Hello, Alarig Le Lay via frnog <frnog@frnog.org> wrote on 29/03/2024 at 23:42:41+0100:
> Bonsoir, > > C'est pas du système mais la faille me semble assez énorme pour en parler ici. > Les archives des releases 5.6.0 et 5.6.1 de xz / lzma sont compromises > et contiennent du code qui n'est pas dans le repo git, alors qu'elles > sont signées, cela veut donc dire qu'il y a une compromission de la > chaîne de publication/approvisionnement ou d'un dev. > En gros: c'est chaud. > > https://www.openwall.com/lists/oss-security/2024/03/29/4 > https://github.com/tukaani-project/xz/issues/92 > https://github.com/NixOS/nixpkgs/issues/300055 > > L'avantage c'est que les versions ne sont pas encore partout, elles > sont très récentes. Au niveau de l'implantation, les seuls systèmes ciblés par la tarball compromise sont ceux s'appuyant sur du .deb ou du rpm. Côté Debian, les deux versions ont hit unstable et testing. On a revert le paquet, et là on est en train d'assess pour refaire une partie de l'archive. Il semblerait (mais c'est à confirmer) que le payload ne fonctionnait que si le binaire l'important était sshd. Bref, le degré de galère reste à évaluer, mais peut-être qu'on aura quelques bonnes nouvelles. -- PEB
signature.asc
Description: PGP signature