Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Le projet Fedora a fêté le 6 novembre 2023 ses 20 ans. C'est en effet via cette annonce publique de la sortie de la dénommée Fedora Core 1 qui marque le coup d'envoi de cette histoire.

Continuité de la distribution Red Hat Linux en prenant un aspect communautaire, elle aura su au gré du temps s'imposer comme une distribution généraliste majeure de l'écosystème Linux. Au fil des années, de nombreuses technologies incorporées et testées en premier lieu dans la distribution ont su se généraliser au reste des distributions.

Profitons de cet anniversaire pour faire une rétrospective de l'évolution de la distribution mais aussi un rappel d'où nous partions il y a 20 ans. Cela permettra d'envisager aussi ce que nous réserve l'avenir, et qui sait faire un nouveau point d'étape dans 20 ans ?

En ce mardi 7 novembre, les utilisateurs du Projet Fedora seront ravis d'apprendre la disponibilité de la version Fedora Linux 39.

Fedora Linux est une distribution communautaire développée par le projet Fedora et sponsorisée par Red Hat, qui lui fournit des développeurs ainsi que des moyens financiers et logistiques. Fedora Linux peut être vue comme une sorte de vitrine technologique pour le monde du logiciel libre, c’est pourquoi elle est prompte à inclure des nouveautés.

Cette 39e édition propose principalement une mise à jour de son interface principale GNOME 45, de sa suite bureautique LibreOffice 7.6 et l'abandon des thèmes personnalisés pour les logiciels utilisant la bibliothèque graphique Qt. Notons l'arrivée d'images officielles pour l'environnement Budgie dans un système immuable nommé Onyx.