• [^] # Re: Debian?!?

    Posté par . En réponse au journal Xz (liblzma) compromis. Évalué à 9.

    Honnêtement, je ne voulais pas "crâner", mais juste préciser que seule unstable est touchée (le titre induit en erreur sur ce point).

    Tu noteras notamment ces éléments dans mon message:

    Oui, je sais, c'est mal de laisser les autres essuyer les merdes :)
    ...
    Ceci dit, je suis surpris que Debian ne construise pas ses paquets à partir du repo, justement

    Je pensais ces éléments explicites sur le fait que je n'incendie pas l'auteur de xz, et que je ne considère pas Debian comme toute blanche pour cette vulnérabilité, j'ai manifestement manqué d'insistance.

    Je plains sincèrement l'auteur de xz, qui se retrouve a nouveau seul, et en plus il est fort probable qu'il se fasse aussi attaquer indirectement, genre "bouh, t'as pas fait ton taf de vérif ce que les contribs[...]".

    Je sais que Debian a son lot de problème. D'ailleurs, celui-ci en est aussi un, du moins, il semblerait que ce soit à cause de patch pour supporter systemd que sshd est compromis, et systemd dépends de xz (mais! dpkg aussi, qui est au coeur du système. Pas d'accès réseau, cela dit, mais ça reste dangereux, ce genre de trucs peut probablement avoir des conséquences non voulues (y compris par l'auteur du malware).
    Non, ce n'est pas la faute de systemd (je le dis clairement, trolldi c'était hier, et si on précise pas, ça risque de partir en sucette ce type d'élément) mais: «openssh does not directly use liblzma. However debian and several other distributions patch openssh to support systemd notification, and libsystemd does depend on lzma».

    Du coup, j'en déduit qu'un openssh non patché, vanilla, comme je pourrais supposer que Archlinux (bleeding edge, pour le coup) utilise (il paraît qu'ils ne patchent pas après tout?) n'est pas affectée.

    Je ne sais pas si cette backdoor peut avoir d'autres points d'entrée?