#1 Le 06/04/2024, à 03:34
- idioteidiote
xz Utils : a t'on évité une infection mondiale ?
Un article en anglais explique qu'un code sournois avait été inséré dans un update - non diffusé - pour xz Utils, outil de compression très répandu.
Il visait Fedora, Red Hat et Debian.
Qui a eu le nez creux pour le détecter ? Un testeur chez Microsoft...
article (en anglais) complet ici :
https://arstechnica.com/security/2024/0 … the-world/
:-(
Dernière modification par idioteidiote (Le 06/04/2024, à 03:35)
Fan des Acer Aspire One et de PC anciens pour leur donner une deuxième vie avec Ubuntu.
Hors ligne
#2 Le 06/04/2024, à 03:37
- krodelabestiole
Re : xz Utils : a t'on évité une infection mondiale ?
Un testeur chez Microsoft...
encore heureux : le logiciel est distribué par eux, sur github.
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
En ligne
#3 Le 06/04/2024, à 03:38
- idioteidiote
Re : xz Utils : a t'on évité une infection mondiale ?
idioteidiote a écrit :Un testeur chez Microsoft...
encore heureux : le logiciel est distribué par eux, sur github.
https://cdn.arstechnica.net/wp-content/ … scaled.jpg
vicieux... très vicieux
Fan des Acer Aspire One et de PC anciens pour leur donner une deuxième vie avec Ubuntu.
Hors ligne
#4 Le 06/04/2024, à 08:13
- iznobe
Re : xz Utils : a t'on évité une infection mondiale ?
idioteidiote a écrit :Un testeur chez Microsoft...
encore heureux : le logiciel est distribué par eux, sur github.
Bonjour , super , ils ramenent leurs sal....ries dans le monde libre , manquait plus que ca !!!
retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .
Hors ligne
#5 Le 06/04/2024, à 08:56
- JBF
Re : xz Utils : a t'on évité une infection mondiale ?
Des liens en français sur linuxfr.org :
https://linuxfr.org/users/ytterbium/jou … -compromis
https://linuxfr.org/news/xz-et-liblzma- … -deux-mois
LibreOffice : https://fr.libreoffice.org/ (téléchargement, documentation, FAQ, assistance, contribuer, ...)
Aide pour LibreOffice par la communauté francophone : Ask LibreOffice
Hors ligne
#6 Le 06/04/2024, à 08:58
- JBF
Re : xz Utils : a t'on évité une infection mondiale ?
krodelabestiole a écrit :idioteidiote a écrit :Un testeur chez Microsoft...
encore heureux : le logiciel est distribué par eux, sur github.
Bonjour , super , ils ramenent leurs sal....ries dans le monde libre , manquait plus que ca !!!
Ici ce n'est pas le cas et github n'y est pour rien.
LibreOffice : https://fr.libreoffice.org/ (téléchargement, documentation, FAQ, assistance, contribuer, ...)
Aide pour LibreOffice par la communauté francophone : Ask LibreOffice
Hors ligne
#7 Le 06/04/2024, à 08:59
- JBF
Re : xz Utils : a t'on évité une infection mondiale ?
Ma réponse à la question du titre est : oui, probablement.
LibreOffice : https://fr.libreoffice.org/ (téléchargement, documentation, FAQ, assistance, contribuer, ...)
Aide pour LibreOffice par la communauté francophone : Ask LibreOffice
Hors ligne
#8 Le 06/04/2024, à 09:07
- geole
Re : xz Utils : a t'on évité une infection mondiale ?
Toujours se méfier des outils sans valeur ajoutée.
Quel est l'intéret d'utiliser la compression alors que c'est devenu basique. Toutes les vidéos sont comprimées par les logiciels de vidéos, idem pour les photos.
De plus le logiciel microsoft compresse naturellement sans intervention et tôt ou tard ubuntu fera pareil dans les partitions EXT4. C'est déja possible dans les partitions BTRFS et standard dans les partitions ZFS.
Donc à part consommer de l'énergie.......pour compresser les fichiers de 512 Bytes.
note que la diffusion a eu lieu sur ubuntu version 24.04 mais qu'elle a été rapidement "contrée" voir les discutions dédièes à cette pre-version.
Dernière modification par geole (Le 06/04/2024, à 09:15)
Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit, utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248
En ligne
#9 Le 06/04/2024, à 09:11
- JBF
Re : xz Utils : a t'on évité une infection mondiale ?
Il ne s'agit pas ici de compresser des vidéos ou des images, mais, entre autres, de construire des paquets deb ou rpm.
LibreOffice : https://fr.libreoffice.org/ (téléchargement, documentation, FAQ, assistance, contribuer, ...)
Aide pour LibreOffice par la communauté francophone : Ask LibreOffice
Hors ligne
#10 Le 06/04/2024, à 09:22
- Nuliel
Re : xz Utils : a t'on évité une infection mondiale ?
Bonjour,
Microsoft n'y est pour rien par rapport à github: github contient énormément de code, et ce n'est pas à eux d'aller auditer tout ce code. Surtout qu'il y a énormément de projets abandonnés dessus.
Le problème est toujours le même: il n'y a pas assez de bénévoles pour chaque projet, et la plupart des entreprises utilisent ces programmes sans rien leur apporter (ni financièrement, ni en participant au développement).
Là c'est bien pire qu'une vuln qui traîne dans un projet géré par quelques bénévoles (log4j par exemple) vu que la vuln dans xz est intentionnelle.
Il suffit de regarder ce qu'a fait Microsoft il y a moins d'un mois pour voir que la situation n'est pas prête de changer: https://korben.info/ffmpeg-microsoft-ch … ource.html
Pour info xz est utilisé par de nombreux logiciels. Et ce genre de programme c'est loin, trèèèèèèèèèèèèèèèès loin d'être basique.
Dernière modification par Nuliel (Le 06/04/2024, à 09:24)
Hors ligne
#11 Le 06/04/2024, à 09:32
- iznobe
Re : xz Utils : a t'on évité une infection mondiale ?
Il suffit de regarder ce qu'a fait Microsoft il y a moins d'un mois pour voir que la situation n'est pas prête de changer: https://korben.info/ffmpeg-microsoft-ch … ource.html
bien fait pour leur pomme ( sans jeux de mots ) , si j' avais les capacités de ceux qui bossent sur les codecs , pour la peine je serais 3 fois plus exigeant , et Microsoft aura pas la choix que de cracher car ils sont pris à la gorge et l' ont bien montré a tout le monde vu leur réaction justement ca leur servira de leçon j ' espere .
retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .
Hors ligne
#12 Le 06/04/2024, à 12:51
- krodelabestiole
Re : xz Utils : a t'on évité une infection mondiale ?
Microsoft n'y est pour rien par rapport à github: github contient énormément de code, et ce n'est pas à eux d'aller auditer tout ce code.
au contraire, je pense qu'en tant qu'hébergeur de ce code, et de ces programmes compilés, ils ont une grosse responsabilité (qu'ils ont accepté d'assumer en rachetant github). c'est en tout cas comme ça que la loi s'applique pour le reste du monde.
et pour le coup ils ont visiblement bien réagi (ça a l'air même plus propre que ce qui se passe sur snapcraft !)
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
En ligne
#13 Le 06/04/2024, à 12:58
- krodelabestiole
Re : xz Utils : a t'on évité une infection mondiale ?
Bonjour , super , ils ramenent leurs sal....ries dans le monde libre , manquait plus que ca !!!
techniquement ce sont les plus gros contributeurs du libre actuellement, et du noyau linux aussi (et depuis un moment).
le plus important soutien au logiciel libre aujourd'hui c'est microsoft. voir leur apport financier à la linux foundation, les contributions réelles de leurs employés au développement du noyau, leur rachat de github, etc.
et ce sont loin d'être la seule grosse compagnie moralement questionable impliquée dans l'orientation et le développement de linux (cliquer ici sur board of directors, tencent, qualcomm, meta c'est facebook, ... - il n'y a plus que red-hat qui fait du linux, et c'est ibm).
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
En ligne
#14 Le 06/04/2024, à 13:05
- iznobe
Re : xz Utils : a t'on évité une infection mondiale ?
... on est mal barré alors . ca s' annonce plutôt mal pour le libre sur le long therme du coup .
Forcément ils vont trouver des moyens pour prendre le controle tot ou tard . quelle bonne idée d' avoir laisser entrer le loup dans la bergerie
Dernière modification par iznobe (Le 06/04/2024, à 13:06)
retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .
Hors ligne
#15 Le 06/04/2024, à 13:08
- xubu1957
Re : xz Utils : a t'on évité une infection mondiale ?
Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci. Membre de Linux-Azur
En ligne
#16 Le 06/04/2024, à 13:20
- berserk
Re : xz Utils : a t'on évité une infection mondiale ?
Hors ligne
#17 Le 06/04/2024, à 13:42
- krodelabestiole
Re : xz Utils : a t'on évité une infection mondiale ?
ok, donc ce n'est pas du tout dans le cadre d'un travail chez github que la backdoor a été repérée, c'est plutôt inquiétant.
ça montre aussi bien l'intérêt d'utiliser des versions éprouvées des logiciels (grâce à debian ou ubuntu stable par ex.) plutôt que déployer en permanence les dernières sorties avec des distros au taquet ou de testing comme arch et dérivées, en particulier pour des serveurs, ou des machines sensibles.
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
En ligne
#18 Le 06/04/2024, à 14:04
- iznobe
Re : xz Utils : a t'on évité une infection mondiale ?
ok, donc ce n'est pas du tout dans le cadre d'un travail chez github que la backdoor a été repérée, c'est plutôt inquiétant.
ça montre aussi bien l'intérêt d'utiliser des versions éprouvées des logiciels (grâce à debian ou ubuntu stable par ex.) plutôt que déployer en permanence les dernières sorties avec des distros au taquet ou de testing comme arch et dérivées, en particulier pour des serveurs, ou des machines sensible
+1
c' est bien pour ca que debian a toujours eu une forte part sur les serveurs . beaucoup de monde a deja compris ca .
cela dis , ca n' empeche pas qu ' un gros poisson peut toujours passer à travers les mailles du filet . ( evidemment ca reste rare )
la preuve , ca c' est joué a rien il y a quelques jours ...
retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .
Hors ligne
#19 Le 06/04/2024, à 14:40
- geole
Re : xz Utils : a t'on évité une infection mondiale ?
cela dis , ca n' empeche pas qu ' un gros poisson peut toujours passer à travers les mailles du filet . ( evidemment ca reste rare )
la preuve , ca c' est joué a rien il y a quelques jours ...
Tout cela parce le poisson consommait trop de processeur. S'il avait su ne pas surconsommer lorsqu'il s'est mis à fonctionner, il passait certainement inaperçu.
Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit, utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248
En ligne
#20 Le 06/04/2024, à 14:47
- iznobe
Re : xz Utils : a t'on évité une infection mondiale ?
c' etait pas de la conso CPU :
Andres Freund, développeur chez Microsoft, est en train de faire des tests pour améliorer le logiciel sur lequel il travaille (postgres). Il découvre que depuis qu'il a fait des mises à jour, la connexion sécurisée (ssh) prend 500 milllisecondes de plus qu'avant.
Mais bon ...
retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .
Hors ligne
#21 Le 06/04/2024, à 14:57
- krodelabestiole
Re : xz Utils : a t'on évité une infection mondiale ?
le truc aurait de toute façon fini par être détecté, quand exploité. mais ça aurait pu faire énormément de dégâts effectivement.
un organisme d'europe de l'est ou moyen-orient (d'après l'étude sur la temporalité du boulot) aurait eu les moyens de la nsa pendant une certaine période : open bar général sur tous les serveurs reliés à internet.
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
En ligne
#22 Le 06/04/2024, à 17:31
- bruno
Re : xz Utils : a t'on évité une infection mondiale ?
@iznobe: c'est bien la consommation de CPU qui a alerté, cf. https://mastodon.social/@AndresFreundTe … 6142695845
ça montre aussi bien l'intérêt d'utiliser des versions éprouvées des logiciels (grâce à debian ou ubuntu stable par ex.)
Sauf que Ubuntu allait sortir en fin de mois avec une version compromise de xz puisque le paquet provenait de Debian testing…
Il faut évidemment utiliser des version stables et éprouvées mais ce n'est pas une garantie contre toutes les failles de sécurité.
Par exemple, une faille assez importante dans l’implémentation HTTP/2 de la plupart des serveurs web mais qui heureusement ne semble pas exploitée. Les paquets Debian apache2 avec la mise à jour de sécurité seront proposés la semaine prochaine, pour Ubuntu pas d'infos pour le moment.
#23 Le 06/04/2024, à 17:43
- JBF
Re : xz Utils : a t'on évité une infection mondiale ?
Sauf que Ubuntu allait sortir en fin de mois avec une version compromise de xz puisque le paquet provenait de Debian testing…
Le pirate a essayé le 28 mars, donc la veille du jour où la porte dérobée a été révélée, de convaincre Ubuntu d'intégrer la version piégée de xz dans la prochaine LTS. Sans succès : https://bugs.launchpad.net/ubuntu/+sour … ug/2059417
LibreOffice : https://fr.libreoffice.org/ (téléchargement, documentation, FAQ, assistance, contribuer, ...)
Aide pour LibreOffice par la communauté francophone : Ask LibreOffice
Hors ligne
#24 Le 06/04/2024, à 17:59
- geole
Re : xz Utils : a t'on évité une infection mondiale ?
Pourquoi ce bug
https://code.launchpad.net/ubuntu/+source/xz-utils
contient cette phrase
To fork this repository and propose fixes from there, push to this repository:
git push git+ssh://geole0@git.launchpad.net/~geole0/ubuntu/+source/xz-utils BRANCHNAME
To fork this repository and propose fixes from there, push to this repository:
git push git+ssh://geole0@git.launchpad.net/~geole0/ubuntu/+source/xz-utils BRANCHNAME
C est quand même très proche de mon identification
OpenID login: https://launchpad.net/~geole0
Dernière modification par geole (Le 06/04/2024, à 18:25)
Les grilles de l'installateur https://doc.ubuntu-fr.org/tutoriel/inst … _subiquity
"gedit admin:///etc/fstab" est proscrit, utilisez "pkexec env DISPLAY=$DISPLAY XAUTHORITY=$XAUTHORITY xdg-open /etc/fstab" Voir https://doc.ubuntu-fr.org/gedit
Les partitions EXT4 des disques externes => https://forum.ubuntu-fr.org/viewtopic.p … #p22697248
En ligne
#25 Le 06/04/2024, à 18:09
- jplemoine
Re : xz Utils : a t'on évité une infection mondiale ?
En fait, c'est parce que tu es connecté avec ton utilisateur...
Si je me connecte :
Get this repository:
git clone https://git.launchpad.net/ubuntu/+source/xz-utils
git clone git+ssh://untoutseul05@git.launchpad.net/ubuntu/+source/xz-utils
Si je me déconnecte :
Get this repository:
git clone https://git.launchpad.net/ubuntu/+source/xz-utils
Members of git-ubuntu import can upload to this repository. Log in for directions.
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Déconnecté jusqu’à nouvel ordre
Hors ligne