[gull] Grosse tentative de backdoorer les ssh de debian et redhat

[Marc SCHAEFER]

Hello,

On Fri, Mar 29, 2024 at 07:01:49PM +0100, Philippe Strauss via gull wrote:
> https://www.openwall.com/lists/oss-security/2024/03/29/4

Et quelqu'un a analysé temporellement ce qui s'est passé. Y compris des
faux comptes qui poussent pour qu'une personne ait un accès développeur,
en utilisant les difficultés perçues du développeur principal [1].

En effet, c'est le dépôt source du logiciel XZ qui semble avoir été compris.

Pour info, il semblerait que l'impact direct soit limité à Fedora 40,
Fedora "unstable" (je ne sais plus son nom), Debian testing et
Debian unstable et à la plateforme amd64 (x86_64).  En cas d'usage
d'un sshd sans lien à systemd, pas de vulnérabilité non plus,
vraisemblablement.

Evidemment, l'impact indirect pourrait également être problématique, par
exemple chez les développeurs RH-Fedora et Debian qui pourraient
utiliser les prereleases, ou chez ceux qui utilise des images Docker
non basées sur Debian stable, par exemple.

Voici un script de test, à faire sous root:

   path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
   if hexdump -ve '1/1 "%.2x"' "$path" | grep -q  f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
   then
        echo probably vulnerable
   else
        echo probably not vulnerable
   fi 

Ca rejoint aussi une discussion qu'on avait eu ici sur la problématique
que systemd dépend d'énormément de bibliothèques (attack surface), et
que sshd dépend de libsystemd. Il y a d'ailleurs à ce sujet une
proposition de confiner la dépendance systemd de ssh dans un processus
limité [2].

[1] https://boehs.org/node/everything-i-know-about-the-xz-backdoor
[2] https://www.openwall.com/lists/oss-security/2024/03/29/23