[gull] Grosse tentative de backdoorer les ssh de debian et redhat
felix
felix at f-hauri.ch
Sat Mar 30 12:52:49 CET 2024
Ils sont forts, ces cons!
https://security-tracker.debian.org/tracker/CVE-2024-3094
'fallait pas `testing' en prod!!
Le Sat, Mar 30, 2024 at 12:24:48PM +0100, Marc SCHAEFER via gull a écrit :
> Hello,
>
> On Fri, Mar 29, 2024 at 07:01:49PM +0100, Philippe Strauss via gull wrote:
> > https://www.openwall.com/lists/oss-security/2024/03/29/4
>
> Et quelqu'un a analysé temporellement ce qui s'est passé. Y compris des
> faux comptes qui poussent pour qu'une personne ait un accès développeur,
> en utilisant les difficultés perçues du développeur principal [1].
>
> En effet, c'est le dépôt source du logiciel XZ qui semble avoir été compris.
>
> Pour info, il semblerait que l'impact direct soit limité à Fedora 40,
> Fedora "unstable" (je ne sais plus son nom), Debian testing et
> Debian unstable et à la plateforme amd64 (x86_64). En cas d'usage
> d'un sshd sans lien à systemd, pas de vulnérabilité non plus,
> vraisemblablement.
>
> Evidemment, l'impact indirect pourrait également être problématique, par
> exemple chez les développeurs RH-Fedora et Debian qui pourraient
> utiliser les prereleases, ou chez ceux qui utilise des images Docker
> non basées sur Debian stable, par exemple.
>
> Voici un script de test, à faire sous root:
>
> path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
> if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
> then
> echo probably vulnerable
> else
> echo probably not vulnerable
> fi
>
> Ca rejoint aussi une discussion qu'on avait eu ici sur la problématique
> que systemd dépend d'énormément de bibliothèques (attack surface), et
> que sshd dépend de libsystemd. Il y a d'ailleurs à ce sujet une
> proposition de confiner la dépendance systemd de ssh dans un processus
> limité [2].
>
> [1] https://boehs.org/node/everything-i-know-about-the-xz-backdoor
> [2] https://www.openwall.com/lists/oss-security/2024/03/29/23
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> https://forum.linux-gull.ch/mailman/listinfo/gull
--
Félix Hauri - <felix at f-hauri.ch> - http://www.f-hauri.ch
__________________________________________________________________________
Félix Hauri - Informaticien consultant |\ /| ___ _
-------------------------------------- | \ __ / | / - / o
4, rue Centrale / CH-1450 Sainte-Croix | . . | /_ ___ /
Tél: (+41/0) 24 454 54 04 Fax:..54 00 | /\ | / /__/ / / \/
http://www.f-hauri.ch | \ __ / | / /__ /_ /_ /\
email: felix at f-hauri.ch \ ____ / ---------------------
Félix Hauri - Informaticien consultant - <felix at f-hauri.ch>
Tél: (+41/0) 24 454 54 04 - 079 703 15 36 - http://www.f-hauri.ch
##########################################################################
Ni PGP, ni cryptage: Tant que mal maîtrisé et/ou mal installé ce sys-
tème est entre inutile et dangereux. Attention! Il existe désormais des
dispositions légales tendant à faire valoir à une signature électronique
le même poids qu'une signature manuscrite!
##########################################################################
More information about the gull
mailing list