Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Journal Xz (liblzma) compromis

Posté par Ytterbium le 29 mars 2024 à 23:00. Licence CC By‑SA.

Étiquettes :

94

29

mar.

2024

Bonjour à tous,

La nouvelle que le projet xz (et en particulier liblzma) a été compromis vient de tomber. Donc avant de lire la suite, commencez par vous assurer que vous n'ayez aucune installation de xz version 5.6.0 ou 5.6.1 installée sur vos systèmes pour corriger cette porte dérobée, particulièrement si vous êtes avec un debian ou dérivée. Debian a une version corrigée "5.6.1+really5.4.5-1", Arch Linux une version 5.6.1-2.

Tous les détails de la faille de sécurité sont donnés là (…)

Lien Backdoor in upstream xz/liblzma leading to ssh server compromise

Posté par Misc (site web personnel) le 29 mars 2024 à 18:15.

Étiquettes :

34

29

mar.

2024

https://www.openwall.com/lists/oss-security/2024/03/29/4

Retour d’expérience sur l’utilisation de GrapheneOS (ROM Android libre)

Posté par SupaJohn le 18 mars 2024 à 10:47. Édité par Ysabeau 🧶 🧦, palm123 et Arkem. Modéré par Ysabeau 🧶 🧦. Licence CC By‑SA.

Étiquettes :

22

18

mar.

2024

Suite à la dépêche Comparatif : GrapheneOS vs LineageOS, je souhaitais faire part d’un retour d’expérience sur l’utilisation de GrapheneOS sur un téléphone Android Pixel 7a. Ce commentaire est repris ici sous forme de dépêche.

Forum général.général LUKS & /boot

Posté par Xanatos le 06 mars 2024 à 18:27. Licence CC By‑SA.

Étiquettes :

6

mar.

2024

Bonjour,

Avec l'arrivée d'une nouvelle machine je souhaite me mettre un peu à jour sur l'organisation des fs et LUKS.
Jusqu'à présent j'installe sous cette forme:

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 59,6G 0 disk

├─sda1 8:1 0 190M 0 part /boot
└─sda2 8:2 0 59,4G 0 part

└─sda2_crypt 253:0 0 59,4G 0 crypt /

Oui pas de SWAP et vieux coucous en BIOS, ce n'est pas le débat.

/boot non chiffré m'a toujours embêté et (…)

ADSILLH : licence pro Administration et Développement de SI à base de Logiciels Libres et Hybrides

Posté par Samuel Thibault (site web personnel) le 05 mars 2024 à 19:28. Édité par Ysabeau 🧶 🧦. Modéré par Benoît Sibaud. Licence CC By‑SA.

Étiquettes :

19

5

mar.

2024

Après une ouverture en septembre 2016 et huit promotions, la licence professionnelle ADSILLH (Administrateur et Développeur de Systèmes Informatiques à base de Logiciels Libres et Hybrides) ouvre de nouveau ses portes à l’Université de Bordeaux à la rentrée 2024 !

Cette licence professionnelle vise à former les étudiants à intégrer des logiciels libres en un ensemble cohérent répondant aux besoins des entreprises, un système d’information complet par exemple, en interopérant au besoin avec des logiciels propriétaires (hybridation). Il s’agit également de s’impliquer dans les communautés de développeurs de logiciels libres, pour remonter ou corriger les bogues, contribuer des fonctionnalités (c’est tout l’objet du projet tutoré).

C’est une licence pro en un an (donc BAC + 3), elle est ouverte aux L2, DUT/BUT2, BTS, en formation initiale et en alternance, mais aussi en formation continue, reprise d’études et contrat professionnel (on peut faire une VAP — Validation des Acquis Professionnels — pour l’inscription). Des VAE (Validation des Acquis de l’Expérience) sont également possibles.

Lien L’étrange cyberattaque du SIAAP

Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) le 26 février 2024 à 14:39.

Étiquettes :

15

26

fév.

2024

https://blog.mondediplo.net/l-etrange-cyberattaque-du-siaap

Tous les contenus étiquetés avec « sécurité »