Pass the SALT 2024 : 21 conférences et 9 ateliers sur la Sécurité et les Logiciels Libres
Pass the SALT est une conférence gratuite se déroulant à Lille sur deux jours et demi début juillet. Elle est dédiée à la Sécurité et aux Logiciels Libres.
Cette 6ᵉ édition se déroulera :
📅 du 3 au 5 juillet 2024
📍 à l’école de Polytech à Lille.
Venez profiter de la présence d’expert·e·s très accessibles dans une ambiance conviviale d’une conférence à taille humaine 🥰
👉 Les inscriptions sont ouvertes et sont gratuites. Le nombre de places disponibles diminue rapidement, ne tardez pas :)
Lien Faille de sécurité dans GitLab (CVE avec sévérité 10/10, corrigée en janvier 2024)
Lien « "sudo" is very very useful […] sudo has serious problems though » : systemd sudo
Lien Linux 6.9-rc4 To Bring New Fixes For x86 Speculation Mitigations
Lien Analyse complète de la faille de sécurité XZ réalisée par Kaspersky
Lien Outlook, une machine de surveillance de masse
Lien Suspicion de vol de données US par la RPC
Lien After a Recent SSH Vulnerability, Systemd Reduces Dependencies
Lien DGSI - Conseils aux entreprises : Flash ingérence
Lien Rapport US : Microsoft sécurité médiocre et manque de sincérité dans sa réponse au piratage chinois
Lien Le 31 mars, c'est la journée mondiale de la sauvegarde
XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois
Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.
L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.
Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.
La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.
Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.
Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.
NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.
Journal Xz (liblzma) compromis
Bonjour à tous,
La nouvelle que le projet xz (et en particulier liblzma) a été compromis vient de tomber. Donc avant de lire la suite, commencez par vous assurer que vous n'ayez aucune installation de xz version 5.6.0 ou 5.6.1 installée sur vos systèmes pour corriger cette porte dérobée, particulièrement si vous êtes avec un debian ou dérivée. Debian a une version corrigée "5.6.1+really5.4.5-1", Arch Linux une version 5.6.1-2.
Tous les détails de la faille de sécurité sont donnés là (…)