Add: GDPR issue
This commit is contained in:
parent
5bca8f9027
commit
ec6ee250ab
GPG key ID:
ABBB2CAC6855599F
2 changed files with 70 additions and 0 deletions
62
source/collectif/registres/announcements/20240330_xz.rst
Normal file
62
source/collectif/registres/announcements/20240330_xz.rst
Normal file
|
|
@ -0,0 +1,62 @@
|
|||
.. post:: 2024-03-30 18:45
|
||||
:category: GDPR
|
||||
:author: kujiu
|
||||
:location: BLA
|
||||
:excerpt: 1
|
||||
:image: 1
|
||||
:nocomments:
|
||||
|
||||
Incident GDPR - Communication au public
|
||||
=======================================
|
||||
|
||||
Le 29 mars 2024, Andres Freund, un développeur PostgreSQL, a découvert une
|
||||
porte dérobée dans l'outil de compression sans perte xz. Ce dernier est
|
||||
utilisé massivement sous Linux pour la gestion des paquets, la compression
|
||||
des images kernel, etc. Il est un outil indispensable du système
|
||||
d'exploitation et de son environnement. Par la suite, il est apparu que l'un
|
||||
des développeurs de xz, Jia Tan, a délibérement saboté xz et mis en place du
|
||||
code malveillant, selon des techniques perfectionnées. Une porte dérobée
|
||||
s'active a minima dans les conditions suivantes :
|
||||
|
||||
- xz dans les versions 5.6.0 ou 5.6.1 ;
|
||||
- dans une distribution Linux basée sur Debian ou RedHat ;
|
||||
- sshd est patché pour utiliser systemd-notify ;
|
||||
- sshd est situé dans le dossier /usr/sbin.
|
||||
|
||||
Même si toutes les conditions ne sont pas remplies, le serveur de
|
||||
Nerv Project ASBL utilisait la version 5.6.1. D'autres cas d'exécution du
|
||||
code malicieux peuvent ne pas avoir été découverts aujourd'hui. Dès lors,
|
||||
et au vu de la criticité de la faille, nous avons considéré notre serveur
|
||||
comme compromis et nous agissons comme si la porte dérobée avait été
|
||||
utilisée. Nous n'avons aucune preuve qu'elle l'ait été, mais nous n'avons
|
||||
pas non plus un moyen fiable pour être certain de l'absence d'intrusion.
|
||||
|
||||
Le serveur a été mis à jour le 29 mars 2024 et rebooté peu de temps après
|
||||
avoir pris connaissance des faits et de leur gravité. La connection SSH
|
||||
nécessitant des cartes à puce, aucun vol de clé privé SSH permettant
|
||||
l'administration à distance n'a pu avoir lieu. Cependant, si un accès non
|
||||
autorisé a eu lieu, les données de tous les services hébergés par
|
||||
Nerv Project ASBL peuvent être compromis. Nous recommandons à tous nos
|
||||
usagers de changer leurs mots de passe sur toute notre plateforme.
|
||||
|
||||
Cela concerne les données :
|
||||
|
||||
- de notre logiciel de gestion (dolibarr) ;
|
||||
- de notre système de mail (postfix + dovecot + roundcube) ;
|
||||
- de notre messagerie instantanée (XMPP) ;
|
||||
- de Mastodon ;
|
||||
- de Peertube ;
|
||||
- de la plateforme de podcasting Funkwhale ;
|
||||
- du lecteur de flux RSS FreshRSS ;
|
||||
- du gestionnaire de liens Wallabag ;
|
||||
- du gestionnaire de mots de passe Vaultwarden (le contenu utilisateur est chiffré) ;
|
||||
- de la forge git (forgejo) ;
|
||||
- du système de commentaires (isso) ;
|
||||
- de notre outil de statistiques (fathom, données totalement anonymisées) ;
|
||||
- de notre outil de cloud (Nextcloud) ;
|
||||
- des logs systèmes (accès à tous les services dont les sites web et capsules gemini).
|
||||
|
||||
Veuillez nous excuser pour la gêne occasionnée. Faites attention à vous, les
|
||||
données volées peuvent servir à falsifier des identités ou à des
|
||||
arnaques et escroqueries plus réalistes. Nous restons joignables pour toute
|
||||
question complémentaire.
|
||||
|
|
@ -1,6 +1,14 @@
|
|||
Registres
|
||||
=========
|
||||
|
||||
Communiqués
|
||||
^^^^^^^^^^^
|
||||
|
||||
.. toctree::
|
||||
:maxdepth: 1
|
||||
|
||||
announcements/20240330_xz
|
||||
|
||||
Comptes-rendus d'Assemblée Générale
|
||||
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
|
||||
|
||||
|
|
|
|||
Loading…
Reference in a new issue