[gull] Grosse tentative de backdoorer les ssh de debian et redhat
Philippe Strauss
philippe at straussaudio.ch
Sun Mar 31 00:05:33 CET 2024
Un point intéressant, important levé par Joey Hess de Debian:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1068024
D'autres remarques à ne pas négliger:
https://www.nongnu.org/lzip/xz_inadequate.html
https://bsky.app/profile/filippo.abyssdomain.expert/post/3kowjkx2njy2b
a+
On 3/30/24 12:24 PM, Marc SCHAEFER via gull wrote:
> Hello,
>
> On Fri, Mar 29, 2024 at 07:01:49PM +0100, Philippe Strauss via gull wrote:
>> https://www.openwall.com/lists/oss-security/2024/03/29/4
> Et quelqu'un a analysé temporellement ce qui s'est passé. Y compris des
> faux comptes qui poussent pour qu'une personne ait un accès développeur,
> en utilisant les difficultés perçues du développeur principal [1].
>
> En effet, c'est le dépôt source du logiciel XZ qui semble avoir été compris.
>
> Pour info, il semblerait que l'impact direct soit limité à Fedora 40,
> Fedora "unstable" (je ne sais plus son nom), Debian testing et
> Debian unstable et à la plateforme amd64 (x86_64). En cas d'usage
> d'un sshd sans lien à systemd, pas de vulnérabilité non plus,
> vraisemblablement.
>
> Evidemment, l'impact indirect pourrait également être problématique, par
> exemple chez les développeurs RH-Fedora et Debian qui pourraient
> utiliser les prereleases, ou chez ceux qui utilise des images Docker
> non basées sur Debian stable, par exemple.
>
> Voici un script de test, à faire sous root:
>
> path="$(ldd $(which sshd) | grep liblzma | grep -o '/[^ ]*')"
> if hexdump -ve '1/1 "%.2x"' "$path" | grep -q f30f1efa554889f54c89ce5389fb81e7000000804883ec28488954241848894c2410
> then
> echo probably vulnerable
> else
> echo probably not vulnerable
> fi
>
> Ca rejoint aussi une discussion qu'on avait eu ici sur la problématique
> que systemd dépend d'énormément de bibliothèques (attack surface), et
> que sshd dépend de libsystemd. Il y a d'ailleurs à ce sujet une
> proposition de confiner la dépendance systemd de ssh dans un processus
> limité [2].
>
> [1] https://boehs.org/node/everything-i-know-about-the-xz-backdoor
> [2] https://www.openwall.com/lists/oss-security/2024/03/29/23
More information about the gull
mailing list