Skip to main content
Seb's blog
logo PassionGNU/Linux

news.opensuse.org: openSUSE répond à une attaque de la chaîne d'approvisionnement contre la bibliothèque de compression xz / openSUSE addresses supply chain attack against xz compression library

gtw

Les responsables d’openSUSE ont reçu une notification d’une attaque de la chaîne d’approvisionnement contre l’outil de compression “xz” et la bibliothèque “liblzma5”.

Contexte

Le chercheur en sécurité Andres Freund a signalé à Debian que la bibliothèque xz/liblzma avait été détournée.

Cette porte dérobée a été introduite dans le projet github xz en amont avec version 5.6.0 en février 2024.

Notre distribution continue openSUSE Tumbleweed et openSUSE MicroOS inclus cette version entre le 7 et le 28 mars.

SUSE Linux Enterprise et Leap sont construits indépendamment d’openSUSE. Le code, les fonctionnalités et les caractéristiques de Tumbleweed ne sont pas automatiquement introduit dans SUSE Linux Enterprise et/ou Leap. Il a été établi que le fichier malveillant introduit dans Tumbleweed n’est pas présent dans SUSE Linux Enterprise et/ou Leap.

Impact

Les recherches actuelles indiquent que la porte dérobée est active dans le démon SSH, permettre à des acteurs malveillants d’accéder aux systèmes auxquels SSH est exposé l’Internet.

Au 29 mars, l’ingénierie inverse de la porte dérobée était toujours en cours.

Atténuations

Les responsables d’openSUSE ont annulé la version de xz sur Tumbleweed le 28 mars et a publié un nouvel instantané de Tumbleweed (20240328 ou version ultérieure) qui a été créé à partir d’une sauvegarde sécurisée.

La version inversée est versionnée 5.6.1.revertto5.4 et peut être interrogé avec rpm -q liblzma5.

Recommandation de l’utilisateur

Pour nos utilisateurs openSUSE Tumbleweed où SSH est exposé à Internet nous vous recommandons d’installer une nouvelle version, car on ne sait pas si la porte dérobée a été exploitée. En raison de la nature sophistiquée de la porte dérobée, un la détection d’une violation sur le système n’est probablement pas possible. Rotation également de toutes les informations d’identification qui auraient pu être récupérées depuis le Le système est fortement recommandé. Sinon, mettez simplement à jour vers openSUSE Tumbleweed 20240328 ou version ultérieure et redémarrez le système.

Commencer la discussion: Venez écrire un commentaire dans le forum.