Bonjour,

Source de la dépêche sur le site de Red Hat (reprise sur 9 to 5 Linux) :

https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

Traduction rapide : "VEUILLEZ ARRÊTER IMMÉDIATEMENT L’UTILISATION DE TOUTES INSTANCES FEDORA RAWHIDE à des fins professionnelles ou personnelles. Fedora Rawhide sera prochainement rétabli à xz-5.4.x, et une fois cela fait, les instances de Fedora Rawhide pourront être redéployées en toute sécurité. Notez que Fedora Rawhide est la distribution de développement de Fedora Linux et sert de base aux futures versions de Fedora Linux (dans ce cas, Fedora Linux 41, qui n’a pas encore été publiée).

Pour le moment, il n’a pas été démontré que les versions de Fedora Linux 40 étaient compromises. Nous pensons que l’injection de code malveillant n’a pas pris effet dans ces versions. Cependant, les utilisateurs de Fedora Linux 40 doivent toujours passer à une version 5.4 pour plus de sécurité. Une mise à jour qui ramène xz à la version 5.4.x a été récemment publiée et devient disponible pour les utilisateurs de Fedora Linux 40 via le système de mise à jour normal. Les utilisateurs concernés peuvent forcer la mise à jour en suivant les instructions sur https://bodhi.fedoraproject.org/updates/FEDORA-2024-d02c7bb266."

Certains aspects de l’info peuvent surprendre : Rawhide sur un ordinateur de production ?

Ce que j’en sais, c’est que pour Ubuntu 24.04 par exemple, beaucoup d’utilisateurs se servent de l’image Alpha, puis Beta actuellement, en bare metal voir usage quotidienbien avant la sortie.

Peut-être est-ce le cas pour Fedora 40…

En revenir aux bases, ni une Alpha ni une Beta ne doivent être installées comme “daily driver”.

Sur ma Fedora 40 workstation mise à jour à partir de testing j’ai actullement la version suivante:

xz-5.4.6-3.fc40.x86_64
xz-devel-5.4.6-3.fc40.x86_64
xz-libs-5.4.6-3.fc40.x86_64

Dans dnf history je retrouve la transaction suivante qui a eu lieu hier ven. 29 mars 2024 à 19:59:16

Upgrade  xz-1:5.4.6-3.fc40.x86_64                                          @updates-testing
Upgraded xz-5.6.0-3.fc40.x86_64                                            @@System
Upgrade  xz-devel-1:5.4.6-3.fc40.x86_64                                    @updates-testing
Upgraded xz-devel-5.6.0-3.fc40.x86_64                                      @@System
Upgrade  xz-libs-1:5.4.6-3.fc40.x86_64                                     @updates-testing
Upgraded xz-libs-5.6.0-3.fc40.x86_64                                       @@System

Il y a donc eu un downgrade pour supprimer la 5.6.0-3 et revenir à la 5.4.6-3.

didierg a renommé le titre en Alerte Red Hat : code malveillant sur F. Rawhide, potentiellement sur F. 40 le .
23 jours plus tard

Sinon, quelqu’un a des nouvelles concernant le développeur qui a introduit volontairement ( c’est ce qui semblerait ) cette backdoor ? Qu’est-ce que l’on risque pour avoir introduit volontairement une backdoor dans un logiciel libre ? Existe t-il des lois qui encadrent le sujet ?

    nikau Existe t-il des lois qui encadrent le sujet ?

    En France en tous cas oui: maintien frauduleux sur un système de traitement de données, voir code pénal. Demande à Xavier Niel, il connait la question.