Attention ! Vulnérabilité découverte dans les utilitaires XZ utilisés par de nombreuses distributions Linux (CVE-2024-3094)

 Attention ! Une faille de sécurité a été découverte dans XZ Utilities, les utilitaires de compression au format XZ inclus dans la plupart des distributions Linux, pouvant "permettre à un acteur malveillant de contourner l'authentification sshd et de gagner un accès non autorisé à l'ensemble du système à distance", met en garde Red Hat.

La cause de la vulnérabilité est en fait un code malveillant présent dans les versions 5.6.0 (publiée fin février) et 5.6.1 (publiée le 9 mars) des bibliothèques xz, découvert accidentellement par Andres Freund, un développeur de PostgreSQL et ingénieur logiciel chez Microsoft.

"Après avoir observé quelques symptômes étranges autour de liblzma (une partie du paquet xz) sur les installations de Debian sid ces dernières semaines (connexions ssh consommant beaucoup de CPU, erreurs valgrind), j'ai compris la réponse : Le dépôt xz amont et les archives xz ont été piégés", a-t-il partagé via la liste de diffusion oss-security.

Selon Red Hat, l'injection malveillante dans les versions vulnérables des bibliothèques est obfusquée et incluse uniquement dans le package de téléchargement. "La distribution Git ne contient pas la macro M4 qui déclenche la construction du code malveillant. Les artefacts de la deuxième étape sont présents dans le référentiel Git pour l'injection pendant le temps de construction, au cas où la macro M4 malveillante serait présente", ont-ils ajouté. "La construction malveillante résultante interfère avec l'authentification dans sshd via systemd."

Le script malveillant dans les archives tar est obfusqué, tout comme les fichiers contenant la majeure partie de l'exploit, il est donc probable que ce ne soit pas un accident.

"Heureusement, les versions 5.6.0 et 5.6.1 de xz n'ont pas encore été largement intégrées par les distributions Linux, et là où elles l'ont été, principalement dans des versions préliminaires", a commenté Freund.

Red Hat indique que les paquets vulnérables sont présents dans Fedora 41 et Fedora Rawhide, et a exhorté les utilisateurs de ces distributions à cesser immédiatement de les utiliser. SUSE a publié une solution pour les utilisateurs d'openSUSE. Debian indique que les versions stables de la distribution ne sont pas concernées, mais que des paquets compromis faisaient partie des distributions testing, unstable et experimental de Debian, et les utilisateurs de ces distributions doivent mettre à jour les paquets xz-utils.

"Cette faille critique dans les dernières versions des bibliothèques xz montre à quel point il est important d'avoir une équipe de sécurité Linux vigilante et expérimentée surveillant les canaux d'approvisionnement en logiciels", a déclaré Vincent Danen, vice-président, Sécurité des produits chez Red Hat.

"CISA a conseillé aux développeurs et aux utilisateurs de rétrograder XZ Utils vers une version non compromise (par exemple, XZ Utils 5.4.6 Stable) et de rechercher toute activité malveillante et de signaler toute découverte positive à l'agence."

MISE À JOUR : Vendredi 29 mars, 15h06 HE

Kali Linux a annoncé que l'impact de cette vulnérabilité a affecté Kali entre le 26 mars et le 29 mars. Si vous avez mis à jour votre installation de Kali le 26 mars ou après, il est crucial d'appliquer les dernières mises à jour aujourd'hui pour résoudre ce problème. Cependant, si vous n'avez pas mis à jour votre installation de Kali avant le 26 mars, vous n'êtes pas affecté par cette vulnérabilité de porte dérobée.

#SécuritéInformatique #Linux #Vulnérabilité #XZUtils #RedHat #SUSE #Debian #KaliLinux