Alerte de sécurité urgente pour les utilisateurs de Fedora Linux 40 et Fedora Rawhide

Aucune version de Red Hat Enterprise Linux (RHEL) n'est affectée par cette CVE.

Mise à jour le 30 mars 2024 : nous avons découvert que la version bêta de Fedora Linux 40 contient deux versions affectées des bibliothèques xz : xz-libs-5.6.0-1.fc40.x86_64.rpm et xz-libs-5.6.0-2.fc40.x86_64.rpm. Pour le moment, la distribution Fedora Linux 40 ne semble pas affectée par cette vulnérabilité aux logiciels malveillants, mais nous encourageons tous les utilisateurs de la version bêta de Fedora Linux 40 à revenir aux versions 5.4.x.

Note de la rédaction : cet article a été mis à jour pour présenter plus clairement les versions affectées de Fedora Linux et proposer des méthodes supplémentaires de réduction des risques.

Hier, les équipes Red Hat Information Risk and Security et Product Security ont appris que les versions récentes des outils et bibliothèques « xz » contiennent du code malveillant qui semble destiné à permettre un accès non autorisé.Plus précisément, ce code est présent dans les versions 5.6.0 et 5.6.1 des bibliothèques. Les utilisateurs de Fedora Linux 40 peuvent disposer actuellement de la version 5.6.0 selon la date de mise à jour du système. Les utilisateurs de Fedora Rawhide peuvent disposer actuellement de la version 5.6.0 ou 5.6.1. Cette vulnérabilité a été appelée CVE-2024-3094.

VEUILLEZ ARRÊTER IMMÉDIATEMENT D'UTILISER DES INSTANCES DE FEDORA RAWHIDE à des fins professionnelles ou personnelles. Fedora Rawhide reviendra bientôt aux versions xz-5.4.x. Une fois cette opération effectuée, les instances de Fedora Rawhide pourront être redéployées en toute sécurité. Veuillez noter que Fedora Rawhide est la distribution de développement de Fedora Linux et sert de base aux futures versions de Fedora Linux (en l'occurrence, Fedora Linux 41, qui n'a pas encore été publiée).

À ce jour, il ne semble pas que les versions de Fedora Linux 40 soient compromises. Nous pensons que l'injection de code malveillant n'a pas eu d'effet sur ces versions. Toutefois, pour plus de sécurité, nous conseillons aux utilisateurs de Fedora Linux 40 de revenir à la version 5.4 du logiciel. Une mise à jour qui rétablit la version 5.4.x de xz a récemment été publiée et est accessible aux utilisateurs de Fedora Linux 40 via le processus habituel de mise à jour. Les utilisateurs concernés peuvent forcer la mise à jour en suivant les instructions disponibles à l'adresse https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266.

Mise à jour le 30 mars 2024 : nous avons découvert que la version bêta de Fedora Linux 40 contient deux versions affectées des bibliothèques xz : xz-libs-5.6.0-1.fc40.x86_64.rpm et xz-libs-5.6.0-2.fc40.x86_64.rpm. Pour le moment, la distribution Fedora Linux 40 ne semble pas affectée par cette vulnérabilité aux logiciels malveillants, mais nous encourageons tous les utilisateurs de la version bêta de Fedora Linux 40 à revenir aux versions 5.4.x.

Description de xz

xz est un format de compression de données à usage général disponible dans presque toutes les distributions Linux, à la fois dans les projets communautaires et dans les distributions de produits commerciaux. Il permet de compresser (puis de décompresser) les formats de fichier volumineux en formats plus petits et faciles à gérer pour les partager via des transferts de fichiers.

Description du code malveillant

L'injection malveillante présente dans les versions 5.6.0 et 5.6.1 des bibliothèques xz est brouillée et n'est incluse en intégralité que dans le paquet à télécharger. La distribution Git n'inclut pas la macro M4 qui déclenche l'exécution du code malveillant. Les artefacts de deuxième étape sont présents dans le référentiel Git dans le but d'être injectés pendant la compilation en cas de présence de la macro M4 malveillante.

La compilation malveillante qui en résulte perturbe l'authentification dans le démon sshd via systemd.SSH est un protocole couramment utilisé pour se connecter à distance à des systèmes et sshd est le service qui autorise l'accès.Si les conditions sont réunies, cette interférence pourrait permettre à une personne malveillante de casser l'authentification sshd et d'accéder à distance à l'ensemble du système de manière non autorisée.

Distributions affectées par ce code malveillant

L'analyse actuelle indique que les paquets ne sont présents que dans Fedora 40 et Fedora Rawhide au sein de l'écosystème communautaire de Red Hat.

Des rapports et des preuves attestent d'injections dans des versions 5.6.x de xz conçues pour Debian unstable (Sid). D'autres distributions peuvent également être affectées. Les utilisateurs d'autres distributions doivent demander conseil à leurs distributeurs.

Mesures à prendre si votre distribution est affectée

Arrêtez immédiatement d'utiliser Fedora 40 ou Fedora Rawhide dans le cadre de vos activités personnelles et professionnelles jusqu'à ce que vous puissiez revenir à une version antérieure de xz. Si vous utilisez une distribution affectée au sein d'une entreprise, nous vous encourageons à contacter votre équipe de sécurité informatique pour connaître la procédure à suivre.

En outre, pour tous les utilisateurs qui exécutent des distributions openSUSE, SUSE a publié une procédure pour revenir à une version antérieure : https://build.opensuse.org/request/show/1163302.