💾 Archived View for nerv-project.eu › en › collectif › registres › announcements › 20240330_xz.gmi captured on 2024-05-10 at 11:03:02. Gemini links have been rewritten to link to archived content
-=-=-=-=-=-=-
By Kujiu
Le 30 Mar 2024 Ă 18:45
Le 29 mars 2024, Andres Freund, un développeur PostgreSQL, a découvert une porte dérobée dans l’outil de compression sans perte xz. Ce dernier est utilisé massivement sous Linux pour la gestion des paquets, la compression des images kernel, etc. Il est un outil indispensable du système d’exploitation et de son environnement. Par la suite, il est apparu que l’un des développeurs de xz, Jia Tan, a délibérement saboté xz et mis en place du code malveillant, selon des techniques perfectionnées. Une porte dérobée s’active a minima dans les conditions suivantes :
Même si toutes les conditions ne sont pas remplies, le serveur de Nerv Project ASBL utilisait la version 5.6.1. D’autres cas d’exécution du code malicieux peuvent ne pas avoir été découverts aujourd’hui. Dès lors, et au vu de la criticité de la faille, nous avons considéré notre serveur comme compromis et nous agissons comme si la porte dérobée avait été utilisée. Nous n’avons aucune preuve qu’elle l’ait été, mais nous n’avons pas non plus un moyen fiable pour être certain de l’absence d’intrusion.
Le serveur a été mis à jour le 29 mars 2024 et rebooté peu de temps après avoir pris connaissance des faits et de leur gravité. La connection SSH nécessitant des cartes à puce, aucun vol de clé privé SSH permettant l’administration à distance n’a pu avoir lieu. Cependant, si un accès non autorisé a eu lieu, les données de tous les services hébergés par Nerv Project ASBL peuvent être compromis. Nous recommandons à tous nos usagers de changer leurs mots de passe sur toute notre plateforme.
Cela concerne les données :
Veuillez nous excuser pour la gêne occasionnée. Faites attention à vous, les données volées peuvent servir à falsifier des identités ou à des arnaques et escroqueries plus réalistes. Nous restons joignables pour toute question complémentaire.
Déclaration de confidentialité
Nerv Project ASBL - BCE 0756.741.342 - TVA BE0756741342 - KBR Éditeur 15066 - IBAN BE02751210684040 - BIC AXABBE22.
Licensed under EUPL 1.2
Créé avec Sphinx.