Arch Linux

Le paquet xz contient une porte dérobée

30 mars 2024 - FoolEcho

Mettez à niveau vos systèmes et vos images de conteneurs dès maintenant !

Comme beaucoup d’entre vous l’ont peut-être déjà lu (une), les archives tar de la version en amont de xz dans les versions 5.6.0 et 5.6.1 contiennent du code malveillant qui ajoute une porte dérobée.

Cette vulnérabilité est suivie dans le tracker de sécurité Arch Linux (deux).

Les paquets xz antérieurs à la version 5.6.1-2 (en particulier 5.6.0-1 et 5.6.1-1) contiennent cette porte dérobée.

Les artefacts de version suivants contiennent le xz compromis :

• support d’installation 2024.03.01
• images de machines virtuelles 20240301.218094 et 20240315.221711
• images de conteneurs créées entre le 2024-02-24 et le 2024-03-28 inclus

Les artefacts de version concernés ont été supprimés de nos miroirs.

Nous vous déconseillons fortement d’utiliser les artefacts de version concernés et de télécharger à la place la dernière version actuellement disponible !

Mise à jour du système

Il est fortement conseillé d’effectuer immédiatement une mise à niveau complète du système si la version xz 5.6.0-1 ou 5.6.1-1 est actuellement installée sur votre système :

pacman -Syu

Mise à jour des images de conteneur

Pour savoir si vous utilisez une image de conteneur concernée, utilisez soit

podman image history archlinux/archlinux

ou

docker image history archlinux/archlinux

selon que vous utilisez podman ou docker.

Toute image de conteneur Arch Linux antérieure à 2024-03-29 et plus jeune que 2024-02-24 est touchée.

Lancez soit

podman image pull archlinux/archlinux

ou

docker image pull archlinux/archlinux

pour mettre à niveau les images de conteneurs concernées vers la version la plus récente.

Assurez-vous ensuite de reconstruire toutes les images de conteneurs en fonction des versions concernées et d’inspecter également tous les conteneurs en cours d’exécution !

Concernant le contournement de l’authentification sshd/l’exécution de code

Extrait du rapport en amont (un) :

openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma.

(traduit de l’anglais) openssh n’utilise pas directement liblzma. Cependant, Debian et plusieurs autres distributions corrigent openssh pour prendre en charge la notification systemd, et libsystemd dépend de lzma.

Arch ne relie pas directement openssh à liblzma, et ce vecteur d’attaque n’est donc pas possible. Vous pouvez le confirmer en exécutant la commande suivante :

ldd "$(command -v sshd)"

Cependant, par prudence, nous conseillons aux utilisateurs de supprimer le code malveillant de leur système en effectuant une mise à niveau dans un sens ou dans l’autre. En effet, d’autres méthodes encore à découvrir pour exploiter la porte dérobée pourraient exister.

Article original (en)