Bonjour,
Pour tous les bidouilleurs qui utiliseraient Debian Unstable (version non recommandée pour Jeedom), il y a une alerte de sécurité majeure (classée 10/10) sur une des librairies.
Bonjour,
Pour tous les bidouilleurs qui utiliseraient Debian Unstable (version non recommandée pour Jeedom), il y a une alerte de sécurité majeure (classée 10/10) sur une des librairies.
Hello,
Merci pour l’info, je trouve que c’est un coup dur pour le monde du logiciel libre… Cependant, il ne devrait pas y avoir de problème pour les utilisateurs Debian 9 à 12, seulement la branch « unstable » :
Package | Type | Release | Fixed Version | Urgency | Origin | Debian Bugs |
---|---|---|---|---|---|---|
xz-utils | source | buster | (not affected) | |||
xz-utils | source | bullseye | (not affected) | |||
xz-utils | source | bookworm | (not affected) | |||
xz-utils | source | (unstable) | 5.6.1+really5.4.5-1 |
Source : CVE-2024-3094
Bad
Salut,
C’est bien pour cela que je précisais Debian Unstable.
Heureusement que la faille a été détectée assez tôt (car le développeur/hackeur mettait la pression pour passer sa version vérolée en production).
Ubuntu n’est pas non plus concerné. Heureusement pour mon Mint
Sur Mac, HomeBrew semble concerné. Mettez à jour.
J’ai lu ça hier, c’est dingue comme histoire
Et ca serait un plan en cours depuis des années
Hello,
Je crois que j’avais installé homebrew (avec l’aide de math82) pour flasher ma carte openevse.
Peux tu m’expliquer comment faire la mise à jour si tu as l’info ?
Dans le terminal :
brew update && brew upgrade
https://docs.brew.sh/FAQ#how-do-i-update-my-local-packages
Mais si tu ne l’utilises plus, tu peux le désinstaller :
https://docs.brew.sh/FAQ#how-do-i-uninstall-homebrew
Le gars il était développeur principal depuis 2 ans.
La patience des hackeurs n’est pas un mythe …
Vous voyez le mal partout aussi, le gars voulu juste se garder une porte ouverte pour pouvoir débuguer en live sur tous les systèmes c’est tout. Ca partait d’une bonne intention
Oui mais surtout le backdoor n’est pas dans le code source directement (sinon ca serait « trop simple » de détecter la faille) mais introduit pendant le build (en simplifiant) donc il a vraiment dû monter tout un stratagème pour y arriver