Notebookcheck Logo

Porte dérobée injectée dans les outils de compression XZ de plusieurs distributions Linux

Teaser
Une vulnérabilité critique a été découverte dans les outils de compression XZ, permettant un accès à distance via des connexions SSH. Les distributions Rolling Linux sont particulièrement affectées, une mise à jour est déjà disponible.

En raison d'une utilisation anormalement élevée du processeur et de messages d'erreur lors de l'utilisation de la connexion à distance via SSH, le développeur de logiciels Andreas Freund a remarqué une énorme faille de sécurité dans son installation Debian SID. Le développeur a pu identifier la cause de cette faille : XZ-Tools, une collection d'outils de compression inclus dans de nombreuses distributions Linux et utilisés par SSH.

La vulnérabilité, baptisée CVE-2024-3094permet un accès à distance non autorisé aux systèmes Linux concernés. Les versions affectées par la porte dérobée sont les utilitaires XZ et la bibliothèque liblmza associée dans les versions 5.6.0 de fin février et 5.6.1 du 9 mars. Ces versions XZ compromises, introduites par l'un des développeurs XZ lui-même, contournent l'authentification SSH, ce qui permet aux attaquants de prendre le contrôle complet du système à distance.

Le développeur de logiciels Andreas Freund décrit sa découverte de la vulnérabilité : "Après avoir observé quelques symptômes étranges autour de liblzma (partie du paquet xz) sur des installations Debian sid au cours des dernières semaines (connexions avec ssh prenant beaucoup de CPU, erreurs valgrind), j'ai trouvé la réponse : Le dépôt amont xz et les tarballs xz ont été backdoorés. J'ai d'abord pensé qu'il s'agissait d'une compromission du paquet Debian, mais il s'avère qu'il s'agit d'une compromission en amont"

Le code de la porte dérobée n'était que partiellement caché dans le code source ouvert sur GitHub, et GitHub lui-même a suspendu le compte de XZ Utilities pour le moment. Les distributions Linux affectées, pour lesquelles des mises à jour sont déjà disponibles, à l'exception de Fedora Rawhide, sont les suivantes

  • Debian Testing, Unstable et Experimental
  • Fedora Rawhide
  • Arch Linux
  • openSUSE Tumbleweed

Les distributions telles que Debian Stable, Fedora 39, openSUSE Leap ou Red Hat Enterprise Linux (RHEL) ne sont pas affectées par la vulnérabilité de XZ Utilities. Si vous utilisez l'une des distributions Linux ci-dessus, vous pouvez vérifier le numéro de version de XZ Utilities dans la console avec xz -version. Idéalement, une nouvelle installation est recommandée, surtout si l'accès SSH est activé sur le système Linux.

Please share our article, every link counts!
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2024 03 > Porte dérobée injectée dans les outils de compression XZ de plusieurs distributions Linux
Alexander Pensler, 2024-03-30 (Update: 2024-03-30)