Se connecter
Se connecter
Inscription
Mot de passe perdu
Connexion:
[Actualités]
Test The Bridge Curse 2 : The Extrication (PS5)
[Actualités]
Google révolutionne Maps, Earth et Waze grâce à Gemini : une avalanche de nou...
[Actualités]
Le directeur des logiciels de Rivian déclare que l'utilisation de boutons dans ...
[Actualités]
Le télescope Euclid « Dark Universe » dévoile une fenêtre époustouflante d...
[Actualités]
iPhone 17 : début de la production de milliers d'appareils en Inde
[Actualités]
Amazon reporte Alexa 2.0 avec IA à 2025
[Actualités]
Le service de streaming Nintendo Music annoncé pour iOS et Android
[Actualités]
Test Mind Seize (PS5)
[Actualités]
Ubisoft lance le tout premier jeu blockchain, avec des NFT coûtant jusqu'à 64 ...
[Actualités]
Apple annonce la sortie de nouveaux MacBook Pro M4 le 8 novembre
[Articles]
Super Mario Party Jamboree
[Articles]
The Bridge Curse 2 : The Extrication
[Articles]
Fund Insight : ODDO BHF AM Artificial Intelligence
[Articles]
28 % des travailleurs dans le monde craignent l’impact de l’IA sur leur emploi
[Articles]
MindSeize
[Articles]
The Last Shot
[Articles]
Iron Meat
[Articles]
Devoteam et SecurityScorecard unissent leurs forces pour fournir des solutions d...
[Articles]
Plus d'un quart des scale-ups voient leur croissance ralentir en raison d'infras...
[Articles]
Embargo, nouveau rançongiciel, désactive les solutions de sécurité, selon un...
Actualités
Lettre d'information
Proposer une actualité
Archives
Actualités
Articles
Programmation
Press Release
Matériel
Logiciels
Livres
Interviews
Derniers commentaires
Jeux Vidéos
XBox One
XBox 360
Wii U
PSP
PS4
PS3
PC
DS
GameCube
3DS
Forum
Derniers messages
Informatique
Fun
Divers
Logithèque
Blogs
Divers
A Propos
Annonceurs
Contact
Recherche
RSS
Créer un nouveau sujet
forum_emoticons.html
[quote]Les ordinateurs Linux ont échappé de peu à une menace potentielle qui aurait compromis leur sécurité, mais ce n'est pas l'histoire habituelle d'une vulnérabilité corrigée. Non, il s'agit cette fois d'un hacker qui a fait semblant de se porter volontaire pendant 2 ans pour maintenir un composant du système d'exploitation, et d'un vrai bénévole qui a découvert le problème par hasard. Découvrons comment et ce que cela aurait entraîné, mais surtout les risques d'un système extrêmement vulnérable, qui n'investit pas dans le travail sur lequel reposent les serveurs des géants du Web . [b]Ce qui s'est passé[/b] Le 29 mars, une attaque contre le système Linux a été découverte, injectant du code malveillant dans le package XZ . Ce code modifie les fonctions de liblzma, qui est une bibliothèque de compression de données qui fait partie du package XZ Utils et est un élément essentiel de plusieurs distributions Linux majeures. Le package XZ Utils est un petit projet open source maintenu gratuitement par un développeur depuis au moins 2009, mais il est extrêmement important. En injectant ce code malveillant, le pirate a ouvert une porte dérobée qui pouvait être utilisée par n'importe quel logiciel connecté à la bibliothèque XZ et permettre l'interception et la modification des données utilisées avec la bibliothèque. Dans certaines conditions, cette porte dérobée pourrait permettre à un acteur malveillant de rompre l'authentification sshd , permettant ainsi à un agent attaquant d'accéder au système affecté. Nous parlons potentiellement de tous les ordinateurs et serveurs exécutant Linux dans le monde. Microsoft a mis en garde contre la vulnérabilité des distributions Linux concernées, qui incluent les versions 5.6.0 et 5.6.1 du package XZ Utils, et le Python Package Index (PuPI) a restreint la création de nouveaux comptes et la soumission de packages sur son portail. Marqué comme CVE-2024-3094 , l'exploit a reçu un score de vulnérabilité (CVSS) de 10,0, ce qui est le score de menace le plus élevé possible offert par le National Institute of Standards and Technology (NIST). Pour donner une idée de la gravité, comme l'écrit Ben Thompson dans Stratechery : « la plupart des ordinateurs du monde seraient vulnérables et personne ne le saurait ». Et encore une fois, Will Dormann, analyste principal des vulnérabilités chez la société de sécurité Analysgence, a déclaré à Ars Technica : « Si cela n'avait pas été découvert, cela aurait été catastrophique pour le monde . » [b]L’incroyable histoire de la vulnérabilité : comment elle a été découverte[/b] La découverte de cette vulnérabilité donne une idée de la fragilité du monde Linux. Le 29 mars, Andres Freund , un développeur Microsoft également bénévole pour PostgreSQL, effectue un micro-benchmark de routine lorsqu'il remarque un petit retard de 600 ms avec les processus ssh . Ceux-ci utilisent une quantité surprenante de CPU même s’ils échouent immédiatement. Il devient immédiatement méfiant et se souvient que quelques semaines plus tôt, il avait remarqué une " étrange plainte " d'un utilisateur de Postgres à propos de Valgrind, le programme Linux qui vérifie les erreurs de mémoire. Après enquête, Freund découvre finalement le problème et publie sa découverte sur la liste de diffusion de sécurité Open Source avec le titre "Une porte dérobée a été ouverte dans le référentiel xz et l'archive tar xz". Freund publie alors un article sur Mastodon , dans lequel il révèle à quel point la découverte a été complètement accidentelle : "Il a vraiment fallu beaucoup de coïncidences." [b]Une attaque prévue depuis deux ans, et ce n'est peut-être pas fini[/b] La communauté a alors tenté de comprendre ce qui s'était passé et il s'est avéré que le responsable était un développeur qui avait repris le projet XZ . Comme nous l'avons vu, XZ est maintenu par un seul développeur, Lasse Collin . En 2021 JiaT75 , Jia Tan, commence à envoyer des contributions au projet et par la suite deux développeurs, probablement fictifs, Kumar et Ens, commencent à se plaindre des faibles progrès du développement. Collins s'excuse en disant qu'il a des problèmes de santé mentale et, sur l'insistance de Kumar et Ens, confie à JiaT75 d'abord un rôle plus important et en 2022 la maintenance du projet. Jia Tan travaille depuis deux ans sur le package XZ, puis injecte le code malveillant pour ouvrir la porte dérobée. Mais étant donné les efforts et les ressources nécessaires, nombreux sont ceux qui, sur le Web, pensent que l'auteur du code malveillant est un attaquant sophistiqué, peut-être affilié à une agence d'État . La situation continue d'évoluer et d'autres vulnérabilités pourraient être découvertes . [b]Le problème du mainteneur[/b] L'incident et ses conséquences possibles sont un exemple de la beauté de l'open source et de sa vulnérabilité. Dans la pratique, de nombreux systèmes qui alimentent les serveurs d’organisations multimilliardaires sont entretenus gratuitement par des bénévoles. Un développeur derrière FFmpeg, un package multimédia open source populaire, a souligné le problème sur X , expliquant qu'il avait demandé à Microsoft de l'aider à maintenir le projet, mais qu'on lui avait proposé quelques milliers de dollars. Ces investissements ne sont pas considérés comme attractifs, même s’ils seraient probablement rentabilisés des milliers de fois au fil du temps. Les détails de cette attaque ont été découverts sans le soutien financier direct de nombreuses entreprises et organisations bénéficiant de ces bibliothèques. [b]Mon ordinateur est-il compromis ?[/b] Quelles distributions sont concernées ? Disons tout de suite que les versions stables de Debian Linux (comme Ubuntu) sont sûres, mais les versions de test, instables et expérimentales nécessitent des mises à jour de xz-utils en raison de packages compromis. Red Hat a identifié les packages vulnérables dans Fedora 41 et Fedora Rawhide , mais pas dans Red Hat Enterprise Linux (RHEL), et a déconseillé de les utiliser jusqu'à ce qu'une mise à jour soit disponible. SUSE a publié des mises à jour pour openSUSE (Tumbleweed ou MicroOS). Les utilisateurs de Kali Linux qui ont mis à jour leur système entre le 26 et le 29 mars doivent à nouveau mettre à jour pour obtenir un correctif, tandis que ceux qui ont mis à jour avant le 26 mars ne sont pas affectés par cette vulnérabilité. On se souvient que le package à risque est XZ Utils, versions 5.6.0 et 5.6.1, mais comment savoir si notre ordinateur est concerné ? Simple, vous pouvez connaître la version de XZ Utils en exécutant la commande en SSH : xz --version . Compte tenu de la complexité du système mis en œuvre, l’accent est principalement mis sur les entreprises ou les organisations. La Cybersecurity and Infrastructure Security Agency (CISA) a recommandé aux organisations de passer aux versions précédentes de XZ Utils . %news:source%: [url=news_item-37522.html]news_item-37522.html[/url] [/quote]
Ada
CSS
Cobol
CPP
HTML
Fortran
Java
JavaScript
Pascal
Perl
PHP
Python
SQL
VB
XML
Anon URL
DailyMotion
eBay
Flickr
FLV
Google Video
Google Maps
Metacafe
MP3
SeeqPod
Veoh
Yahoo Video
YouTube
6px
8px
10px
12px
14px
16px
18px
Informaticien.be
- © 2002-2024
Akretio
SPRL - Generated via
Kelare
The Akretio Network:
Akretio
-
Freedelity
-
KelCommerce
-
Votre publicité sur informaticien.be ?