Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

Valeryan_24 · Le 21/02/2016, à 14:27

Bonjour,

Info postée sur le blog officiel de Linux Mint : leur site Wordpress a été victime de plusieurs attaques à compter du 20 février (le serveur est hors-ligne à l'heure où j'écris ce post), et le lien pointant vers l'ISO de Linux Mint 17.3 Cinnamon a été modifié, pour diriger sur un site proposant une version modifiée avec backdoor de celle-ci.

Source : http://blog.linuxmint.com/?p=2994

A priori, c'est la seule version touchée : les autres éditions, les downloads antérieurs ou via torrent ne sont pas concernés.

Pour vérifier, si vous pensez être dans le cas ci-dessus, les signatures valides sont :
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

Autre manière de savoir si vous avez installé l'ISO infectée, démarrer en Live DVD en coupant Internet, s'il y a un fichier dans "/var/lib/man.cy" il faut sauvegarder vos données et immédiatement tout réinstaller...

Dernière modification par Valeryan_24 (Le 21/02/2016, à 14:43)

Ubuntu1988 · Le 21/02/2016, à 14:34

Bonjour,
Pour les anglophones, ce fil Reddit apporte quelques éclairages en plus et ça irait bien plus loin. Pour résumé, au delà du hack des ISO, leur forum aurait été aussi compromis, faites attention. Ce n'est pas très glorieux de lire ce genre de chose après l'histoire de Manjaro et de son certificat de sécurité invalide.

Dernière modification par Ubuntu1988 (Le 21/02/2016, à 14:37)

remp · Le 21/02/2016, à 16:13

Moralité...

frenchy82 · Le 21/02/2016, à 17:13

remp a écrit :

Moralité...

Bonjour,

Je ne comprends pas bien le ou les sous entendus ici.

Moralité :

dll en torrent est plus sur que le dll direct?

Sylv91 · Le 21/02/2016, à 17:13

En tout cas il vallait mieux que ça arrive maintenant que dans 3/4 mois avec l'arrivée de la nouvelle version majeure de leur distribution.

Ils ont réagit vite donc seul ceux qui ont téléchargé précisément l'iso concerné "hier" sont concerné, avant le lien n'avait pas encore été changé.

donut · Le 21/02/2016, à 19:22

remp a écrit :

Moralité...

Moralité il faut arrêter d'installer des plugins Wordpress, mais ça on le sait depuis 10 ans.

seb24 · Le 21/02/2016, à 23:51

donut a écrit :

remp a écrit :
Moralité...
Moralité il faut arrêter d'installer des plugins Wordpress, mais ça on le sait depuis 10 ans.

Valeryan_24 · Le 22/02/2016, à 12:35

Ubuntu1988 a écrit :

Bonjour,
Pour les anglophones, ce fil Reddit apporte quelques éclairages en plus et ça irait bien plus loin...

Effectivement. Si on lit aussi les commentaires de cet article, c'est un jugement assez sévère sur les pratiques des mainteneurs de Mint en terme de sécurité, de la distribution elle-même cette fois, pas seulement du site...

remp · Le 22/02/2016, à 13:05

Valeryan_24 a écrit :

Ubuntu1988 a écrit :
Bonjour,
Pour les anglophones, ce fil Reddit apporte quelques éclairages en plus et ça irait bien plus loin...
Effectivement. Si on lit aussi les commentaires de cet article, c'est un jugement assez sévère sur les pratiques des mainteneurs de Mint en terme de sécurité, de la distribution elle-même cette fois, pas seulement du site...

Hé bien voilà la morale de cette histoire !

Vu · Le 23/02/2016, à 18:08

Bonjour,

Pour balayer devant notre porte, je viens d'essayer de télécharger Ubuntu 12.04.5 (je sais c'est une veille version).
Je note que les sommes MD5 et SHA 256 ne sont pas proposés sur les serveurs FTP et qu'il fauta passer la page de la doc pour les trouver facilement.
Mais être sur que ces hachage ne sont pas des faux ?? Il faut utiliser une signature ce qui n'est pas proposé. ici à la différence de ce que fait la TDF pour LibreOffice: https://download.documentfoundation.org … mirrorlist

Donc soit on passe par les torrents (excellent les jours de sorties mais obligent à redistribuer) qui garantissent l'intégrité du fichier téléchargé soit on passe un FTP (plus rapide dans la majorité des cas) mais il faut contrôler les sommes de Hachage et signer ces sommes.

CRIMA · Le 24/02/2016, à 11:31

Valeryan_24 a écrit :

Bonjour,
Info postée sur le blog officiel de Linux Mint : leur site Wordpress a été victime de plusieurs attaques à compter du 20 février (le serveur est hors-ligne à l'heure où j'écris ce post), et le lien pointant vers l'ISO de Linux Mint 17.3 Cinnamon a été modifié, pour diriger sur un site proposant une version modifiée avec backdoor de celle-ci.
Source : http://blog.linuxmint.com/?p=2994
A priori, c'est la seule version touchée : les autres éditions, les downloads antérieurs ou via torrent ne sont pas concernés.
Pour vérifier, si vous pensez être dans le cas ci-dessus, les signatures valides sont :
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
Autre manière de savoir si vous avez installé l'ISO infectée, démarrer en Live DVD en coupant Internet, s'il y a un fichier dans "/var/lib/man.cy" il faut sauvegarder vos données et immédiatement tout réinstaller...

Bonjour

Je n'ai pas tout compris de vos messages d'alerte.

J'ai une installation Linux mINT cINNAMON 17.3 avec l'image : e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso

Est-elle concernée par l'intrusion ?

Elle est installée antérieurement au 20.02.2016, dois-je la détruire ?

Merci beaucoup - Salutations

Valeryan_24 · Le 24/02/2016, à 11:54

Bonjour,

Ce qui compte, c'est le jour et le mode de téléchargement de l'Iso : les versions 17.3 Cinnamon en date du 20-21 février sur le lien direct donné par le site officiel de Linux Mint (Http / Ftp) sont concernées.

A priori, d'après ce que vous dites, si votre Iso a comme signature MD5 e71a2aad8b58605e906dbea444dc4983 elle est correcte et non infectée. D'autant que vous l'avez installée avant le 20/02, donc là pas de risque, les dépôts de mise à jour n'étaient pas concernés par l'attaque - c'est leur site Web qui a été visé, et certains liens de téléchargements modifiés pour faire downloader une version modifiée.

Un autre moyen de vérifier : dans le répertoire /var/lib/ avez-vous un fichier man.cy (il est présent sur les installations contaminées uniquement) ?

Enfin, de ce que j'ai lu sur le site de Linux Mint, faites une mise à jour des dépôts, je crois qu'ils ont inclus la détection du troyen Tsunami (celui rajouté sur l'Iso corrompue par le hacker).

Donc, sans garantie totale, mais normalement aucun souci pour vous

Dernière modification par Valeryan_24 (Le 24/02/2016, à 11:55)

CRIMA · Le 24/02/2016, à 13:57

Valeryan_24 a écrit :

Bonjour,
Ce qui compte, c'est le jour et le mode de téléchargement de l'Iso : les versions 17.3 Cinnamon en date du 20-21 février sur le lien direct donné par le site officiel de Linux Mint (Http / Ftp) sont concernées.
A priori, d'après ce que vous dites, si votre Iso a comme signature MD5 e71a2aad8b58605e906dbea444dc4983 elle est correcte et non infectée. D'autant que vous l'avez installée avant le 20/02, donc là pas de risque, les dépôts de mise à jour n'étaient pas concernés par l'attaque - c'est leur site Web qui a été visé, et certains liens de téléchargements modifiés pour faire downloader une version modifiée.
Un autre moyen de vérifier : dans le répertoire /var/lib/ avez-vous un fichier man.cy (il est présent sur les installations contaminées uniquement) ?
Enfin, de ce que j'ai lu sur le site de Linux Mint, faites une mise à jour des dépôts, je crois qu'ils ont inclus la détection du troyen Tsunami (celui rajouté sur l'Iso corrompue par le hacker).
Donc, sans garantie totale, mais normalement aucun souci pour vous

Merci beaucoup

Je n'ai pas dans /var/lib/ de fichier man.cy (seulement man.db).

Salutations

Ubuntu1988 · Le 24/02/2016, à 15:00

Normalement, l'équipe de Mint déploie une mise à jour pour détecter/supprimer le malware

Sylv91 · Le 25/02/2016, à 14:07

Le site de Mint est en ligne actuellement, je suppose que le problème a été réglé.

Caribou22 · Le 01/03/2016, à 16:39

Pendant ce temps-là, il pleut des spams ici. Et il doit bien en avoir qui tombent dans le panneau...

Sylv91 · Le 01/03/2016, à 19:03

Bonjour,

Pour clore le débat & les infos concernant le problème de sécurité qu'il y a eu sur le site de Mint il y a peu, le chef de projet de la distribution a posté un long message d'info en anglais :

The attacks
Since that Saturday night on February 20th, all our efforts went towards protecting our project and our community. After the despicable attacks on our website and the deliberate attempts at hurting our users, we had to react fast and efficiently. The compromised server was shut down, all ongoing projects were stopped and all our time, efforts and resources were used to address the situation.
We had to work really hard, day and night for more than a week on this. We had to learn a lot too, fortunately we weren’t alone. We received help, we purchased new resources, we made new friends and we acquired help and expertise.
I’d like to thank the phpBB team and Automattic (the company behind WordPress.com) for reaching out to us to see if and how they could help.
I’d like to thank Avast for working with us on this. They contacted us and offered to help analyze the fake ISO. We gave them a copy of it and all the info we already had. A day later they came back with a full malware analysis and we were able to issue an update to warn people who might still be affected by it. Avast also pushed updates towards their own users and they were able to block access to the Bulgarian servers used by the hackers. Finally, the addresses the malware was connecting to were either shut down or blocked by Kaspersky’s DNS sinkhole. I’ve been really impressed by Avast and the awesome work they did, it really helped us react quicker.
I’d like to thank our friends at eUKhost and AYKsolutions. Whenever we needed help, they were there.
I’d like to thank the people who first detected and reported the attack, the people who helped us scan for vulnerabilities and the various people who gave us security advice and challenged us in checking more and more security aspects as the week progressed.
I’d like to thank everyone at Sucuri and their leader Daniel Cid in particular for how awesome they have been with us. They had a great reputation and so we naturally went towards them to get our servers scanned for malware and cleaned up. Our servers are now monitored by Sucuri and protected by their firewall. We’ll be entering a partnership with them and it’s a real pleasure not just to benefit from the protection and the range of services they’re offering us but also to have that close relationship with security experts and to be able to quickly get in touch with them whenever our project needs it.
And finally, I want to thank you. When things go bad and somebody’s hurt we see all sorts of reactions. You’ve been great and that also really helped us. We always had a special relationship with you, we see it every month with your donations, your comments and your support. After the attacks, you were worried and you needed answers but you were also extremely patient and supportive. We tried to answer as many people as possible, it was hard in the middle of all the work we had to get done, but we kept getting taps on the back, we started to see people within the community step up and answer queries, reply to others and generally help in various different ways. We already knew what a great community we had. It was really put to the test here and it didn’t disappoint. We’re really proud to be working for you and we can’t wait to get back to work on the distribution itself.
New security aspects
Aspects directly related to these attacks:
To protect ourselves and reduce the risk of future attacks, many restrictions were placed on our servers. This might affect some of the websites a bit. If you find yourself unable to comment, to upload or to do something that worked well before, please let us know.
Aspects which could be used in future attacks:
To protect you and reduce the risk of man-in-the-middle attacks, almost all websites moved to HTTPs so you’re guaranteed you’re looking at the real Linux Mint server and the communication between you and us is encrypted. These measures protect you against local attacks (somebody listening to your local network, somebody maliciously opening up free Wifi to capture passwords being typed in a public place, or even on a greater scale.. fake DNS resolution pointing you to malicious servers). Note: The blog is yet to switch to HTTPS, we’re working on that still.
To make ISO verification more accurate we’ll communicate SHA256 sums and GPG information more prominently going forward. MD5 was displayed as the primary mean of verification, with SHA256 and GPG being available for people who wanted them. We’ll review the way this information is shown and try to make more people use SHA256 and hopefully also GPG by default.
Aspects which relate to the operating system:
We’re considering re-adding Gufw to the default software selection. What happened was very uncommon but as our project and Linux in general are getting more and more popular, our operating system is becoming more and more of a target. We cannot ignore the threat of malware and think that it only affects Windows. The centralization of our software and the better practices of our users who rarely directly install 3rd party packages or binaries are an asset, but they can also be a vulnerability. A malicious PPA archive could affect Ubuntu and Linux Mint users, it could offer legitimate packages for months and then suddenly spread malware that would be immediately accepted by thousands of users. It’s important to understand that the reason we’ve been so safe until now is because we’re smaller and because we therefore represent a much less interesting target. We can’t just protect ourselves from attacks, we also need to think of how we can react to them after they’ve taken place. We need scanners, and we’ll look into that as well, and we need something people can use to quickly and easily configure outgoing traffic and review applications communicating with their network, and Gufw does that very well.
One of the key advantages of Linux Mint is its stability vs security policy, the level of information shown and the fact that update management is configurable. It puts power in the hand of the user, which is something that is lacking in many other operating systems. For that power to be an asset though, users need to understand what’s at play. We’ve seen times and times again now, so-called experts and developers alike who were really struggling to understand the core of the problem itself. This isn’t something they’re learning from and this isn’t something which is properly documented. I think we need to do a better job when it comes to presenting the problem, raising awareness around it and making it easier for people to form their own strategy and have the operating system follow it. There is no one-size-fits-all solution to this. The key is configuration, but to rely on the user, we need the user to have access to better information and easier management. We’ve worked on this in almost every releases, and we’ll continue to improve it.
Donations and development
Many thanks to all the people who donated to us and to all our sponsors. We feel a bit guilty this month because the attacks took all our focus and we didn’t work on Linux Mint as much we’d want. There are some really cool things going on within the development team, there are now 4 X-Apps projects (xed, xreader, xplayer and xviewer), most of the Mint tools were migrated to python3/GTK3/gsettings and given better HiDPI support, we’re looking at better out of the box touchpad support in Cinnamon (which should probably go into MATE also) and the possibility to set different backgrounds on each workspace…etc. It’s a bit too soon to give any details though, so we’ll wait until we’re done working on security aspects and we’ll then start to cover improvements and new features on the Segfault blog and in the next monthly news.

Thank you to all of you.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/02/2016, à 14:27

Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#2 Le 21/02/2016, à 14:34

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#3 Le 21/02/2016, à 16:13

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#4 Le 21/02/2016, à 17:13

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#5 Le 21/02/2016, à 17:13

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#6 Le 21/02/2016, à 19:22

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#7 Le 21/02/2016, à 23:51

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#8 Le 22/02/2016, à 12:35

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#9 Le 22/02/2016, à 13:05

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#10 Le 23/02/2016, à 18:08

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#11 Le 24/02/2016, à 11:31

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#12 Le 24/02/2016, à 11:54

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#13 Le 24/02/2016, à 13:57

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#14 Le 24/02/2016, à 15:00

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#15 Le 25/02/2016, à 14:07

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#16 Le 01/03/2016, à 16:39

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

#17 Le 01/03/2016, à 19:03

Re : Attention si vous avez téléchargé l'ISO Linux Mint / leur site le 20-2

Pied de page des forums