Backdoor xz/lzma : vérification de vulnérabilité #175

New Issue

Closed

opened 2024-04-02 21:48:44 +02:00 by neox · 0 comments

neox commented

2024-04-02 21:48:44 +02:00

Owner

Source : https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/

Dans le salon Cominfra :

lun. 01 avril 2024 14:32:32 - neox: Hello tout le monde. Suite à mon message dans le salon Libre en Communs :

Bonjour toutes et tous. Pour info, une porte dérobée a été découverte dans le logiciel de compression xz permettant notamment de compromettre des serveurs utilisant SSH sur des machines sous GNU/Linux ayant systemd comme système d'init. La porte dérobée a été placée par le mainteneur du projet... Fait rare et qui explique pourquoi elle n'a pas été découverte plus tôt. Ce problème concerne les versions > 5.6.0 du logiciel.

Plus d'infos ici : https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/

J'ai vérifié sur nos machines la situation à l'aide du script de JFROG (plus d'infos là : https://github.com/jfrog/cve-2024-3094-tools) :

Trisquel :
XZ vulnerable version: NO (5.2.5)
LZMA vulnerable version: NO
SSHD found in the system: YES (/usr/sbin/sshd)
SSHD linked with LZMA: YES (/lib/x86_64-linux-gnu/liblzma.so.5)
- Malicious XZ/LZMA found: NO 
- Vulnerable SSHD found: YES (SSHD linked with LZMA) 
Conclusion: NOT VULNERABLE TO CVE-2024-3094 
Debian :
XZ vulnerable version: NO (5.4.1)
LZMA vulnerable version: NO
SSHD found in the system: YES (/usr/sbin/sshd)
SSHD linked with LZMA: YES (/lib/x86_64-linux-gnu/liblzma.so.5)
- Malicious XZ/LZMA found: NO 
- Vulnerable SSHD found: YES (SSHD linked with LZMA) 
Conclusion: NOT VULNERABLE TO CVE-2024-3094 

Source : https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/ Dans le salon Cominfra : > lun. 01 avril 2024 14:32:32 - neox: Hello tout le monde. Suite à mon message dans le salon Libre en Communs : > > Bonjour toutes et tous. Pour info, une porte dérobée a été découverte dans le logiciel de compression `xz` permettant notamment de compromettre des serveurs utilisant SSH sur des machines sous GNU/Linux ayant systemd comme système d'init. La porte dérobée a été placée par le mainteneur du projet... Fait rare et qui explique pourquoi elle n'a pas été découverte plus tôt. Ce problème concerne les versions > 5.6.0 du logiciel. > > > > Plus d'infos ici : https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de/ > > J'ai vérifié sur nos machines la situation à l'aide du script de JFROG (plus d'infos là : https://github.com/jfrog/cve-2024-3094-tools) : > - Trisquel : > ``` > XZ vulnerable version: NO (5.2.5) > LZMA vulnerable version: NO > SSHD found in the system: YES (/usr/sbin/sshd) > SSHD linked with LZMA: YES (/lib/x86_64-linux-gnu/liblzma.so.5) > - Malicious XZ/LZMA found: NO > - Vulnerable SSHD found: YES (SSHD linked with LZMA) > Conclusion: NOT VULNERABLE TO CVE-2024-3094 > ``` > - Debian : > ``` > XZ vulnerable version: NO (5.4.1) > LZMA vulnerable version: NO > SSHD found in the system: YES (/usr/sbin/sshd) > SSHD linked with LZMA: YES (/lib/x86_64-linux-gnu/liblzma.so.5) > - Malicious XZ/LZMA found: NO > - Vulnerable SSHD found: YES (SSHD linked with LZMA) > Conclusion: NOT VULNERABLE TO CVE-2024-3094 > ```