• EN

Scan Yara et faille linux xz

BertrandFR
Userlevel 7
Badge +8

Bonjour,

Certains d’entre vous ont du surement le lire à travers les médias et différentes plateformes la nouvelle sur la faille sur xz et son histoire intrigante. Cela nous a permis d’en discuter avec @EricM @Julien Mousqueton et de pointer un cas d’utilisation de la nouvelle fonctionnalité malware de scan de Veeam V12.1 afin scanner des sauvegardes et de pouvoir remonter si nécessaire par rapport à votre rétention.

Contexte:
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Yara rule communautaire:
https://github.com/Neo23x0/signature-base/blob/master/yara/bkdr_xz_util_cve_2024_3094.yar

Utilisation avec Veeam:

How YARA Scan Works - User Guide for VMware vSphere (veeam.com)

YARA Scan for Scan Backup - User Guide for VMware vSphere (veeam.com)

Bonne investigation :)

 

 

5 comments

Steph Soc and more
Userlevel 2

Merci pour cette synthése, je vais regarder car la faille Xz touche beaucoup de solutions potentiellement !!!

De mon coté j’ai vérifié et c’est ok mais est ce le cas chez tout le monde ???
Combien vont passer a coté de cette alerte ???

L
Userlevel 1
Badge

Merci Bertrand !

Work Hard, Play Harder!
JMousqueton
Userlevel 4
Badge +3

Merci @BertrandFR, pour les plus feignants d’entre nous, un beau résumé de cette vuln. en une page 

 

 

Stabz
Userlevel 7
Badge +7

Merci pour le partage les gars :)

Philippe DUPUIS |Veeam Certified Engineer | https://original-network.com/
JMousqueton
Userlevel 4
Badge +3

Merci pour cette synthése, je vais regarder car la faille Xz touche beaucoup de solutions potentiellement !!!

De mon coté j’ai vérifié et c’est ok mais est ce le cas chez tout le monde ???
Combien vont passer a coté de cette alerte ???

 

En réalité pas tous les systèmes Linux sont impactés :

  • les principales branches de développement (exemple : Debian unstable/sid, Fedora Rawhide) [1][2]
  • Kali Linux 😜 [3]
  • OpenSuSE Tumbleweed [4]
  • Arch Linux [5]

Néanmoins cela de vous dédouane pas de vérifier : “la confiance n’exclut pas le contrôle”  🤣

Posté depuis UTC+2 (private joke) 

[1] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[2] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[3] https://twitter.com/kalilinux/status/1773786266074513523

[4] https://news.opensuse.org/2024/03/29/xz-backdoor/

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

Comment


Terms & Conditions