Notebookcheck Logo

Porte dérobée injectée dans les outils de compression XZ de plusieurs distributions Linux

Une vulnérabilité massive menace plusieurs distributions Linux, en particulier celles qui se mettent à jour rapidement (Image : générée avec Dall-E 3)
Une vulnérabilité massive menace plusieurs distributions Linux, en particulier celles qui se mettent à jour rapidement (Image : générée avec Dall-E 3)
Une vulnérabilité critique a été découverte dans les outils de compression XZ, permettant un accès à distance via des connexions SSH. Les distributions Rolling Linux sont particulièrement affectées, une mise à jour est déjà disponible.
Security Linux / Unix

En raison d'une utilisation anormalement élevée du processeur et de messages d'erreur lors de l'utilisation de la connexion à distance via SSH, le développeur de logiciels Andreas Freund a remarqué une énorme faille de sécurité dans son installation Debian SID. Le développeur a pu identifier la cause de cette faille : XZ-Tools, une collection d'outils de compression inclus dans de nombreuses distributions Linux et utilisés par SSH.

La vulnérabilité, baptisée CVE-2024-3094permet un accès à distance non autorisé aux systèmes Linux concernés. Les versions affectées par la porte dérobée sont les utilitaires XZ et la bibliothèque liblmza associée dans les versions 5.6.0 de fin février et 5.6.1 du 9 mars. Ces versions XZ compromises, introduites par l'un des développeurs XZ lui-même, contournent l'authentification SSH, ce qui permet aux attaquants de prendre le contrôle complet du système à distance.

Le développeur de logiciels Andreas Freund décrit sa découverte de la vulnérabilité : "Après avoir observé quelques symptômes étranges autour de liblzma (partie du paquet xz) sur des installations Debian sid au cours des dernières semaines (connexions avec ssh prenant beaucoup de CPU, erreurs valgrind), j'ai trouvé la réponse : Le dépôt amont xz et les tarballs xz ont été backdoorés. J'ai d'abord pensé qu'il s'agissait d'une compromission du paquet Debian, mais il s'avère qu'il s'agit d'une compromission en amont"

Le code de la porte dérobée n'était que partiellement caché dans le code source ouvert sur GitHub, et GitHub lui-même a suspendu le compte de XZ Utilities pour le moment. Les distributions Linux affectées, pour lesquelles des mises à jour sont déjà disponibles, à l'exception de Fedora Rawhide, sont les suivantes

  • Debian Testing, Unstable et Experimental
  • Fedora Rawhide
  • Arch Linux
  • openSUSE Tumbleweed

Les distributions telles que Debian Stable, Fedora 39, openSUSE Leap ou Red Hat Enterprise Linux (RHEL) ne sont pas affectées par la vulnérabilité de XZ Utilities. Si vous utilisez l'une des distributions Linux ci-dessus, vous pouvez vérifier le numéro de version de XZ Utilities dans la console avec xz -version. Idéalement, une nouvelle installation est recommandée, surtout si l'accès SSH est activé sur le système Linux.

Articles en relation

Le Slimbook Fedora 2 est disponible en noir ou en argent (Image : Slimbook).
L'ordinateur portable Slimbook Fedora 2 disponible en 14" et 16" avec Fedora Linux 40 04/24/2024
L'équipe d'EndeavourOS dit "au revoir" à la version ARM (Image : EndeavourOS).
EndeavourOS interrompt le développement de la version ARM de la distribution Linux 04/09/2024
Ubuntu 24.04 devrait permettre aux utilisateurs d'ordinateurs portables de bénéficier d'une meilleure autonomie (Image : Canonical).
Ubuntu 24.04 LTS vise à améliorer l'efficacité énergétique de la distribution Linux sur les ordinateurs portables 04/08/2024
La version bêta de Fedora Linux 40 est désormais disponible (Source : Fedora Magazine)
Une nouvelle version bêta de Fedora Linux 40 est désormais disponible 03/27/2024
Les thèmes globaux de KDE permettent aux scripts d'exécuter des commandes en tant qu'utilisateur root, ce qui constitue un risque potentiel pour la sécurité des utilisateurs de l'environnement de bureau Linux. (Source de l'image : KDE - édité)
Cauchemar de sécurité pour le thème KDE Plasma : la fonction de script peut exécuter des commandes root, y compris le pire mème Linux 03/26/2024
Le Pi Neo d'Orange sera proposé à un prix compétitif (Image source : Manjaro)
L'ordinateur de poche de jeu Orange Pi Neo basé sur Linux avec AMD Ryzen 7 commence à 499 03/26/2024
System76 lance le 2024 Lemur Pro avec des processeurs Intel Meteor Lake (Image source : System76)
L'ordinateur portable System76 Lemur Pro Linux est mis à jour avec les processeurs Intel Meteor Lake 03/22/2024
PlaytronOS est un nouveau système d'exploitation basé sur Linux qui espère concurrencer SteamOS et Windows sur les ordinateurs de poche destinés aux jeux. (Source de l'image : Playtron)
PlaytronOS : le nouveau système d'exploitation Linux pour les jeux vise à détrôner Windows et SteamOS en prenant en charge "tous les magasins" 03/22/2024
Lancement du bureau Linux GNOME 46 avec prise en charge expérimentale du VRR et plus encore
Lancement du bureau Linux GNOME 46 avec prise en charge expérimentale du VRR et plus encore 03/21/2024
Nvidia Reflex débarque sur Steam Play via VKD3D-Proton 2.12 (Image source : Nvidia)
Steam Play reçoit Nvidia Reflex grâce à la mise à jour VKD3D-Proton sur Linux 03/17/2024
Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2024 03 > Porte dérobée injectée dans les outils de compression XZ de plusieurs distributions Linux
Alexander Pensler, 2024-03-30 (Update: 2024-03-30)