Skip to main content
  • EN

Bonjour,

Certains d’entre vous ont du surement le lire à travers les médias et différentes plateformes la nouvelle sur la faille sur xz et son histoire intrigante. Cela nous a permis d’en discuter avec @EricM @Julien Mousqueton et de pointer un cas d’utilisation de la nouvelle fonctionnalité malware de scan de Veeam V12.1 afin scanner des sauvegardes et de pouvoir remonter si nécessaire par rapport à votre rétention.

Contexte:
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Yara rule communautaire:
https://github.com/Neo23x0/signature-base/blob/master/yara/bkdr_xz_util_cve_2024_3094.yar

Utilisation avec Veeam:

How YARA Scan Works - User Guide for VMware vSphere (veeam.com)

YARA Scan for Scan Backup - User Guide for VMware vSphere (veeam.com)

Bonne investigation :)

 

 

Merci pour cette synthése, je vais regarder car la faille Xz touche beaucoup de solutions potentiellement !!!

De mon coté j’ai vérifié et c’est ok mais est ce le cas chez tout le monde ???
Combien vont passer a coté de cette alerte ???

Merci Bertrand !

Merci @BertrandFR, pour les plus feignants d’entre nous, un beau résumé de cette vuln. en une page 

 

 

Merci pour le partage les gars :)

Merci pour cette synthése, je vais regarder car la faille Xz touche beaucoup de solutions potentiellement !!!

De mon coté j’ai vérifié et c’est ok mais est ce le cas chez tout le monde ???
Combien vont passer a coté de cette alerte ???

 

En réalité pas tous les systèmes Linux sont impactés :

  • les principales branches de développement (exemple : Debian unstable/sid, Fedora Rawhide) e1]r2]
  • Kali Linux 😜 l3]
  • OpenSuSE Tumbleweed O4]
  • Arch Linux /5]

Néanmoins cela de vous dédouane pas de vérifier : “la confiance n’exclut pas le contrôle”  🤣

Posté depuis UTC+2 (private joke) 

1] https://lists.debian.org/debian-security-announce/2024/msg00057.html

y2] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

r3] https://twitter.com/kalilinux/status/1773786266074513523

i4] https://news.opensuse.org/2024/03/29/xz-backdoor/

s5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

Bonjour,

 

Comment utilisez vous le yara scan des backups Linux ? Veeam même en derniere version ne supportant pas le scan Yara directement des backups de machines Linux (prévue pour une prochaine version si j’ai bien suivi).

 

Merci du retour.

Boris

Bonjour,

 

Comment utilisez vous le yara scan des backups Linux ? Veeam même en derniere version ne supportant pas le scan Yara directement des backups de machines Linux (prévue pour une prochaine version si j’ai bien suivi).

 

Merci du retour.

Boris

Ok j’ai ma réponse via script powershell etc…

https://github.com/yetanothermightytool/powershell/blob/master/vbr/vbr-securerestore-lnx/v12.1/README.md

 

 

Comment


Terms & Conditions