Red Hat met en garde contre les portes dérobées dans les outils XZ utilisés par la plupart des distributions Linux

Aujourd’hui, Red Hat a averti les utilisateurs de cesser immédiatement d’utiliser des systèmes exécutant des versions de développement de Fedora en raison d’une porte dérobée trouvée dans les derniers outils et bibliothèques de compression de données XZ Utils.

« VEUILLEZ CESSER IMMÉDIATEMENT D’UTILISER DES INSTANCES FEDORA 41 OU FEDORA RAWHIDE pour le travail ou une activité personnelle », a averti Red Hat vendredi.

« Aucune version de Red Hat Enterprise Linux (RHEL) n’est affectée. Nous avons des rapports et des preuves de la construction réussie des injections dans xz 5.6.versions x construites pour Debian instable (Sid). »

Les développeurs Debian ont également émis un avis de sécurité avertissant les utilisateurs du problème. L’avis indique qu’aucune version stable de Debian n’utilise les paquets compromis et que XZ est revenu au code amont 5.4.5 sur les distributions Debian testing, unstable et experimental affectées.

L’ingénieur logiciel Microsoft Andres Freund a découvert la porte dérobée en analysant un problème de performances Postgres sur une machine Linux exécutant Debian Sid (la version de développement continue de la distribution Debian).

Il a déclaré qu’il n’avait pas trouvé le but exact du code malveillant ajouté aux versions 5.6.0 et 5.6.1 de XZ au cours du dernier mois.

« Je n’ai pas encore analysé précisément ce qui est vérifié dans le code injecté, pour permettre un accès non autorisé », a déclaré Freund. « Puisque cela s’exécute dans un contexte de pré-authentification, il semble probable qu’il autorise une certaine forme d’accès ou une autre forme d’exécution de code à distance. »

Interesting how this backdoor can lead to an sshd compromise.

"openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma."

— Will Dormann (@wdormann) March 29, 2024

Red Hat revient à XZ 5.4.x dans la version bêta de Fedora
Red Hat suit désormais cette vulnérabilité de sécurité de la chaîne logistique sous la référence CVE-2024-3094, lui a attribué un score de gravité critique de 10/10 et est revenu à 5.4.versions x de XZ dans la version bêta de Fedora 40.

Le code malveillant est obscurci et ne peut être trouvé que dans le package de téléchargement complet, pas dans la distribution Git, qui n’a pas la macro M4, qui déclenche le processus de construction de la porte dérobée.

Si la macro malveillante est présente, les artefacts de deuxième étape trouvés dans le référentiel Git sont injectés pendant la construction.

« La version malveillante résultante interfère avec l’authentification dans sshd via systemd. SSH est un protocole couramment utilisé pour se connecter à distance aux systèmes, et sshd est le service qui permet l’accès », a déclaré Red Hat.

« Dans les bonnes circonstances, cette interférence pourrait potentiellement permettre à un acteur malveillant de rompre l’authentification sshd et d’obtenir un accès non autorisé à l’ensemble du système à distance. »

CISA a également publié aujourd’hui un avis avertissant les développeurs et les utilisateurs de passer à une version sans compromis (c’est-à-dire 5.4.6 Stable) et de rechercher toute activité malveillante ou suspecte sur leurs systèmes.