[gull] Grosse tentative de backdoorer les ssh de debian et redhat

Philippe Strauss philippe at straussaudio.ch
Sun Mar 31 00:05:33 CET 2024 

Un point intéressant, important levé par Joey Hess de Debian:

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024

D'autres remarques à ne pas négliger:

https://www.nongnu.org/lzip/xz_inadequate.html

https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b

a+

On 3/30/24 12:24 PM, Marc SCHAEFER via gull wrote:
> Hello,
>
> On Fri, Mar 29, 2024 at 07:01:49PM +0100, Philippe Strauss via gull wrote:
>> https://www.openwall.com/lists/oss-security/2024/03/29/4
> Et quelqu'un a analysé temporellement ce qui s'est passé. Y compris des
> faux comptes qui poussent pour qu'une personne ait un accès développeur,
> en utilisant les difficultés perçues du développeur principal [1].
>
> En effet, c'est le dépôt source du logiciel XZ qui semble avoir été compris.
>
> Pour info, il semblerait que l'impact direct soit limité à Fedora 40,
> Fedora "unstable" (je ne sais plus son nom), Debian testing et
> Debian unstable et à la plateforme amd64 (x86_64).  En cas d'usage
> d'un sshd sans lien à systemd, pas de vulnérabilité non plus,
> vraisemblablement.
>
> Evidemment, l'impact indirect pourrait également être problématique, par
> exemple chez les développeurs RH-Fedora et Debian qui pourraient
> utiliser les prereleases, ou chez ceux qui utilise des images Docker
> non basées sur Debian stable, par exemple.
>
> Voici un script de test, à faire sous root:
>
>     path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
>     if hexdump -ve '1/1 "%.2x"' "$path" | grep -q  f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
>     then
>          echo probably vulnerable
>     else
>          echo probably not vulnerable
>     fi
>
> Ca rejoint aussi une discussion qu'on avait eu ici sur la problématique
> que systemd dépend d'énormément de bibliothèques (attack surface), et
> que sshd dépend de libsystemd. Il y a d'ailleurs à ce sujet une
> proposition de confiner la dépendance systemd de ssh dans un processus
> limité [2].
>
> [1] https://boehs.org/node/everything-i-know-about-the-xz-backdoor
> [2] https://www.openwall.com/lists/oss-security/2024/03/29/23

More information about the gull mailing list