La version 5.8.3 des XZ Utils corrige plusieurs failles de sécurité. Cependant, les opinions divergent quant à la gravité de ces vulnérabilités. Il est conseillé aux administrateurs de vérifier la disponibilité des mises à jour et de les installer rapidement.
Dans l’annonce officielle de la version 5.8.3, il est mentionné que la mise à jour corrige une faille dans la fonction lzma_index_append(), qui pourrait provoquer un dépassement de buffer — « sous des conditions peu probables dans des applications réelles », comme l’indiquent les développeurs (CVE-2026-34743). Ces fonctionnalités sont rarement utilisées directement, ce qui limite le risque dans la majorité des applications.
Sur la liste de diffusion OSS-Sec, Sam James, développeur de Gentoo, partage cette évaluation en soulignant que la vulnérabilité nécessite une utilisation atypique d’une API rarement sollicitée. Néanmoins, Tenable, une entreprise de cybersécurité, évalue cette faille comme « critique ». De son côté, le CERT-Bund, rattaché à l’Office fédéral de la sécurité dans le domaine des technologies de l’information (BSI), lui attribue un score CVSS de 9.8, signe de son sérieux.
Correction d’une autre vulnérabilité
Cette mise à jour des XZ Utils corrige également un problème de dépassement de mémoire, surtout sur les systèmes 32 bits et sous certaines conditions. Cependant, cette faille n’a pas encore reçu de numéro CVE dédié.
La vulnérabilité CVE-2026-34743 affecte les XZ Utils à partir de la version 5.0.0. Les développeurs ne publieront pas de nouvelles versions pour les branches 5.2.x, 5.4.x ou 5.6.x, mais les correctifs sont disponibles dans le dépôt Git de xz. Les utilisateurs concernés peuvent y accéder et recompiler le code si nécessaire.
Les professionnels de l’IT devraient vérifier la disponibilité des mises à jour des paquets XZ dans leurs distributions. Slackware a déjà mis à jour xz, tandis que Debian liste les versions touchées mais n’a pas encore fourni d’évaluation des risques ni d’actualisations.
Il est à noter que cette bibliothèque de compression avait failli causer un incident sérieux il y a deux ans, lorsque des agents secrets ont introduit des portes dérobées dans son code, utilisé dans de nombreuses applications.
Points à retenir
- La mise à jour 5.8.3 contient des correctifs importants pour des failles de sécurité.
- La gravité des vulnérabilités est sujet à débat parmi les experts.
- Les administrateurs doivent rester vigilants et appliquer rapidement les mises à jour.
- Le risque de certaines failles réside dans leur utilisation atypique.
- Une précédente faille dans XZ Utils avait suscité des inquiétudes de sécurité majeures.
Il est essentiel de rester informé sur les mises à jour de sécurité, car le paysage numérique évolue rapidement. En tant que professionnels, nous devons nous interroger : jusqu’à quel point sommes-nous prêts à sacrifier notre sécurité pour la commodité ? La vigilance et la prudence doivent désormais rythmer notre approche face à la cybersécurité.