Photo d'une pince coupante

panicattack.gif

XZ Utils : comment une porte dérobée dans un composant de Linux a fait craindre le pire

Par Vincent Hermann

Le 02 Avril 2024 à 16:26
Logiciel
8 min 51

Photo d'une pince coupante

Abonnez-vous pour tout dévorer et ne rien manquer.

Déjà abonné ? Se connecter

Abonnez-vous

Une faille de sécurité critique dans la suite d’outils XZ a déclenché une vague de peur et de recherche pendant le week-end. Elle témoigne d’une activité malveillante intense et d’une planification exemplaire. Sa découverte, presque par hasard, entraine une vaste réflexion sur les processus de validation.

Un coup de chance. C’est ainsi que la découverte de la faille est qualifiée depuis vendredi. La vulnérabilité réside dans XZ Utils, une suite d’outils largement utilisée pour effectuer de la compression sans perte et incluant notamment les programmes lzma et xz, ainsi que quelques bibliothèques.

Le composant est présent dans toutes les distributions Linux qui, elles-mêmes, sont à la base d’un très grand nombre de serveurs. Les conséquences potentielles étaient gigantesques, d’autant que cette brèche n’était pas le résultat d’une erreur de programmation. Ce n’était pas un classique dépassement de mémoire tampon ou un bug de corruption mémoire. C’était le résultat d’une activité malveillante ayant pris place sur plus de deux ans.

Une découverte accidentelle

Andres Freund est un ingénieur travaillant comme développeur chez Microsoft, dont la spécialité est PostGreSQL. À la suite de plusieurs semaines de tests divers, en particulier de micro-benchmarks, il remarque plusieurs comportements troublants sur une connexion sécurisée SSH : elle nécessite 500 ms de plus pour s’établir et des pics d’utilisation CPU apparaissent.

Curieux, il se penche sur la question et remarque vite que ces changements se manifestent depuis des mises à jour récentes. Il tombe rapidement sur la dernière version déployée de XZ Utils et découvre le pot-aux-roses : il existe une porte dérobée pour OpenSSH.

L’ingénieur a publié sa découverte sur le forum Openwall ainsi que sur Mastodon le 29 mars, pour que l’information soit relayée.

Les versions 5.6.0 et 5.6.1 du paquet sont concernées. Sur les dernières 48 heures, nombre de mises à jour ont été déployées dans les distributions pour revenir à l’ancienne mouture 5.4.6. De nombreux éditeurs, comme Red Hat, ont publié des bulletins de sécurité pendant le week-end. La faille a été identifiée comme CVE-2024-3094, avec la note maximale de sévérité : 10.

Toutefois, ce sont essentiellement des versions de test et des systèmes en rolling release qui ont été touchés. La plupart des distributions « classiques » étaient encore sur des versions plus anciennes, notamment Debian et Ubuntu dans leurs révisions stables.

Vous pouvez connaître votre version de XZ Utils à tout moment via la commande suivante dans un terminal :

xz --version

Le fonctionnement de la porte dérobée

Extrêmement bien conçue et cachée, la backdoor ne réside pas dans le code source de XZ Utils, mais dans le processus de packaging des nouvelles versions, via notamment des fichiers de test. Il existe même des instructions pour masquer un peu plus la présence de la porte dérobée quand un outil de débogage est détecté.

Plus précisément, cette dernière consiste en une succession d’étapes, dont les dernières ne se déclenchent que si la bibliothèque principale de XZ Utils est compilée pour amd64 vers un paquet Debian ou RPM. Le processus culmine avec la création d’un fichier tarball. Il ne reste alors qu’à convaincre les équipes chargées des différentes distributions de répercuter la mise à jour.

La complexité de la porte dérobée est confirmée entre autres par la société Akamai, qui relève plusieurs techniques d’obfuscation. Le développeur Thomas Roccia, chercheur chez Microsoft, a publié une infographie pour résumer le fonctionnement de la backdoor, dans lequel on s’aperçoit vite du degré de complexité, qui témoigne à lui seul du soin apporté à cette attaque.

Car ses composants n’ont pas été ajoutés d’une traite avant la compilation des dernières versions de XZ Utils. Ils ont été intégrés petit à petit, au fil des mois. C’est un cas d’école de la compromission progressive d’une chaine d’approvisionnement, peut-être la mieux préparée jamais observée, selon l'ingénieur en cryptographie Philippo Valsorda.

Avalanche de questions

Comment cela a-t-il pu se produire ? Qui est à l’origine de cette porte dérobée ? Dans quel but ?

C’est une véritable enquête qui s’est ouverte dans le sillage de la découverte d’Andres Freund. De nombreux éléments troublants ont été collectés depuis. Mais avant de plonger dans les détails, il faut préciser certains points concernant XZ Utils lui-même.

Il s’agissait initialement d’un petit projet de loisir, créé et entretenu sur temps libre par Lasse Collin, dans le cadre du développement de la distribution finlandaise Tukaani (dérivée de Slackware). Mais ce petit projet est devenu une brique essentielle des distributions Linux et, de là, de l’infrastructure mondiale d’Internet.

En juin 2022, un changement crucial intervient : Lasse Collin annonce qu’à cause de « problèmes durables de santé mentale », il ne peut plus s’occuper du projet. Il cherche une personne pour le reprendre et en assurer la maintenance. La situation pourrait être à nouveau illustrée par le fameux dessin de xkcd.

Rapidement, une personne apparaît : Jia Tan, que l’on suppose être un homme. Il n’a pas d’historique de développements sur d’autres projets, mais propose rapidement plusieurs modifications. Jugées pertinentes et sans danger par Lasse Collin, elles sont intégrées.

La situation évolue très vite, puisque le 7 janvier 2023, Jia Tan merge lui-même son code dans le dépôt GitHub (fermé par Microsoft pendant le week-end), sans plus aucune vérification tierce. Le changement à la tête du projet devient « officiel » le 20 mars suivant, quand il remplace l’adresse email de Lasse Collin par la sienne comme moyen de contact.

Qui est Jia Tan ?

Personne ne sait actuellement qui est Jia Tan. Comme on peut le voir sur le fil créé par [email protected] sur Mastodon, cette question fait l’objet de nombreuses spéculations.

Comme indiqué, cette personne n’a pas d’historique de développement sur d’autres projets, et le nom ne fait ressortir aucune information probante. Il pourrait s’agir d’une véritable personne, d’une identité fabriquée de toute pièce, ou même de quelqu’un dont le compte a été piraté. Dans les archives du projet, certains ont retrouvé un nom plus complet, Jia Cheong Tan, sans que cela mène plus loin.

Selon d’autres, le nom choisi est un leurre pour laisser penser que l’auteur est asiatique. En fonction des heures de travail relevées et de la correspondance d’autres éléments comme les jours fériés, il semblerait plutôt que le développeur réside dans un pays d’Europe de l’Est.

La finalité de la porte dérobée

En quoi la porte dérobée est-elle dangereuse ? Son potentiel était immense. Elle aurait permis à toute personne possédant la bonne clé de nombreuses actions partout où était présent OpenSSH, de l’espionnage de ce qui transitait par la connexion à l’installation de code arbitraire, donc de charges virales, de logiciels espions et ainsi de suite.

Andres Freund, qui a découvert la porte dérobée, résume ainsi la situation : « Nous avons été incroyablement chanceux sur ce coup-là, et on ne peut pas compter là-dessus pour la suite ». En clair, il ne faut pas attendre qu’un tel coup de chance se répète à l’avenir. Car sa trouvaille, qu’il décrit comme accidentelle, s’est faite au dernier moment : son signal d’alarme a permis l’intervention des équipes de sécurité et le retrait des deux dernières versions alors qu’elles commençaient tout juste à être distribuée.

On trouve de nombreux commentaires dans les médias et discussions sur le sujet allant tous dans le même sens : internet est passé à côté d’une catastrophe. Et le constat amène systématiquement la question suivante : comment en est-on arrivés là, alors qu’il s’agit d’un développement open source d’une brique aujourd’hui essentielle ?

Parce que les moyens mis en œuvre relèvent d’un plan minutieusement préparé et d’une action progressive sur plus de deux ans. Un développeur originel fatigué, l’arrivée d’un repreneur providentiel, des preuves de ses compétences et de sa fiabilité et finalement l’implantation d’une porte dérobée non plus dans le code source du projet, mais dans la création des paquets à destination des distributions.

Aujourd’hui, le sentiment général qui se dégage des analyses est que Jia Tan n’existe pas et qu’il s’agit du travail d’un groupe soutenu par un État.

Commentaires (51)


potn Abonné
Le 02/04/2024 à 16h42
Bonjour la psychose et la perte de confiance dans l'open-source/libre...
La prochaine étape, c'est un projet libre intégrant dès le début une backdoor ?
Zetny Abonné
Le 02/04/2024 à 17h40
Parce que c'est plus rassurant un logiciel fermé ? Cette porte dérobée, même découverte par hasard, permet justement de prouver la confiance qu'on peut avoir dans les logiciels libres.
bilbonsacquet Abonné
Le 02/04/2024 à 17h59

Zetny

Parce que c'est plus rassurant un logiciel fermé ? Cette porte dérobée, même découverte par hasard, permet justement de prouver la confiance qu'on peut avoir dans les logiciels libres.
Il y a déjà eu des backdoor sur des produits privateurs et il y en aura encore. des salariés (ou des sous-traitants) payés par un tiers pour ce genre d’actions est possible.

L’intérêt d’avoir le code source a permis d’enquêter rapidement pendant un week-end où beaucoup de gens dans le monde ne travaillaient pas.

Libarchive aussi impacté en partie a été integré à windows 11 récemment. Donc logiciel fermé ne veut pas dire sans code libre.

Sans compter les dev qui repompent du code sans vérification sur stackoverflow (et maintenant chatgpt & co), code qui peut très bien intégrer ce genre de saleté.
SebGF Abonné
Le 02/04/2024 à 22h59

Zetny

Parce que c'est plus rassurant un logiciel fermé ? Cette porte dérobée, même découverte par hasard, permet justement de prouver la confiance qu'on peut avoir dans les logiciels libres.
C'est même encore pire dans un logiciel aux sources fermées.

Nombre d'ERP du marché sont des passoires au socle technique obsolète reposant sur des libs open source pas spécialement à jour. Avec derrière un support que tu payes un fortune et qui est au mieux inutile. Ou alors ayant des interfaces de communication à la ramasse en matière de sécurisation. Ce qui leur "sauve" la mise c'est le fait qu'ils sont souvent prévus pour une installation on-premise donc en imaginant que la sécurité par les firewall c'est suffisant.

Le plus drôle, c'est quand ces vieux monolithes se "cloudifient" sans reconstruire leur produit en ce sens.
Modifié le 02/04/2024 à 23h00

Historique des modifications :

Posté le 02/04/2024 à 22h59


C'est même encore pire dans un logiciel aux sources fermées.

Nombre d'ERP du marché sont des passoires au socle technique obsolète reposant sur des libs open source pas spécialement à jour. Avec derrière un support que tu payes un fortune et qui est au mieux inutile. Ou alors ayant des interfaces de communication à la ramasse en matière de sécurisation.

Le plus drôle, c'est quand ces vieux monolithes se "cloudifient" sans reconstruire leur produit en ce sens.

el_cuisto Abonné
Le 04/04/2024 à 20h08

SebGF

C'est même encore pire dans un logiciel aux sources fermées.

Nombre d'ERP du marché sont des passoires au socle technique obsolète reposant sur des libs open source pas spécialement à jour. Avec derrière un support que tu payes un fortune et qui est au mieux inutile. Ou alors ayant des interfaces de communication à la ramasse en matière de sécurisation. Ce qui leur "sauve" la mise c'est le fait qu'ils sont souvent prévus pour une installation on-premise donc en imaginant que la sécurité par les firewall c'est suffisant.

Le plus drôle, c'est quand ces vieux monolithes se "cloudifient" sans reconstruire leur produit en ce sens.
C'est amusant, j'ai l'impression que tu parles aussi de Jira :mrgreen:
Log4j 1 encore il n'y a pas longtemps, des failles découvertes fréquemment, et le cloud poussé à l'extrême...
potn Abonné
Le 03/04/2024 à 08h19

Zetny

Parce que c'est plus rassurant un logiciel fermé ? Cette porte dérobée, même découverte par hasard, permet justement de prouver la confiance qu'on peut avoir dans les logiciels libres.
Pour certains, les logiciels fermés sont plus rassurants parce que tu mets ta confiance dans un éditeur et non dans une personne.
grsbdl Abonné
Le 02/04/2024 à 17h44
Je ne vois pas en quoi il en résulterait une perte de confiance dans l'opensource. C'est justement sa composante ouverte qui a permis de confirmer la faille. Alors que sur du closed-source, le problème serait peut-être resté discret incroyablement longtemps.
Ce qu'il faut en retenir, je pense, c'est que le monde du libre reste extrêmement fragile et peu soutenu. Hélas, les déconvenues s'enchaînent, et pas grand chose ne change. Les devs libristes et/ou open source restent vus et traités comme de bons petits travailleurs corvéable à souhait, et gratos. Et les gens trouvent ça normal, pourvu que ça leur permet des économies de bout de chandelle.
On va aussi voir les premières critiques contre son dev originel. Mais voilà, comme j'aime à le rappeler : folks who contribute nothing don't get a seat at the table. Faut pas critiquer si on ne fait rien.
potn Abonné
Le 03/04/2024 à 08h18

grsbdl

Je ne vois pas en quoi il en résulterait une perte de confiance dans l'opensource. C'est justement sa composante ouverte qui a permis de confirmer la faille. Alors que sur du closed-source, le problème serait peut-être resté discret incroyablement longtemps.
Ce qu'il faut en retenir, je pense, c'est que le monde du libre reste extrêmement fragile et peu soutenu. Hélas, les déconvenues s'enchaînent, et pas grand chose ne change. Les devs libristes et/ou open source restent vus et traités comme de bons petits travailleurs corvéable à souhait, et gratos. Et les gens trouvent ça normal, pourvu que ça leur permet des économies de bout de chandelle.
On va aussi voir les premières critiques contre son dev originel. Mais voilà, comme j'aime à le rappeler : folks who contribute nothing don't get a seat at the table. Faut pas critiquer si on ne fait rien.
Il y a toujours des gens pour trouver des arguments contre le libre. En l'occurrence, dans ce cas précis, un argument serait de dire que dans les logiciels fermés, comme ils sont fournis par un éditeur, tout est question de confiance dans l'éditeur, alors qu'ici c'est dans une "personne" que tu mets ta confiance.

Perso, je suis pour le libre, et c'est pour ça que la perte de confiance dans le libre que cette affaire peut provoquer me désole. 😔
Wosgien Abonné
Le 02/04/2024 à 18h13
Trop tard, et depuis des années... BSD a eu sa backdoor via le serveur mail, Linux via sudo...

Plusieurs années pour les découvrir - donc pas vraiment mieux que sur du proprio.
Stéphane Bortzmeyer Abonné
Le 04/04/2024 à 11h22

Wosgien

Trop tard, et depuis des années... BSD a eu sa backdoor via le serveur mail, Linux via sudo...

Plusieurs années pour les découvrir - donc pas vraiment mieux que sur du proprio.
Référence ? Une porte dérobée, c'est quand c'est mis volontairement et je ne me souviens pas d'un cas documenté pour sudo.
Wosgien Abonné
Le 04/04/2024 à 19h00

Stéphane Bortzmeyer

Référence ? Une porte dérobée, c'est quand c'est mis volontairement et je ne me souviens pas d'un cas documenté pour sudo.
Effectivement, dans les cas de sudo et bsd, ce ne sont que des présomptions...
Mais des failles exploitables pendant plusieurs années en bidouillant un mail ou via la ligne de commande, c'est très louche.
Winderly Abonné
Le 02/04/2024 à 19h33
Il faut déjà avoir la version spécifique contaminée, ce qui est loin d'être évident.
eglyn Abonné
Le 02/04/2024 à 16h44
Je suis tombé sur ça ce matin... Flippant que la découverte soit le fruit d'un pur hasard...

Un gros scan de toute l'infra a été fait, on n'est pas touché, c'est le principal :D

Mais il existe du coup peut-être des portes dérobées dans d'autres paquets qui elles, n 'ont pas eu la chance d'être trouvées...

Il faut effectivement revoir le processus de validation, surtout sur un paquet présent sur absolument toutes les distributions Linux....

DikVin Abonné
Le 02/04/2024 à 16h50
À moins d'installer des alphas partout il est improbable d'être touché par cette vulnérabilité....
eglyn Abonné
Le 02/04/2024 à 16h53

DikVin

À moins d'installer des alphas partout il est improbable d'être touché par cette vulnérabilité....
On préférait être sûr vu la tronche du CVE :p
al_bebert
Le 02/04/2024 à 16h59

DikVin

À moins d'installer des alphas partout il est improbable d'être touché par cette vulnérabilité....
ba si la backdoor n'avaient pas été découverte, dans quelques temps elle aurait été présente dans toutes les distro y compris celle qui ne sont pas en rolling. donc le potentiel est énorme.

bilbonsacquet Abonné
Le 02/04/2024 à 18h02

al_bebert

ba si la backdoor n'avaient pas été découverte, dans quelques temps elle aurait été présente dans toutes les distro y compris celle qui ne sont pas en rolling. donc le potentiel est énorme.

Il (ou ils ?) ont demandé l’inclusion dans le kernel linux…

Kernel linux = des milliards de périphériques à risque (serveurs linux, android, azure & co…)
Uther Abonné
Le 03/04/2024 à 08h57

bilbonsacquet

Il (ou ils ?) ont demandé l’inclusion dans le kernel linux…

Kernel linux = des milliards de périphériques à risque (serveurs linux, android, azure & co…)
Pas besoin que ça soit dans le kernel Linux. Une backdoor dans OpenSSH touche déjà bien plus de machine intéressantes pour les pirates.
Quasiment tous ce qui permet le contrôle à distance par un technicien utilise OpenSSH aussi bien sous Linux, BSD, Mac et même possiblement Windows depuis quelques années. C'est à dire que presque tout serveurs et même une bonne partie des machines connectées auraient pu être compromis.
jotak Abonné
Le 03/04/2024 à 09h05

Uther

Pas besoin que ça soit dans le kernel Linux. Une backdoor dans OpenSSH touche déjà bien plus de machine intéressantes pour les pirates.
Quasiment tous ce qui permet le contrôle à distance par un technicien utilise OpenSSH aussi bien sous Linux, BSD, Mac et même possiblement Windows depuis quelques années. C'est à dire que presque tout serveurs et même une bonne partie des machines connectées auraient pu être compromis.
En l'occurrence l'attaque réduisait intentionnellement la portée aux .deb et .rpm, certainement pour éviter aux hackers d'avoir à "gérer" trop de familles *nix. Il faut voir que si pour une raison x ou y le build génère des problèmes non anticipés (par exemple car non testé sur un système donné par le hacker) ça risque de mettre tout son travail de sape à l'eau.
Stéphane Bortzmeyer Abonné
Le 04/04/2024 à 11h23

DikVin

À moins d'installer des alphas partout il est improbable d'être touché par cette vulnérabilité....
Si on utilise des "rolling releases" (Arch Linux, Debian sid, Fedora rawhide), on a été touché.
DikVin Abonné
Le 04/04/2024 à 20h41

Stéphane Bortzmeyer

Si on utilise des "rolling releases" (Arch Linux, Debian sid, Fedora rawhide), on a été touché.
Debian SID est considéré comme une Alpha.

Fedora RawHide est le précurseur des Alphas Fedora.

Donc oui tu as raison mais lorsqu'on utilise ce genre de distrib on doit mesurer les risques.

Et c'est bien pour ça qu'elles existent aussi!
Modifié le 04/04/2024 à 20h41

Historique des modifications :

Posté le 04/04/2024 à 20h41


Debian SID est considéré comme une Alpha.

Fedora RawHide est le précurseur des Alphas Fedora.

Donc oui tu as raison mais lorsqu'on utilise ce genre de distrib on est doit mesurer les risques.

Et c'est bien pour ça qu'elles existent aussi!

ggyom Abonné
Le 02/04/2024 à 18h12
Mais il existe du coup peut-être des portes dérobées dans d'autres paquets qui elles, n 'ont pas eu la chance d'être trouvées...

C'est ce que j'appelle, pour marquer les esprits, le « principe des bébés congelés » : dans la mesure où l'on fouille rarement dans les congélateurs de tierces personnes, pour chaque affaire de bébé congelé trouvé, il faut se dire qu'il y en a cent ou mille qui ne seront jamais trouvés.
jotak Abonné
Le 02/04/2024 à 23h17
Mais il existe du coup peut-être des portes dérobées dans d'autres paquets qui elles, n 'ont pas eu la chance d'être trouvées...


Il faut voir qu'une backdoor exploitée est aussi plus visible car l'exploitation laisse des traces, lève des alarmes etc. ce qui braque tout de suite les regards vers les composants susceptibles d'être compromis. Donc oui il y a certainement d'autres backdoors actives, mais a priori elles finissent par être repérées (à moins d'être dormantes / non exploitées), c'est une traque sans fin.
atchisson Abonné
Le 02/04/2024 à 16h52
Ne lancez surtout pas la commande xz –version contrairement à ce qu'indique l'article, si vous avez la version infectée, vous allez probablement installer la backdoor sur votre machine. Passez par votre gestionnaire de paquet.
alex.d. Abonné
Le 02/04/2024 à 17h49
Ça ne marche pas du tout comme ça. Le code concerné est une bibliothèque (la liblzma), appelée dans plein de contextes différents. La backdoor est installée dès que la lib est installée ; il n'y a pas besoin d'autre action de l'utilisateur. Et même pire : la backdoor n'est effective que dans un daemon (en particulier sshd) et ne s'active pas dans les outils lancés en interactif. Bref, tu n'as visiblement pas compris son fonctionnement.
atchisson Abonné
Le 02/04/2024 à 18h04

alex.d.

Ça ne marche pas du tout comme ça. Le code concerné est une bibliothèque (la liblzma), appelée dans plein de contextes différents. La backdoor est installée dès que la lib est installée ; il n'y a pas besoin d'autre action de l'utilisateur. Et même pire : la backdoor n'est effective que dans un daemon (en particulier sshd) et ne s'active pas dans les outils lancés en interactif. Bref, tu n'as visiblement pas compris son fonctionnement.
Effectivement, j'ai lu en diagonal et réagi à chaud.

Toujours est-il qu'inviter à lancer un exécutable potentiellement infecté, c'est plus que moyen.
alex.d. Abonné
Le 02/04/2024 à 18h23

atchisson

Effectivement, j'ai lu en diagonal et réagi à chaud.

Toujours est-il qu'inviter à lancer un exécutable potentiellement infecté, c'est plus que moyen.
Non, lancer xz --version n'appelle aucune partie du code contaminé.
bilbonsacquet Abonné
Le 02/04/2024 à 18h34

alex.d.

Non, lancer xz --version n'appelle aucune partie du code contaminé.
Ça, on le sait depuis que la backdoor a été analysée par des expert⋅e⋅s (merci à ces personnes !)

Mais effectivement, le principe à l'origine était de ne pas lancer la commande même avec un débogueur.

Par contre, ne pas lancer xz, c'est compliqué vu que c'est pas mal utilisé par les logiciels (soit via la lib, soit via l’exécutable) sur ma distro, j'ai une vingtaine de dépendances pour xz dont bind, grub, systemd, libxml2…)
Modifié le 02/04/2024 à 21h00

Historique des modifications :

Posté le 02/04/2024 à 18h34


Ça, on le sait depuis que la backdoor a été analysée par des expert⋅e⋅s (merci à ces personnes !)

Mais effectivement, le principe à l'origine était de ne pas lancer la commande même avec un débugguer.

Par contre, ne pas lancer xz, c'est compliqué vu que c'est pas mal utilisé par les logiciels (soit via la lib, soit via l’exécutable) sur ma distro, j'ai une vingtaine de dépendances pour xz dont bond, grub, systemd, libxml2…)

Posté le 02/04/2024 à 18h35


Ça, on le sait depuis que la backdoor a été analysée par des expert⋅e⋅s (merci à ces personnes !)

Mais effectivement, le principe à l'origine était de ne pas lancer la commande même avec un débogueur.

Par contre, ne pas lancer xz, c'est compliqué vu que c'est pas mal utilisé par les logiciels (soit via la lib, soit via l’exécutable) sur ma distro, j'ai une vingtaine de dépendances pour xz dont bind, grub, systemd, libxml2…)

alex.d. Abonné
Le 02/04/2024 à 19h34

bilbonsacquet

Ça, on le sait depuis que la backdoor a été analysée par des expert⋅e⋅s (merci à ces personnes !)

Mais effectivement, le principe à l'origine était de ne pas lancer la commande même avec un débogueur.

Par contre, ne pas lancer xz, c'est compliqué vu que c'est pas mal utilisé par les logiciels (soit via la lib, soit via l’exécutable) sur ma distro, j'ai une vingtaine de dépendances pour xz dont bind, grub, systemd, libxml2…)
C'est d'ailleurs de là que vient la faille : sshd n'a pas de dépendance directe sur liblzma, mais seulement sur systemd, qui lui dépend de liblzma.
Jarodd Abonné
Le 02/04/2024 à 17h42
Aujourd’hui, le sentiment général qui se dégage des analyses est que Jia Tan n’existe pas et qu’il s’agit du travail d’un groupe soutenu par un État.


C'est clairement un coup de Microsoft ! Ça cible l'image de Linux, le gars qui a trouvé ça est "uningénieur travaillant comme développeur chez Microsoft". L'injection de la backdoor s'est faite sur Github, rachetée par... Microsoft il y a quelques années. Le coup était prévu depuis 2018, pas seulement 2 ans.
alex.d. Abonné
Le 02/04/2024 à 17h50
Si ça n'avait pas été intercepté à temps, la backdoor aurait aussi fini par être présente dans WSL.
Jean_G Abonné
Le 02/04/2024 à 18h57

alex.d.

Si ça n'avait pas été intercepté à temps, la backdoor aurait aussi fini par être présente dans WSL.
Sur WSL, on est passé sur... 5.6.1 ! Mais pas de panique, il s'agit d'une version spéciale. En réalité, il s'agit de la version 5.4.5-1. Ouf...

2024-04-01 12:22:29 status installed xz-utils:amd64 5.6.1+really5.4.5-1
Modifié le 02/04/2024 à 18h57

Historique des modifications :

Posté le 02/04/2024 à 18h57


Sur WSL, on est passé sur... 5.6.1 ! Mais pas de panique, il s'agit d'une version spéciale. En réalité, il s'agit de la version 5.4.5-1. Ouf...


2024-04-01 12:22:29 status installed xz-utils:amd64 5.6.1+really5.4.5-1

fdorin Abonné
Le 02/04/2024 à 20h08

Jean_G

Sur WSL, on est passé sur... 5.6.1 ! Mais pas de panique, il s'agit d'une version spéciale. En réalité, il s'agit de la version 5.4.5-1. Ouf...

2024-04-01 12:22:29 status installed xz-utils:amd64 5.6.1+really5.4.5-1
Ce n'est pas propre à WSL. C'est le choix d'Ubuntu.

Et ça se comprend : cela permet d'éviter de devoir downgrader des paquets qui auraient comme dépendance une des versions infectées.
fdorin Abonné
Le 02/04/2024 à 19h53
J'ai du mal à voir si ce commentaire est ironique ou non.
Arcy Abonné
Le 02/04/2024 à 18h40
XZ Utils ...

A une lettre près et le développeur se serait attaqué à Nicky Larson. :transpi:
Sinon le hasard fait quelque fois bien les choses et la curiosité à du bon :)
Modifié le 02/04/2024 à 18h40

Historique des modifications :

Posté le 02/04/2024 à 18h40


XZ Utils ...

A une lettre près et le développeur ce serait attaqué à Nicky Larson. :transpi:
Sinon le hasard fait quelque fois bien les choses et la curiosité à du bon :)

fred42 Abonné
Le 02/04/2024 à 18h55
il semblerait plutôt que le développeur réside dans un pays d’Europe de l’Est.


C'est donc un Chinois du FSB ! :D
Spitfire90 Abonné
Le 02/04/2024 à 21h10
Je ne sais pas si cela a déjà été fait dans le passé, mais personnellement je trouve cela vraiment malin d'avoir caché le code malicieux dans les fichiers de tests et de le lire au moment de la compilation.
Je ne sais pas trop comment se passent les audits de sécurité de code, mais je ne suis pas sûr que la partie "tests" soit analysée aussi scrupuleusement que la partie du code principal.
jotak Abonné
Le 02/04/2024 à 23h24
d'autant que ce n'est pas le code de test qui est incriminé, mais les fichiers data, donc encore moins le genre de truc qu'on va auditer scrupuleusement (du moins jusqu'à aujourd'hui)
anagrys Abonné
Le 04/04/2024 à 11h51
c'est précisément ce que je me suis dit en lisant l'article : la plupart des outils d'analyse de vulnérabilités se basent sur le code source, parfois sur le comportement du package. Mais l'attaque d'un module par la bande (parce-que là c'est OpenSSH qui est visé), je ne vois pas comment ça serait possible de la repérer, même par des outils de SCA...
Mihashi Abonné
Le 03/04/2024 à 01h01
N'empêche, les mecs doivent être sacrément verts de voir au moins 2 ans de boulot minutieux partir en fumée au moment où ça allait commencer à devenir intéressant 🤭.
IfYouPlease
Le 03/04/2024 à 08h23
Un loupé mais combien de réussites ?
f_p_ Abonné
Le 06/04/2024 à 09h46
Oui, clairement. Et on a bien senti sa fébrilité à enfin arriver à son but, lui qui a envoyé des courriels exprès pour demander que la nouvelle version vérolée soit intégrée au plus vite à toutes les distributions. Il s'est fait rattraper par la patrouille avant, mais sur ce coup on l'a échappé belle.
Cela va inciter à mieux analyser les paquetages eux-mêmes : tout paquetage dont l'exécution conduit à modifier le code source doit être considéré comme suspect.
WaffleOne Abonné
Le 03/04/2024 à 09h36
Je trouve quand même qu'il devrait y avoir une forme de soutient ou des personnes de chez Github et d'autres grosses entreprises qui devraient chercher à aider Lasse Collin pour son taff. Le gars à build un projet qui a une ampleur monumentale dans le cadre d'un "hobby" le tout bénévolement mais ça ça n'a pas l'air de toucher grand monde. Ça devrait lancer le débat sur l'aide que les grosses entreprises comme microsoft qui bénéficie financièrement de ce genre de projet devrait fournir aux petit développeur qui ont de vrais problèmes, plutôt que de parler de "perte de confiance dans l'opensource" qui n'est absolument pas pertinent dans ce cas.
Modifié le 03/04/2024 à 09h45

Historique des modifications :

Posté le 03/04/2024 à 09h36


Je trouve quand même qu'il devrait y avoir une forme de soutient ou des personnes de chez Github / Microsoft et d'autres grosses entreprises qui devraient chercher à aider Lasse Collin pour son taff. Le gars à build un projet qui a une ampleur monumentale dans le cadre d'un "hobby" le tout bénévolement mais ça ça n'a pas l'air de toucher grand monde. Ça devrait lancer le débat sur l'aide que les grosses entreprises comme microsoft qui bénéficie financièrement de ce genre de projet devrait fournir aux petit développeur qui ont de vrais problèmes, plutôt que de parler de "perte de confiance dans l'opensource" qui n'est absolument pas pertinent dans ce cas.

oliv5 Abonné
Le 03/04/2024 à 10h57
Heureusement, ca touche des gens, et certains qui sont en contact avec lui ont récemment publié de ses nouvelles (spoil: il va bien).

D'ailleurs, il n'est pas resté les bras croisé: il a corrigé une erreur introduite volontairement par Jia Tan ("CMake: Fix sabotaged Landlock sandbox check") directement dans le build de xz (pas ds les packages debian). Cf le post de fofo9012 ci-dessous.

Et oui, de grosse boites comme M$ devraient contribuer à ce genre de projet vitaux (ou bien les forker/ré-écrire). Mais j'ai donc peu d'espoir...
WaffleOne Abonné
Le 03/04/2024 à 14h50

oliv5

Heureusement, ca touche des gens, et certains qui sont en contact avec lui ont récemment publié de ses nouvelles (spoil: il va bien).

D'ailleurs, il n'est pas resté les bras croisé: il a corrigé une erreur introduite volontairement par Jia Tan ("CMake: Fix sabotaged Landlock sandbox check") directement dans le build de xz (pas ds les packages debian). Cf le post de fofo9012 ci-dessous.

Et oui, de grosse boites comme M$ devraient contribuer à ce genre de projet vitaux (ou bien les forker/ré-écrire). Mais j'ai donc peu d'espoir...
J'avais les infos sur sa situation vu que j'ai check le post mastodon et on ne sait pas si la raison pour laquelle il avait des problèmes de santé mentale était à cause du projet mais je pense qu'avec un peu de reconnaissance financière des big corps ça aurait peut être pu l'aider un peu à tenir le coup
Okki Abonné
Le 03/04/2024 à 12h18
jotak Abonné
Le 03/04/2024 à 18h26
Après Heartbleed l'industrie avait lancé la CII pour financer des projets open-source, mais ils se sont focalisé sur les projets directement liés à la sécurité (Heartbleed / openssl ayant focalisé l'attention).

Là, on voit bien qu'il faut une approche différente. Les attaquants ont certainement cherché des cibles du style "la petite lib d'xkcd", ie. le petit truc utilisé massivement (dont par certains packaging de sshd, cœur du problème ici) mais maintenu par un hobbyiste plus ou moins démotivé. C'est exactement ce genre de shortlist que l'industrie doit aussi faire de son côté: identifier toutes ces libs peu maintenues mais très utilisées. Et peut-être redonner vie à la CII...
fofo9012 Abonné
Le 03/04/2024 à 09h38
Le github a été fermé mais, le git d'origine est toujours dispo : https://git.tukaani.org/?p=xz.git;a=shortlog;h=refs/heads/master, y'a même le changelog : :)



XZ Utils Release Notes
======================
+5.6.1 (2024-03-09)
[...]
+ * Minor improvements to tests.

Modifié le 03/04/2024 à 09h39

Historique des modifications :

Posté le 03/04/2024 à 09h38


Le github a été fermé mais, le git d'origine est toujours dispo : https://git.tukaani.org/?p=xz.git;a=shortlog;h=refs/heads/master, y'a même le changelog : :)



XZ Utils Release Notes
======================

+5.6.1 (2024-03-09)
[...]
+ * Minor improvements to tests.

fofo9012 Abonné
Le 03/04/2024 à 23h46
la complexité du truc est folle :
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
https://tukaani.org/xz-backdoor/

c'est assez impressionnant que personne n'ait encore complètement compris les impacts.

Ma compréhension lecture : toute distrib à base (indirecte) de debian (dont ubuntu et dérivéssssss...) ou redhat (et dérivésssss... dont centos qu'on trouve partout dans tout cloud) aurait exécuté sans broncher une "charge" reçue depuis un port SSH ouvert. Ensuite c'est openbar : exécution de tout et n'importe quoi !!!

Ce qui fait peur c'est que xz, c'est le "zip du libre" (gz > bzip2 > lzma > xz), y'en a partout : le noyau linux ou android c'est +/- par défaut, dans Windows WHSL... donc techniquement n'importe quel truc utilisant XZ et accessible de l'extérieur pourrait exécuter une charge ! :eeek2:
Modifié le 03/04/2024 à 23h48

Historique des modifications :

Posté le 03/04/2024 à 23h46


la complexité du truc est folle :
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
https://tukaani.org/xz-backdoor/

c'est assez impressionnant que personne n'ait encore complètement compris les impacts.

Ma compréhension lecture : toute distrib à base (indirecte) de debian (dont ubuntu et dérivéssssss...) ou redhat (et dérivésssss... dont centos qu'on trouve partout dans tout cloud) aurait exécuté sans broncher une "charge" reçue depuis un port SSH ouvert. Ensuite c'est openbar : exécution de tout et n'importe quoi !!!

Ce qui fait peur c'est que xz, c'est le "zip du libre" (gz > bzip2 > lzma > xz), y'en a partout : le noyau linux ou android c'est +/- par défaut, dans Windows WHSL... donc techniquement n'importe quel truc utilisant XZ et accessible de l'xtérieur pourrait exécuter une charge ! :eeek2:

Posté le 03/04/2024 à 23h47


la complexité du truc est folle :
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
https://tukaani.org/xz-backdoor/

c'est assez impressionnant que personne n'ait encore complètement compris les impacts.

Ma compréhension lecture : toute distrib à base (indirecte) de debian (dont ubuntu et dérivéssssss...) ou redhat (et dérivésssss... dont centos qu'on trouve partout dans tout cloud) aurait exécuté sans broncher une "charge" reçue depuis un port SSH ouvert. Ensuite c'est openbar : exécution de tout et n'importe quoi !!!

Ce qui fait peur c'est que xz, c'est le "zip du libre" (gz > bzip2 > lzma > xz), y'en a partout : le noyau linux ou android c'est +/- par défaut, dans Windows WHSL... donc techniquement n'importe quel truc utilisant XZ et accessible de l'xtérieur pourrait exécuter une charge ! :eeek2:

jeff.110 Abonné
Le 05/04/2024 à 22h21
Qu'est devenu le "développeur originel fatigué" ?

Avec ce niveau de sophistication, on peut maintenant se demander si sa "fatigue" est arrivée par hasard.
Il a pourrait tout aussi bien être victime d'une attaque par le vecteur social ou autre, afin de permettre l'introduction du "contributeur" "jia tan" comme personne de confiance aux yeux de la communauté.

Valeryan_24 Abonné
Le 05/04/2024 à 22h57
Il a mis à jour cette semaine sa page sur xz, avec quelques 1ers détails :

https://tukaani.org/xz-backdoor/
Modifié le 05/04/2024 à 22h57

Historique des modifications :

Posté le 05/04/2024 à 22h57


Il a mis à jour cette semaine sa page sur xz, avec quelques 1ers détails :

https://tukaani.org/xz-backdoor/

Fermer