🐧 #Linux#sécurité #malwares
Merde merde merde. C'est le truc auquel on avait échappé jusque là et que je craignais de voir arriver : Des packages malveillants dans les distributions Linux (Juste Arch pour le moment).
Je pense que nous n'en sommes qu'au début 🙁
https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/7EZTJXLIAQLARQNTMEW2HBWZYE626IFJ/
Discussion
Loading...
@sebsauvage On y avait pas vraiment échappé hein. Tu te souviens de l'ISO vérolée distribuée par Mint en 2016 ? De XZ l'an dernier ? De PyPi ? Du github de Gentoo ou encore de phalanx sur kernel.org ? Des chercheurs du Minnesota qui ont réussi à compromettre volontairement près de la moitié des projets auxquels ils ont contribué.
Ici c'est AUR donc le risque est donc encore plus élevé puisque tout repose sur un random. Et malheureusement ça ne va pas aller en s'arrangeant.
Ici c'est AUR donc le risque est donc encore plus élevé puisque tout repose sur un random. Et malheureusement ça ne va pas aller en s'arrangeant.
@DP0RSS1 oui c'est vrai.
@sebsauvage yavait eu xz
@sebsauvage Pas d'affolage. Ce ne sont pas des paquets certifiés donc l'utilisateur devrait savoir à quoi il s'attend. Toutes les distributions ont depuis toujours le risque des utilisateurs-administrateurs laxistes.
Centaines distributions devraient remettre en cause leurs paramètres implicites.
Centaines distributions devraient remettre en cause leurs paramètres implicites.
@sebsauvage
Le faut d'utiliser de plus en plus de packages faits par des utilisateurs, du type flatpak, snap ou appimage, va à mon avis augmenter ce risque fortement. Ça a qqs avantages (souplesse, rapidité et même qqs mécanismes de sécurité) mais on perd énormément sur la chaine de confiance. Je reste sur debian pour celle-ci 😉 (même si j'utilise aussi un peu de flatpak et appimage)
Le faut d'utiliser de plus en plus de packages faits par des utilisateurs, du type flatpak, snap ou appimage, va à mon avis augmenter ce risque fortement. Ça a qqs avantages (souplesse, rapidité et même qqs mécanismes de sécurité) mais on perd énormément sur la chaine de confiance. Je reste sur debian pour celle-ci 😉 (même si j'utilise aussi un peu de flatpak et appimage)
@sebsauvage
Ça a failli arriver dans Debian, juste avant l'arrivée de systemd dans cette distribution.
@Monolecte
Ça a failli arriver dans Debian, juste avant l'arrivée de systemd dans cette distribution.
@Monolecte
@sebsauvage Ce n'est pas spécialement nouveau. Il y a quelques années, Linux Mint avait retrouvé des ISO vérolés sur son serveur. Ce n'était qu'une question de temps avant que ce soit les paquetages qui se retrouvent vérolés. Ah, on me murmure à l'oreillette que Canonical a été obligé de faire du ménage dans sa boutique de snap il y a quelques mois pour cause de vérolage de snap. Donc c'est bien ce que je dis : rien de nouveau sous le soleil.
@sebsauvage moins pire que la tentative d’intrusion malveillante dans la libSSH l’an dernier .
@sebsauvage malheureusement c'est inérant aux packages AUR. Autant dans le dépôt officiel tu peux avoir l'assurance que ça a été vérifié, autant dans AUR, tu peux avoir un seul gus en charge de la compilation... Asterix et périls...
@sebsauvage C'est le moment de migrer vers BSD :E
@sebsauvage J’ai déjà lu que des petits malins s’engouffraient dans des noms de paquets « halucinés » par les IA aussi… (Pour les gens pensant y trouver de l’aide à leur problème) 😩
@sebsauvage c'est sur l'AUR ça reste très localisé, les paquets officiels arch ne gèrent pas l'AUR,
@sebsauvage à pointer que c'est l'AUR, qui est essentiellement identique à copier coller des scripts de randoms sur github
@SRAZKVT@tech.lgbt @sebsauvage@framapiaf.org Ah ça… Après, tu me diras, certains ont bien foutu des trucs comme ça en prod hein… /me zieute docker
bonfire.cafe
A space for Bonfire maintainers and contributors to communicate
Automatic federation enabled