Articles précédents : Sécurité
- [190] L'armée française aurait du investir dans le libre
- [30] Le gouvernement hollandais veut réglementer le cryptage fort
- [24] Webalizer : le bug du 4 octobre 2001
- [98] Un serveur Web n'est pas conçu pour résister à des attaques
- [45] des euros dans des enveloppes blindées
- [31] Microsoft essaie de rassurer ses clients sur la securite d'IIS
- [44] top20 des erreurs
- [37] Faille dans OpenSSH 2.5.x et 2.9.x
- [50] Nimda, on remet ça?!
- [0] GR-Security 1.8
Liens connexes
- L'article sur Newsbytes (622 hits)
- L'éditorial en question (692 hits)
Dépêche modérée par
Sécurité : Les trous de sécurité doivent rester secrets !
Posté par Frédéric RISS (). Modéré le 17 octobre 2001.
Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement...
![[en]](../../../images/en.png)
L'article sur Newsbytes (622 hits)-
L'éditorial en question (692 hits)
> Lire la dépêche (76 commentaires, moyenne: 2,9).
Toutafe.
Non seulement, cette personne devrait ete punie severement, mais en plus, on devrait poster dans les journaux ( a ses frais, evidemment) son adresse et son lieu de travail.
Comme ca, chacun pourrait venir jeter des pierres dans son jardin, ou casser les fenetres de son bureau.
Et chacun devrait se sentir oblige de passer un coup de fil au milieu de la nuit pour que ces irresponsables, qui ne font qu'ajouter du bruit dans la symphonie numerique jouee par notre bien aimee societe de logiciels.
Je vais deposer un brevet sur la maniere de rapporter un bug, et le premier qui utilise mon brevet son mon avis, hop, il ecoute Lara Fabian pendant une semaine non stop, et je le denonce a la DST.
-
[^]Re: Toutafe.
Posté par analogue o/ (page perso, ) le 17/10/2001 à 11:15. (lien). Évalué à 7.moa je suis plutot content de lire des trucs pareils =)
ca ne peut qu'entacher l'image de microsoft et donc aider la concurence.
continuez balmer & co !--
Votez contre le cinéma sur DLFP: http://linuxfr.org/tracker/296.html
Le lien pour voter est en haut à droite.
-
[+] [^]Re: Toutafe.
Posté par matiasf () le 17/10/2001 à 14:01. (lien). Évalué à -3.Le score actuel de ton post est de 11 actuellement. Je n'arrive pas à comprendre les votes positifs pour ce type de mail.
çà donne un image de rebelle à l'utilisateur de Linux. Une image de "sauvageon".
Linux n'est pas prèt d'être pris au sérieu avec ce type d'attitude.
-
[^]Re: Toutafe.
Culp est un nom prédestiné !
Que peut-on attendre d'autre de la part d'un responsable "sécurité" chez MS ? Toutes les merdes qui leur arrivent en ce moment sont dues à ce genre de publications récupérées par quelques script kiddies...
Une telle vulnérabilité est intolèrable. Alors évidemment , au lieu de balayer devant sa porte en nettoyant ses logiciels, MS demande la carte de la répression.
Le problème c'est que MS, mais d'autres aussi pensent de cette façon, et ils sont puissants... Je ne veux pas avoir l'air parano, mais après la puce discrète, la demande d'accès aux machines des pirates de musique/films, la restriction des libertés personnelles en France... et la guerre qui justifie tout, ça va devenir bien propret, le monde !
--
m'en vais re-vomir !
-
[^]Your name is Culp? Right?
Posté par Ano () le 17/10/2001 à 11:36. (lien). Évalué à 12.Ben ça... On peut aller loin... Un petit raisonnement par l'absurde:
Sous win, quand mon écran devient bleu marine, c'est qu'il y a un bug...
Et si je dis "c'est curieux, quand je clique là et là, ca devient bleu", c'est un constat de bug...
Donc d'après lui il faut m'enfermer d'urgence...
Donc la bonne méthode pour utiliser un produit kro, c'est subir ses insuffisances et ne pas en parler, right?
Donc le logiciel libre, c'est en plus avoir la liberté de parole et de critique, non? Bientot seul le libre garantiera la liberté tout court...
Enfin bon, des bugs, s'il n'y en avait pas tant, ils seraient plus difficiles à trouver...-
[+] [^]Re: Your name is Culp? Right?
Posté par Anonyme () le 17/10/2001 à 12:29. (lien). Évalué à -3.le logiciel libre, c'est en plus avoir la liberté de parole et de critique
ben tiens, essaye de dire du mal de sendmail (parce qu'il le vaut bien), de linux, d'emacs, de vi ou de je ne sais quoi de libre et tu te fais enguirlander comme pas possible... le libre, c'est aussi la liberté de ce faire emmerder par ceux qui n'admettent pas qu'on critique leur bô logiciel qu'ils ont mis tant d'amour à développer (bien sûr, je parle de critiques fondée du style 'Emacs, ça met 20 ans à se lancer', ou 'Mandrake sux').-
[^]Re: Your name is Culp? Right?
-
-
Et la marmotte ?
C'est ça...
et on fait pareil avec les bagnoles, comme ça vu qu'on a rien dit, on a rien corrigé et tout le monde se plante et on a 5000 morts en 1 mois...
Y en a qui devrait réfléchir un peu plus (dans la limite des moyens à leur disposition bien entendu :D )
-
[^]Re: Et la marmotte ?
Posté par Eric Leblond (page perso, ) le 17/10/2001 à 11:21. (lien). Évalué à 14.Pour argumenter dans ton sens :
"Long before the worms were built, vendors had delivered security patches that eliminated the
vulnerabilities. (...) when these worms tore through the user community, it was clear that few people had applied these fixes. "
Ah, oui donc si on avertit encore moins que va-t-il se passer ?
Pour le plaisir, je vous rajoute quelques extraits:
"Good Intentions Gone Awry"
En plus, ils ne savent même pas écrire :-)
Une deuxième :
"an administrator doesn't need to know how a vulnerability works in order to understand how to protect against it, any more than a person needs to know how to cause a headache in order to take an aspirin."
Bref, soit bête et patch !-
[^]Re: Et la marmotte ?
-
[+] [^]Re: Et la marmotte ?
Posté par Anonyme () le 17/10/2001 à 12:20. (lien). Évalué à -2.aucun rapport, mais pourrais-tu demander à l'administrateur de ftp.lip6.fr pourquoi la RedHat 7.2 est là, mais le répertoire interdit d'accès, et si il a des nouvelles du coté de Redhat ?
désolé de polluer, mais après tout c bien un problème linux...-
[+] [^]Re: Et la marmotte ?
Posté par Eric Leblond (page perso, ) le 17/10/2001 à 13:20. (lien). Évalué à -1.Il faut lire les message de logs des serveurs ;-)
-- BIENVENUE SUR LE NOUVEAU SERVEUR FTP LIP6/JUSSIEU --
Utilisez le compte `anonymous' avec votre adresse e-mail comme mot de passe
Merci de signaler les problèmes éventuels à ftpmaint@lip6.fr.
PS : désolé, mais je n'ai pas de moyen d'intervenir directement.
-
[+] [^]Re: Et la marmotte ?
Posté par PLuG () le 17/10/2001 à 13:54. (lien). Évalué à -1.pourquoi la RedHat 7.2 est là, mais le répertoire interdit d'accès,
parce que sur lip6 c'est un mirroir de ftp.redhat.com et que ce repertoire existe sur le ftp.redhat.com avec les memes droits ...
peut etre que tu compte demander a redhat pourquoi ?-
[+] [^]Re: Et la marmotte ?
Posté par Anonyme () le 17/10/2001 à 15:45. (lien). Évalué à -1.pfff... redhat a expressément demandé aux administrateurs de leur mirroirs d'attendre leur feu vert pour ouvrir le répertoire. donc je demande si il y a des nouvelles de ce coté là... et si on a une idée de la date à laquelle ils vont ouvrir. ça devait etre entre le 15 et le 22
-
-
-
bah oui...
Si personne ne cherche les bugs personne ne les trouve, donc y a pas de bugs, donc windows est le meilleur des os vu que y a pas de bugs.
Oh, y sont fort chez micro$oft.
-
[^]Re: bah oui...
Posté par Anonyme () le 17/10/2001 à 11:14. (lien). Évalué à 2.ben le probleme de windows, y'a pas besoin de chercher pour les trouver, les bugs.
-
[^]Re: bah oui...
Posté par Anonyme () le 17/10/2001 à 12:42. (lien). Évalué à 1.Ca me fait penser à PasBillPasGates qui venait nous raconter qu'on n'avait pas idée de la batterie de test que Microsoft faisait subir à ses programmes avant de les publier ;)
Si ca se trouve, chez MS, ils ne savent meme pas ce que c'est que c'est un écran bleu de la mort..-
[+] [^]Re: bah oui...
Posté par Anonyme () le 17/10/2001 à 12:45. (lien). Évalué à -2.mdr, il avait osé écrire ça ? si il y a bien un truc que microsoft connait pas, c l'intégration !!!
à leur décharge, je dois dire qu'ils sont pas les seuls. Netscape était très très fort en la matière aussi... une cata leurs serveurs...
-
-
-
[^]Re: bah oui...
Posté par a_jr () le 17/10/2001 à 12:42. (lien). Évalué à 5.Plutot que d'inventer des systemes de protection contre le vol, on a une loi qui interdit les vol, non?
Pas con l'idee de microsoft.
Seulement, tant que c'est pas interdit, je vais me permettre de rapporter un bug dans l'idee de microsoft: toujours avec l'analogie de la loi contre le vol, y'a rien dans la loi qui interdit de dire a quelqu'un qu'il a perdu un truc, et encore moins de lui rendre le truc si possible.
Enfin bon, moi, je participe 100% a cette initiative de Microsoft, je ne rapporte pas de bugs sur leur OS.
Le bonjour chez vous,
Yves
Apres lecture ...
J'aime beaucoup cette phrase :
But regardless of whether the remediation takes the form of a patch or a workaround, an administrator doesnt need to know how a vulnerability works in order to understand how to protect against it, any more than a person needs to know how to cause a headache in order to take an aspirin.
En clair, il dit que si les administrateurs ne savent pas comment marche un ordinateur, un OS etc ... c'est pas grave !!! Il y a juste a cliquer 2x sur le patch, un reboot et hop voila.
Peuple des administrateurs, endormez vous !
Bon, mais avec un titre : Its Time to End Information Anarchy, c'est sur qu'on peut se poser la question du bien fondé de l'article ...
Trop d'information tue l'information, peut etre, mais ca n'a jamais fait de tort a personne de s'informer !
-
[^]Re: Apres lecture ...
Posté par Anonyme () le 17/10/2001 à 12:06. (lien). Évalué à 1.ouaip, j'ai l'impression que MS a oublie qu'il essaie de vendre des OS "pro" a une clientele "pro" et pas de la lessive au meussieur en survet jaune au fond du magasin.
-
[^]Re: Apres lecture ...
Posté par Anonyme () le 17/10/2001 à 12:38. (lien). Évalué à 2.Il n'ont rien oublier, ils ne l'ont jamais fait. Aucun soft de m$ tient la route devans une solution alternative. M$ n'as jamais fait des outils pouvant aller en production (as400, SAP, MAPICS, Apache, PAO, CAO, SQL, ...). Ils n'ont fait que des jouets. La seule raison de leur succès est la rétention d'informations grâce à l'OS. Maintenant cette rétention n'existe plus et c'est vraiment finis pour eux.
-
Mort de rire
Sérieux, j'ai lu l'article, et je suis mais trop mort de rire.. c'est la meilleure de l'année !!! et le pire c'est que certains (ir)responsables de la "communauté de la sécurité" approuvent !!!
Bon, bref, perso, je trouve que c'est même pas la peine d'argumenter là dessus, c'est tellement stupide...
Par contre, ça semble signifier une chose: Microsoft est aux abois. Peut etre que le changement de position de plusieurs organes de presse et de consulting "importants" (WallStreet Journal, Gartner, etc.) leur a fait énormément de mal en fait...
-
[^]Re: Mort de rire
-
[^]Re: Mort de rire
Posté par Anonyme () le 17/10/2001 à 11:39. (lien). Évalué à 0.Ce qui me fait marrer c'est à quel point ils montrent qu'ils sont de purs incompétents. Non contents de faire les plus mauvais produits du marché, dès qu'il y a des critiques, ils essaient de reporter la faute ailleurs, mais c'est tellement gros qu'ils sont vraiment ridicules.
-
[^]Re: Mort de rire
Posté par Obsidian () le 17/10/2001 à 22:06. (lien). Évalué à 2.Oh il y a probablement des gens très compétents chez M$ quand même, et cela même si j'en pense la même chose que tout le monde.
Si l'équipe Gnome avait sorti le Pack Office, tout le monde aurait montré à quel point le logiciel est génial ...
Le problème, et c'est pareil dans toutes les grandes entreprises, à mon goût, c'est qu'il y a un max de bureaucrates, de superviseurs, et de responsables qui doivent justifier leur salaires et qui donnent leur avis à tout bout de champ.
D'ailleurs, depuis « Linux Myths », j'ai l'impression que (pratiquement) n'importe qui chez Microsoft peut pondre un mémo et le publier en ligne.
A priori, j'ai rien contre çà, jamais j'aurais pu faire la même chose dans la SSII où je travaillais, mais bon: Lui visiblement ne s'en prive pas et pourtant:
Qui, déjà, parle de « mettre fin à l'anarchie de l'information », hmm ?
L'ennui, c'est que tout le monde ne suit pas DLFP, et pour la plupart des directeurs informatiques, un texte issu d'une telle source représente forcément la parole divine (j'entend par là que tout esprit critique est desactivé si c'est un mémo officiel venant de chez Kro).
-
pas le jour de la distribution de cerveau ?
Très bien si on suit son raisonnement
je trouve un "exploit", je suis donc pas trop
mauvais en info, je ne le divulgues pas, et du coup
comme "personne" ne connait cette faille je peux
utiliser pénard mon exploit, sans aucun risque qu'il
soi corrigé.
Pas bete, falait bosser chez m$ pour y penser :)
-
[^]Re: pas le jour de la distribution de cerveau ?
Posté par gege (page perso, ) le 17/10/2001 à 11:22. (lien). Évalué à 13.Non, ce n'est pas le raisonnement chez M$ !
Ca c'est un raisonnement normal : on trouve une exploit, on le met dans un bug report, et c'est corrigé.
Avec M$, on trouve un exploit, on cherche ou on peut envoyer un bug report (y'en a pas), on essaye eventuellement de téléphoner (impossible). Si une de ces tentatives réussit, le bug report est mit au fond d'une pile des choses les moins importantes à faire. Comment expliquer sinon que Windows soit toujours aussi buggé avec le nombre d'utilisateurs qu'ils ont !!!
Aller, -1-
[^]Re: pas le jour de la distribution de cerveau ?
Posté par wismerhill (page perso, ) le 17/10/2001 à 13:25. (lien). Évalué à 0.Simplement parceque quand un utilisateur de windows trouve un bug il réinstalle windows...
-
chanson
<raclement de gorge>
hum hum...
</raclement de gorge>
Sur l'air du : déserteur
1...2...3...4
Monsieur le responsable
du Security Response center
Je vous envoie cette letter
de mon PC portable
Je viens d'lire l'édito
sur microsoft.com
et vraiment ça déconne
on est pas des idiots
car la sécurité
c'est pas de la magie
pas des beni oui-oui
on l'a pas dans l'obscurité
faudrait peut-être voir
a penser avec vot' cerveau
et nous lacher les burnes, oh !
votre cas est sans espoir.
ps : pas trop inspiré ce coup-ci, moi... je ferai mieux plus tard...
A+++
Toujours le même problème
En fait le problème que soulève ce monsieur est la question suivante:
- Doit-on indiquer toute faille de sécurité dès qu'on l'aperçoit au risque que des petits malins en profitent le temps que le développeur fournisse un patch?
- ou bien ne rien dire et attendre que le patch existe avant d'annoncer la faille, ce qui au passage permet aux utilisateurs de ne pas perdre de l'argent?
<PARALLELE type="douteux">
Microsoft préfèrerait donc attendre qu'un vaccin contre le virus du SIDA existe avant de dire qu'il est contaminé...
</PARALLELE>
All of these worms made use of security flaws in the systems they attacked, and if there hadnt been security vulnerabilities in Windows®, Linux, and Solaris®
Ah bon??? On est désolé effectivement mais ce n'est pas forcément le but de LINUX (sans le ®) que de protéger les machines windows ou IIS, faut pas pousser le bouchon trop loin... A chacun de balayer devant sa porte déjà ça fera le plus grand bien à certains... La communauté Linux fait son possible, mais elle peut difficilement protéger quelquechose qui pourrit de l'intérieur...
Je propose donc à ce cher monsieur 2 alternatives:
- sécuriser IIS (et puis Windows aussi tant qu'il y est), bon d'accord y'a du boulot, mais ça sert à rien de sortir une version n+1 si la version sur laquelle on s'appuie n'est pas sécurisée...
- passer à un tout autre environnement...euh...Linux par exemple qui a fait ses preuves, ne fait pas perdre des millions et qui je crois (pour les fichiers de log) serait bien content qu'il y ait un peu moins d'IIS dans le monde...
-
[^]Re: Toujours le même problème
Posté par PLuG () le 17/10/2001 à 11:48. (lien). Évalué à 13.En fait je pense que tu es a coté du problème soulevé par cet incapable.
En général, les trous de sécurité sont publiés (bugtrack ...) APRES que l'editeur du logiciel concerné ai été prévenu et APRES qu'il ait répondu/pondu un patch.
Il est courant de lire des annonces de bug stipulant que la firme bidule a été prévenue 3 mois plus tôt.
Mais les vers internet ciblant IIS se sont répandu malgré l'existance des patchs. De ce coté la, MS n'y peut pas grand chose (ok ils auraient pu faire un soft sans bug dès le départ, mais personne n'est à l'abris d'un bug ...). MS avait daigné répondre lors de la décourverte du bug, l'annonce sur bugtrack à été faite APRES que le patch existe ...
De ce coté la rien à redire donc.
Si on veut améliorer la situation il y a plusieurs voies possibles:
1/ upgrade système automatique à travers internet. oui mais faut faire confiance à MS (qualité des patchs) et ne pas avoir a rebooter la machine n'importe quand ...
2/ faire confiance aux admins NT, on a vu ou cela nous mène, on recoit TOUJOURS des scan sur le port 80 de nimda!!
3/ la nouvelle solution MS: ne plus prévenir des trous de sécurité, on diminue le nombre d'attaques (script kiddies), par contre les attaques qui restent sont quasiement impossible à contrer puisque seuls les black-hat ont les connaissances pour hacker les machines.
4/ y ont il pensé ? vendre un service de maintenance avec l'OS qui permette d'assister (et d'insister) pour patcher les machines.-
[+] [^]Re: Toujours le même problème
Posté par Anonyme () le 17/10/2001 à 12:30. (lien). Évalué à -1.Il faudrait effectivement supprimer ces rapports de bugs. Trop dangereux.
Mais il serait aussi tres utile de mettre en place une base de données centralisée avec les coordonnées des administrateurs systèmes et les versions des patchs appliquées sur leurs bécanes.
On pourrait ainsi envoyer les services packs directement par mail aux bonnes personnes.
Ca permettra aussi de virer les incompétents notoires qui n'appliquent pas ce qu'il faut où il faut quand il faut.
C'est une question de philosophie : va t'on préfèrer prévenir (une bonne fois pour toutes) ou est ce qu'on se résoud à guérir (ad vitam eternam) ?
-
-
[^]Re: Toujours le même problème
Posté par Anonyme () le 17/10/2001 à 12:02. (lien). Évalué à 5.En fait le problème que soulève ce monsieur est la question suivante:
- Doit-on indiquer toute faille de sécurité dès qu'on l'aperçoit au risque que des petits malins en profitent le temps que le développeur fournisse un patch?
- ou bien ne rien dire et attendre que le patch existe avant d'annoncer la faille, ce qui au passage permet aux utilisateurs de ne pas perdre de l'argent?
En fait, le vrai problème n'est pas de savoir si on doit indiquer les failles de sécurité, mais plutôt de savoir s'il faut fournir la procédure complète pour exploiter la faille.
Ce que ce monsieur de chez microsoft soulève, c'est que les exploits de vulnérabilité par les "méchants" ne sont souvent que de la pure repompe du code divulgué.
Les script kiddies n'ont qu'à faire un copier-coller et le tour est joué...-
[^]Re: Toujours le même problème
Posté par bad sheep (page perso, ) le 17/10/2001 à 23:44. (lien). Évalué à 1.Oui, mais les vers qui ont ravagés récemment les serveurs sous IIS n'étaient pas du tout à la portée de script kiddies justement...
Par ailleurs, ne pas révéler la manière de procéder n'encouragerait pas les dév à corriger le prob. Pire, une description même succinte du bug permettrai de toute manière à une personne mal intentionnée de nuire. Si on dit qu'il y a un buffer overflow dans outlook (comment ça, y'en avait déjà un ? :), n'importe quel bidouilleur acharné parviendra à le trouver pour l'exploiter avec un peu de patience.
-
Dictatures
Vous avez remarqué comme les dictatures et autres régimes totalitaires pouvaient avoir envie de contrôler l'information, la culture et la connaissance ?
C'est vrai avec l'inquisition, les régimes taliban et les propagandes en général. J'estime que ce que nous apportent les logiciels libres est fondamental : la connaissance de ce qu'on utilise. La culture et le niveau de connaissance des gens est un facteur d'évolution positif de notre civilisation. Vive l'internet et vive les logiciels libres. M... à la fin, quoi, c'est vrai ;-)
-
[^]Re: Dictatures
-
[+] [^]Re: Dictatures
Posté par Anonyme () le 17/10/2001 à 11:40. (lien). Évalué à -1.En parlant de taliban, en voilà un terrible... je pense que beaucoup d'entre vous l'ont reçu, mais c trop trop fort (et totalement hors sujet)
http://www.touristguy.com(...)
mon trou à moi
Moi aussi j'ai eu l'occasion d'implémenter une belle faille de sécurité dans un logiciel animalier... Je comprends un peu ce qui les turlupine: avant d'expliquer à tout le monde pourquoi le bug et comment l'exploiter, j'ai attendu que tout le monde ait upgradé vers une version non buggée, et pendant ce temps j'ai stressé un maximum, et je me suis mordu les couilles (c'est une image, je ne suis malheureusement pas assez souple ;-)
Et je pense qu'en l'occurence c'était le meilleur choix.
-
[^]Re: mon trou à moi
Posté par jr lamoule (page perso, ) le 17/10/2001 à 11:38. (lien). Évalué à 0.Hum, peut etre, mais bon, la difference, c'est quand meme que ta faille était limitée (qui est loggé en tant que root, hein ??).
En plus, tu as annoncé clairement que il y avait un bug. Je ne sais pas si d'autre auraient eu cette franchise et n'auraient pas simplement endormi l'affaire ...
Voila-
[^]Re: mon trou à moi
Posté par Troy McClure (page perso, ) le 17/10/2001 à 11:42. (lien). Évalué à 0.limitée c'est vite dit! un rm -rf $HOME ça fait quand même mal !
-
[+] [^]Re: mon trou à moi
Posté par gege (page perso, ) le 17/10/2001 à 11:49. (lien). Évalué à -1.ca fait mal à ton trou à toi ? ;-)
Je sais, -1 (on se croirait sur la tribune)
-
[^]Re: mon trou à moi
Posté par gle () le 17/10/2001 à 12:43. (lien). Évalué à 9.Absolument! Il faut comprendre que les données sont des choses irremplaçables et sont votre réelle richesse.
Si un virus vous efface votre /usr/bin, il n'y a qu'à réinstaller. Une demi-journée de perdue.
S'il vous efface votre /home avec votre rapport de stage dedans, il n'y a qu'à tout retaper s'il n'y a pas de backup fiable. Une bonne semaine de bouôt en perspective, et encore rien ne dit que le résultat final vaudra ce que vous avez perdu.
C'est comme quand on se fait cambrioler: Si les voleurs prennent votre télé, vous pouvez en racheter une, s'ils emmènent des choses qui ont une valeur sentimentale (photos, lettres, ...), RIEN ne permettra de les remplacer vraiment.
-
-
-
[^]Re: mon trou à moi
-
[^]Re: mon trou à moi
Posté par G. R. (page perso, ) le 17/10/2001 à 11:54. (lien). Évalué à 3.D'ailleur, contrairement à ce que dit Monsieur Culp, c'est bel et bien ce qui passe [presque] tout le temps avec le logiciel libre.
L'annonce de la faille vient avec le patch.
Linux ?
"if there hadn't been security vulnerabilities in Windows®, Linux, and Solaris®, none of them could have been written"
J'ignorais que Nimda et consorts avaient touché Linux et Solaris...
encore une bonne blague probablement.
-
[^]Re: Linux ?
Posté par Eric Leblond (page perso, ) le 17/10/2001 à 14:21. (lien). Évalué à 1.Je ne me rappelle pas du dernier trou de sécurité de Linux qui ait été utilisé (à grande échelle).
Quelqu'un pourrait peut-être me rafraichir la mémoire.
-
[^]Re: Linux ?
Posté par nodens (page perso, ) le 17/10/2001 à 14:55. (lien). Évalué à 1.Il fait allusion à Lion (voir paragraphe précédent).
Cela dit, jamais cela n'a eu l'ampleur de nimda ou code multicolore (parce qu'il y a(vait) moins de linux ? possible.)--
Clément Hermann (nodens)
- "L'air pur ? c'est pas en RL, ça ? c'est pas hors charte ?"
Jean in L'Histoire des Pingouins, http://tnemeth.free.fr/fmbl/linuxsf/
GPG : pgp.mit.edu - 0xEBD1399D
-
[^]Re: Linux ?
Posté par oliv () le 17/10/2001 à 15:14. (lien). Évalué à 2.Je n'ai pas envie de défendre un article de cette qualité, mais en l'occurence, relis le, il commence par:
"Code Red. Lion. Sadmind. Ramen. Nimda. In the past year, computer worms with these names have attacked computer networks around the world, causing billions of dollars of damage."
lion : http://www.sans.org/y2k/lion.htm(...)
ramen : http://www.cert.org/incident_notes/IN-2001-01.html(...)
Ces deux vers ont touché les unix, dont linux. Sadmind est un ver solaris.
[+] Arretez de troller sur microsoft !
C'est indigne de la horde des trolleurs.
Cet article est trop facilement trollable ! :-)
A votre avis, l'auteur de cet article est stupide ou crétin ?
- Les deux !
- Attendez, je demande confirmation au grand miam ! Bonne réponse ! le point va à l'équipe mayo
Axel - 584
l'edito frau soft en français
On trouve le même esprit sur le site fr de microsoft
http://www.microsoft.com/france/technet/edito/archives_edito.asp(...)
bonne lecture ;-)
-
[^]Re: l'edito frau soft en français
Posté par Gnurou (page perso, ) le 17/10/2001 à 14:30. (lien). Évalué à 3.Merci, je me suis bien marré :). A voir absolument:
http://www.microsoft.com/france/technet/edito/edito6.asp(...)
Le pauvre gars qui a écrit ca devrait s'instruire un peu sur l'informatique pour faire tomber ses mythes... La réponse de MS est pas mal non plus. Mon dieu, on nage en plein délire...
Point Bugnon
Je pense qu'on peut décerner à Culp un point Pierre Bugnon. D'ailleurs étant dans la meme boite, c'est pas étonnant. Mais l'un est-il l'élève de l'autre, et si oui lequel ? Ou est-ce qu'ils se sont tous fait microsoftborguer en entrant chez m$ ?
+-------------------+
| ................. |
| .... 1 POINT .... |
| "BUGNON le PUANT" |
| ................. |
+-------------------+
-
[^]Re: Point Bugnon
-
[^]Re: Point Bugnon
Posté par Benjamin () le 17/10/2001 à 22:38. (lien). Évalué à 2.Tout faux, c'est Olivier Ezratty, le spécialiste des virus, qui enseigne.
D'ailleurs
+-------------------+
|..... 1 POINT .....|
|......EZRATTY .....|
|..Double la valeur.|
|.du point BUGNON si|
|.vos enfants sont..|
|....a la crèche....|
+-------------------+
Bugnon, c'est le spécialiste du FUD, c'est le prof de PBPG
Ouarf!
J'imagine des maisons vendues sans porte d'entrée ni fenetres ...
L'informatique et internet existait AVANT microsoft, faudrait qu'ils arretent de prendre les informaticiens autre qu'eux pour des c.ns. (quoique, jusqu'à maintenat , ça a l'air d'etre une bonne méthode commerciale ;-))
-
[+] [^]Re: Ouarf!
Posté par Anonyme () le 17/10/2001 à 12:09. (lien). Évalué à -2.faudrait qu'ils arretent de prendre les informaticiens autre qu'eux pour des c.ns. (quoique, jusqu'à maintenat , ça a l'air d'etre une bonne méthode commerciale ;-))
ben oui, mais c t les commerciaux qu'ils prenaient pour des c.ns... et tu t'étonnes que ça marche ? ;-))
Le mec a raison
Il y aurait plus de vers qui attaquent Apache si on pouvait en trouver les sources!
Hein, dites-moi ?
Non ?
-
[+] [^]Re: Le mec a raison
Posté par Julien Olivier () le 17/10/2001 à 14:08. (lien). Évalué à -1.Qu'est-ce qu tu racontes ?
Apache est open-source ! En plus, il y a bien plus de vers dans IIS, qui n'est pas (mais alors pas du tout...) open-source.
Donc j'ai du mal à suivre ton raisonnement...-
[^]Re: Le mec a raison
Posté par nodens (page perso, ) le 17/10/2001 à 14:57. (lien). Évalué à 1.euh, section humour, coox fait de l'humour (j'espère). Non ?
--
Clément Hermann (nodens)
- "L'air pur ? c'est pas en RL, ça ? c'est pas hors charte ?"
Jean in L'Histoire des Pingouins, http://tnemeth.free.fr/fmbl/linuxsf/
GPG : pgp.mit.edu - 0xEBD1399D
-
boarf
Un petit TP d'audit :
bash-2.02$ uname -a
SunOS paludenn-gw 5.7 Generic_106541-04 sun4m sparc SUNW,SPARCstation-5
bash-2.02$ ls /var/sadm/patch/
106541-04 106857-04 106978-06
à comparer avec :
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=patch&doc=7(...)
mais ça doit être que notre admin est trop balaise et qu'il a pas mis les patch dans l'endroit standart.
une petite idée de la taille du réseau :
bash-2.02$ ypcat passwd.byname|sort|uniq|wc -l
519
+les utilisateurs de win qui sont tous sous le même compte
bash-2.02$ ypcat hosts.byname|sort|uniq|wc -l
303
+ ~100 pour les machines sous win
juste pour le département info
ça doit être un ancien de chez MS notre admin !
-
[^]Re: boarf
Posté par Anonyme () le 17/10/2001 à 15:35. (lien). Évalué à 1.Je te conseille aussi le Vulnerability Calculator chez bugtraq: http://securityfocus.com/cgi-bin/unix_vulncal.pl(...)
C'est assez monstrueux le nombre de bugs que j'ai pu trouver sur nos bonnes vieilles stations Sun pas patchees ....
et puis un autre petit exploit bien sympa, que j'ai pas retrouve sur bugtraq, mais qui marche nickel ici:
#include <pwd.h>
main()
{
struct passwd *p;
while(p=getpwent())
printf("%s:%s:%d:%d:%s:%s:%s\n", p->pw_name, p->pw_passwd,
p->pw_uid, p->pw_gid, p->pw_gecos, p->pw_dir, p->pw_shell);
}
Je te laisse deviner le but de ce petit bout de code ... rha franchement quelle bande de bollets ces admins (non je ne dirais pas de quelle ecole je viens ... ha si, je precise juste: c'est une ecole d'ingenieur publique ...)-
[^]Re: boarf
Posté par matiasf () le 17/10/2001 à 16:01. (lien). Évalué à 1.Il faut m'expliqué car je vois pas de problème dans ce code.
Normalement, /etc/passwd est accessible est lecture pour tous.
Je pense que ce code doit marcher sur toutes machines GNU/Linux correctement configurées.-
[^]Re: boarf
Posté par Anonyme () le 17/10/2001 à 16:19. (lien). Évalué à 2.Oui mais le md5sum des pass est normalement dans /etc/shadow si ton systeme est bien configure. Alors qu'ici ... bah tu peux le recuperer, le passer a john, et hop, tour de magie, t'obtient les pass de n'importe qui (ok, sauf du root...)
-
-
[^]Re: boarf
Posté par Dugland Bob (page perso, ) le 18/10/2001 à 11:46. (lien). Évalué à 1.heuu... t'es un gros naze ou c'est moi ?
la commande ypcat passwd.byname donne exactement ce qu tu viens de dire (on est sur NIS).
Les shadows c'est pas fait pour les chiens. Le pb c'est qu'en NIS tu peux pas faire de shadow.
-
Il a tort mais tout de même.
Il ne faut pas nier: la bonne démarche a avoir quand on trouve un bug ou une vuln (l'un comprend l'autre je sais :)), la premiere démarche, c'est de contacter le maintainer et non de divulger sans rien dire comme cartains... (faut pas croire c'est pas rare).
pas la peine d'en parler...
- legalement impossible ( 1er amendement US)
- techniquement impossible
- efficacité pour avoir des softs securisés: nulle.
affaire suivante.
( les news dans la rubrique humour et de surcroit qui parlent de microsoft ne devraient meme pas passer en homepage IMHO )
Cette page a été générée par Templeet en 0.2095s (dont 0.0172 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.