💾 Archived View for nerv-project.eu › en › collectif › registres › announcements › 20240330_xz.gmi captured on 2024-05-10 at 11:03:02. Gemini links have been rewritten to link to archived content

View Raw

More Information

-=-=-=-=-=-=-

By Kujiu

Le 30 Mar 2024 Ă  18:45

Incident GDPR - Communication au public

Le 29 mars 2024, Andres Freund, un développeur PostgreSQL, a découvert une porte dérobée dans l’outil de compression sans perte xz. Ce dernier est utilisé massivement sous Linux pour la gestion des paquets, la compression des images kernel, etc. Il est un outil indispensable du système d’exploitation et de son environnement. Par la suite, il est apparu que l’un des développeurs de xz, Jia Tan, a délibérement saboté xz et mis en place du code malveillant, selon des techniques perfectionnées. Une porte dérobée s’active a minima dans les conditions suivantes :

Même si toutes les conditions ne sont pas remplies, le serveur de Nerv Project ASBL utilisait la version 5.6.1. D’autres cas d’exécution du code malicieux peuvent ne pas avoir été découverts aujourd’hui. Dès lors, et au vu de la criticité de la faille, nous avons considéré notre serveur comme compromis et nous agissons comme si la porte dérobée avait été utilisée. Nous n’avons aucune preuve qu’elle l’ait été, mais nous n’avons pas non plus un moyen fiable pour être certain de l’absence d’intrusion.

Le serveur a été mis à jour le 29 mars 2024 et rebooté peu de temps après avoir pris connaissance des faits et de leur gravité. La connection SSH nécessitant des cartes à puce, aucun vol de clé privé SSH permettant l’administration à distance n’a pu avoir lieu. Cependant, si un accès non autorisé a eu lieu, les données de tous les services hébergés par Nerv Project ASBL peuvent être compromis. Nous recommandons à tous nos usagers de changer leurs mots de passe sur toute notre plateforme.

Cela concerne les données :

Veuillez nous excuser pour la gêne occasionnée. Faites attention à vous, les données volées peuvent servir à falsifier des identités ou à des arnaques et escroqueries plus réalistes. Nous restons joignables pour toute question complémentaire.

Blog menu

Authors

All

Kujiu

PtitGNU

Springouille

Locations

All

Braine-l'Alleud

Languages

All

Categories

All

AG

Accueil

Actualité

Administration

Audit

Comptes

Contributeurs

Documentation

Fiction

GDPR

La Victoire des Grelots

One shots

Outils

SĂ©ries

All posts

All posts

Tags

Tags

Menu

Accueil

Nerv Project

Histoire

Organisation

Missions

Risques

Technologie

Outils

Sphinx StoryMaker

Sphinx StudioWriter

Publications

SĂ©ries

One shots

Le collectif

Covid 19

Ressources

Contributeurs

Mentions légales

Droit d'auteur

Déclaration d'accessibilité

Déclaration de confidentialité

Contact

Statuts

Règlement

Registres

Comptabilité

Historique

Abonnez-vous !

Nerv Project ASBL - BCE 0756.741.342 - TVA BE0756741342 - KBR Éditeur 15066 - IBAN BE02751210684040 - BIC AXABBE22.

Licensed under EUPL 1.2

Créé avec Sphinx.