# Security fix — admin password vendor-known (2026-05-16)

## TL;DR

Les `.deb` `sylink-edr*_2.0.0_amd64.deb` shipped jusqu'au 2026-05-16 contiennent
un hash SHA256 vendor-known du mot de passe admin (`Syl1nk`).

**Remplacez immédiatement** par les `.deb` taggués `2.0.0-securefix1` :

```
sudo apt install ./sylink-edr_2.0.0-securefix1_amd64.deb
# ou
sudo apt install ./sylink-edr-desktop_2.0.0-securefix1_amd64.deb
```

L'upgrade :
- Préserve la licence + data (conffile `/etc/sylink/config.toml` préservé)
- Détecte si `admin_password_hash` est encore la valeur vendor-known
- Si oui → génère un random au installation et l'écrit dans
  `/etc/sylink/admin_password.first_run` (chmod 600 root:root)
- Si non (admin a déjà fait `sylink-edr --setup`) → aucune action

## Vérifier qu'un agent est sécurisé

```bash
SHIPPED="3767ed9659afa4c9c06518ada1d0bdaa3a86d39c5e39d5f963a5daa45b833a27"
if grep -q "$SHIPPED" /etc/sylink/config.toml; then
    echo "🚨 VULNÉRABLE — admin password = vendor-known Syl1nk"
else
    echo "✅ OK — admin password custom"
fi
```

## Référence

- PR source : https://github.com/dlegeay-Cloud/Agents-SOC/pull/1
- Audit complet : `~/.claude/projects/-home-sylink-UniSOC/memory/project_audit_runtime_linux_edr_2026-05-16.md`