07

Re : xz Utils : a t'on évité une infection mondiale ?

#9 Le 06/04/2024, à 10:11

Re : xz Utils : a t'on évité une infection mondiale ?

#10 Le 06/04/2024, à 10:22

Re : xz Utils : a t'on évité une infection mondiale ?

#11 Le 06/04/2024, à 10:32

Re : xz Utils : a t'on évité une infection mondiale ?

#12 Le 06/04/2024, à 13:51

Re : xz Utils : a t'on évité une infection mondiale ?

#13 Le 06/04/2024, à 13:58

Re : xz Utils : a t'on évité une infection mondiale ?

#14 Le 06/04/2024, à 14:05

Re : xz Utils : a t'on évité une infection mondiale ?

#15 Le 06/04/2024, à 14:08

Re : xz Utils : a t'on évité une infection mondiale ?

#16 Le 06/04/2024, à 14:20

Re : xz Utils : a t'on évité une infection mondiale ?

#17 Le 06/04/2024, à 14:42

Re : xz Utils : a t'on évité une infection mondiale ?

#18 Le 06/04/2024, à 15:04

Re : xz Utils : a t'on évité une infection mondiale ?

#19 Le 06/04/2024, à 15:40

Re : xz Utils : a t'on évité une infection mondiale ?

#20 Le 06/04/2024, à 15:47

Re : xz Utils : a t'on évité une infection mondiale ?

#21 Le 06/04/2024, à 15:57

Re : xz Utils : a t'on évité une infection mondiale ?

#22 Le 06/04/2024, à 18:31

Re : xz Utils : a t'on évité une infection mondiale ?

#23 Le 06/04/2024, à 18:43

Re : xz Utils : a t'on évité une infection mondiale ?

#24 Le 06/04/2024, à 18:59

Re : xz Utils : a t'on évité une infection mondiale ?

#25 Le 06/04/2024, à 19:09

Re : xz Utils : a t'on évité une infection mondiale ?

Pied de page des forums