Une faille de sécurité critique a récemment été découverte dans xz Utils, un utilitaire de compression courrament utilisé sur Linux. Cette backdoor, identifiée par le code CVE-2024-3094, pouvait permettre à des pirates informatiques d’accéder illégalement aux systèmes vulnérables. Si vous utilisez Linux, il est crucial de vérifier si vous êtes concerné et de mettre à jour votre système dès que possible.
Le 29 mars 2024, une backdoor a été découverte dans les versions 5.6.0 et 5.6.1 de xz Utils, un utilitaire de compression largement utilisé sur les systèmes Linux. Cette découverte a déclenché une alerte de sécurité majeure, car la backdoor permettait aux attaquants de contourner l’authentification SSH et d’obtenir un accès non autorisé aux machines vulnérables.
Découverte et réponse de la communauté
La backdoor a été découverte par Andres Freund, un développeur de Postgres travaillant chez Microsoft. Il a remarqué un comportement suspect lors de l’authentification SSH sur une installation Debian Sid et a rapidement identifié la source du problème.
La communauté Linux a réagi promptement à cette découverte. Des correctifs ont été publiés pour les versions affectées de xz Utils et les distributions Linux ont mis à jour leurs dépôts pour inclure ces correctifs.
Description technique de la faille
La backdoor était habilement cachée dans le code source de liblzma, une bibliothèque de compression utilisée par xz Utils. Elle exploitait une vulnérabilité de type « buffer overflow » pour exécuter du code arbitraire sur les systèmes affectés. L’attaque était particulièrement sournoise car elle ne nécessitait aucune interaction de l’utilisateur pour se propager.
Impact de la faille
L’impact potentiel de cette backdoor était immense. Étant donné la popularité de xz Utils, des millions de systèmes Linux étaient potentiellement vulnérables à travers le monde.
La découverte de la backdoor liblzma souligne l’importance de la sécurité logicielle et de la vigilance dans la communauté open source. Cette faille rappelle également que les logiciels populaires peuvent être des cibles de choix pour les attaquants.
Les attaquants auraient pu exploiter cette faille pour :
Accéder à des données sensibles
Installer des logiciels malveillants
Prendre le contrôle des systèmes
Lancer des attaques par déni de service (DoS)
Versions de xz Utils affectées :
5.6.0
5.6.1
Distributions Linux affectées :
Debian – Ubuntu – Fedora – Red Hat – SUSE – openSUSE – Alpine Linux – Gentoo – Arch Linux
Correctifs disponibles
Des correctifs ont été publiés pour les versions affectées de xz Utils. Vous pouvez mettre à jour votre système en utilisant les outils de gestion de paquets de votre distribution.
Voici quelques exemples de commandes pour mettre à jour votre système :
Debian
sudo apt update
sudo apt upgrade
Ubuntu
sudo apt update
sudo apt upgrade
Fedora
sudo dnf update
Red Hat
sudo yum update
SUSE
sudo zypper update
openSUSE
sudo zypper update
Alpine Linux
apk update
apk upgrade
Gentoo
emerge –sync
emerge -u world
Arch Linux
sudo pacman -Syu
Il est important de mettre à jour votre système dès que possible pour vous protéger de cette faille de sécurité.
leçons à tirer de cet incident
Importance des mises à jour : Il est crucial d’installer les mises à jour de sécurité dès qu’elles sont disponibles.
Utilisation de logiciels fiables : Privilégiez les logiciels provenant de sources fiables et ayant une bonne réputation.
Surveillance des systèmes : Surveillez attentivement vos systèmes pour détecter d’éventuelles intrusions.
Mise en place de mesures de sécurité : Adoptez une approche proactive en matière de sécurité en implémentant des mesures de protection adéquates.
Conclusion
La backdoor liblzma est un exemple frappant des risques liés aux failles de sécurité. Cet incident souligne l’importance d’une collaboration étroite entre les développeurs, les utilisateurs et les organisations de sécurité pour garantir la sécurité des systèmes Linux.
Ressources supplémentaires :
Page officielle de la faille sur le site web du NIST : https://nvd.nist.gov/vuln/detail/CVE-2024-3094
Agence nationale de la sécurité des systèmes d’information (ANSSI) : L’ANSSI est l’agence française de sécurité informatique. Vous pouvez trouver sur son site web des informations sur les dernières failles de sécurité et des conseils pour protéger vos systèmes. https://www.ssi.gouv.fr/
National Vulnerability Database (NVD) : Le NVD est une base de données américaine qui répertorie les vulnérabilités de sécurité connues. Vous pouvez trouver sur ce site web des informations détaillées sur la backdoor xz liblzma, y compris son score de gravité et les solutions disponibles. https://nvd.nist.gov/
Debian Security Advisories : La page de sécurité de Debian publie des avis sur les failles de sécurité affectant les distributions Debian. Vous pouvez trouver sur cette page un avis sur la backdoor xz liblzma et des instructions pour mettre à jour votre système. https://www.debian.org/security/
Red Hat Security Advisories : La page de sécurité de Red Hat publie des avis sur les failles de sécurité affectant les distributions Red Hat. Vous pouvez trouver sur cette page un avis sur la backdoor xz liblzma et des instructions pour mettre à jour votre système. https://access.redhat.com/security/updates/