[gull] Grosse tentative de backdoorer les ssh de debian et redhat

felix felix at f-hauri.ch
Sat Mar 30 12:52:49 CET 2024 

Ils sont forts, ces cons!

https://security-tracker.debian.org/tracker/CVE-2024-3094

'fallait pas `testing' en prod!!

Le Sat, Mar 30, 2024 at 12:24:48PM +0100, Marc SCHAEFER via gull a écrit :
> Hello,
> 
> On Fri, Mar 29, 2024 at 07:01:49PM +0100, Philippe Strauss via gull wrote:
> > https://www.openwall.com/lists/oss-security/2024/03/29/4
> 
> Et quelqu'un a analysé temporellement ce qui s'est passé. Y compris des
> faux comptes qui poussent pour qu'une personne ait un accès développeur,
> en utilisant les difficultés perçues du développeur principal [1].
> 
> En effet, c'est le dépôt source du logiciel XZ qui semble avoir été compris.
> 
> Pour info, il semblerait que l'impact direct soit limité à Fedora 40,
> Fedora "unstable" (je ne sais plus son nom), Debian testing et
> Debian unstable et à la plateforme amd64 (x86_64).  En cas d'usage
> d'un sshd sans lien à systemd, pas de vulnérabilité non plus,
> vraisemblablement.
> 
> Evidemment, l'impact indirect pourrait également être problématique, par
> exemple chez les développeurs RH-Fedora et Debian qui pourraient
> utiliser les prereleases, ou chez ceux qui utilise des images Docker
> non basées sur Debian stable, par exemple.
> 
> Voici un script de test, à faire sous root:
> 
>    path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
>    if hexdump -ve '1/1 "%.2x"' "$path" | grep -q  f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
>    then
>         echo probably vulnerable
>    else
>         echo probably not vulnerable
>    fi 
> 
> Ca rejoint aussi une discussion qu'on avait eu ici sur la problématique
> que systemd dépend d'énormément de bibliothèques (attack surface), et
> que sshd dépend de libsystemd. Il y a d'ailleurs à ce sujet une
> proposition de confiner la dépendance systemd de ssh dans un processus
> limité [2].
> 
> [1] https://boehs.org/node/everything-i-know-about-the-xz-backdoor
> [2] https://www.openwall.com/lists/oss-security/2024/03/29/23
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> https://forum.linux-gull.ch/mailman/listinfo/gull

-- 
 Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch
__________________________________________________________________________
 Félix Hauri - Informaticien consultant  |\      /|       ___  _
 --------------------------------------  | \ __ / |      /    -   /   o
 4, rue Centrale / CH-1450 Sainte-Croix  | .    . |     /_  ___  /
 Tél: (+41/0) 24 454 54 04  Fax:..54 00  |   /\   |    /   /__/ /   /  \/
 http://www.f-hauri.ch                   | \ __ / |   /   /__  /_  /_  /\
 email: felix at f-hauri.ch                  \ ____ /   ---------------------
 Félix Hauri   -    Informaticien consultant    -   <felix at f-hauri.ch>
 Tél: (+41/0) 24 454 54 04 - 079 703 15 36   -   http://www.f-hauri.ch
##########################################################################  
 Ni PGP, ni cryptage:  Tant que mal maîtrisé et/ou mal installé ce sys-
 tème est entre inutile et dangereux. Attention! Il existe désormais des
 dispositions légales tendant à faire valoir à une signature électronique   
 le même poids qu'une signature manuscrite!
##########################################################################

More information about the gull mailing list