Articles précédents : Sécurité
- [21] Le patch OpenWall
- [20] Passez sous le nez de Snort
- [2] Du nouveau dans l'affaire Kitetoa
- [8] Création d'une mailing list de signature de clé GPG
- [37] Virus pour tout le monde
- [17] Connexion au travers d'une passerelle
- [3] Steghide en français !
- [63] Faille de sécurité dans les noyaux Linux
- [37] Galiléo est lancé
- [4] Projet Sphinx
Liens connexes
- Securiteam (423 hits)
- OpenBSD 2.9 errata (285 hits)
- OpenBSD 3.0 errata (370 hits)
Dépêche modérée par
Sécurité : Un trou dans le logiciel mail sous OpenBSD
Posté par Nico (page perso, ). Modéré le 20 avril 2002.
Traduction partielle de la page de securiteam :
Le programme /usr/bin/mail accepte les séquences d'échappement lorsqu'il s'éxécute en mode « non interactif »
C'est donc lors d'une exécution par cron que cette faille peut être exploitée. L'utilisateur malveillant peut insérer des séquences d'échappement et ainsi mettre le système en péril.
![[en]](../../../images/en.png)
Securiteam (423 hits)-
OpenBSD 2.9 errata (285 hits)
-
OpenBSD 3.0 errata (370 hits)
> Lire les commentaires (17 commentaires, moyenne: 6,9).
[+] Bravo pour le scoop
Et on imagine bien sur que les administrateurs OpenBSD n'ont pas déja mis à jour.
(le patch est sorti sur la page errata il y a quelques jours deja)
-
[^]Re: Bravo pour le scoop
Posté par Annah C. Hue (page perso, ) le 20/04/2002 à 14:00. (lien). Évalué à 8.J'ai pas mis à jour mon openbsd qui sert juste de firewall (pf).
Il n'y a qu'un seul utilisateur : moi.
C'est mal ?-
[^]Re: Bravo pour le scoop
Posté par Christophe (rOotix) GUILLOUX (Jabber id, page perso, ) le 20/04/2002 à 15:51. (lien). Évalué à 17.un bon admin aura déjà patché depuis plusieurs jours déjà...
Je considère cette news uniquement à titre de rappel.
C'est vrai que chez moi, il me sert uniquement de firewall, de serveur de mail, de serveur web.
Bon, moment: choisir le bon patch président...--
http://rootix.info-
[+] [^]Re: Bravo pour le scoop
Posté par Annah C. Hue (page perso, ) le 20/04/2002 à 15:57. (lien). Évalué à -2.un bon admin aura déjà patché depuis plusieurs jours déjà...
Pourquoi serait-ce un bon admin ?
Un bon admin est un admin qui patche tout ce qui bouge ?-
[^]Re: Bravo pour le scoop
-
[^]Le mauvais admin ... et le bon admin
Posté par adonai () le 22/04/2002 à 15:43. (lien). Évalué à 2.Ben y'a deux sortes d'admins (sous unix ...celui qui a deja fait une connerie en tant que root et ... hem je m'égare). Donc deux sortes : T'as le mauvais admin ... y voit une faille ... bon y patche tu vois. Et y'a le bon admin, y voit une faille, alors la, y patche. Mais c'est un bon admin. D'ailleurs hésite pas avec tes amis, de temps en temps, fait un lacher de failles ... [-1 ... fopasdéconner]
-
-
-
sacré décalage
Sacré décalage entre le titre et le contenu...
Il n'y a pas un trou « dans les mails » mais un trou dans le programme mail fournit sous OpenBSD. La différence est phénoménale. Le terme employé fait penser à ce que connais Outlook... Alors que finalement, il s'agit que d'une faille classique : une erreur, un oubli... et pas une catastrophe mondiale.
Ca va faire bien quand on ne verra plus que le titre (dans la boite archive) tiens...
-
[^]Re: sacré décalage
Posté par pasBill pasGates () le 21/04/2002 à 00:10. (lien). Évalué à 4.Tiens, on minimise les failles de securite...
Imagines un instant qu'il y ait un buffer overflow dans Apache ou autre, premier abord on se dit "rien a craindre car il tourne en nobody".
Eh c'est con mais Apache peut lancer /usr/bin/mail, tu peux prendre alors un acces root a partir d'Apache alors qu'au depart tu etais avec 2 trous minimes...-
[^]-> le titre actuellement en ligne n'est pas celui dont je parlais
Posté par gnap gnap (page perso, ) le 21/04/2002 à 00:21. (lien). Évalué à 25.Tiens, on maximise les failles.
Une machine qui apache qui tourne et qui est accessible sur internet (donc pas de parefeu interdit la connexion à apache), c'est a priori pas la machine de monsieur tout le monde.
CONTRAIREMENT à la machine qui fait tourner MS Outlook.
Donc ces deux failles n'ont rien à voir. Le titre évoque les failles d'Outlook et des plates-formes microsoft, concernant le grand public et sans solution de sécurité pour eux, alors que ça ne concerne qu'un public restreint : les serveurs accessibles au public.
Certes, c'est une faille, qui peut faire des dégats. Néanmoins, le tittre original (celui qui est écrit actuellement n'est pas l'original, l'original parlait dans les « dans les mails » (cf ma citation ci dessus => à quand un suivi des modifications ?! Forcement, un propos critiquant une part d'une dépêche se retrouve très vite criticable/incompréhensible dès lors que cette part de la dépêche est corrigée)) est trompeur.-
[^]Re: -> le titre actuellement en ligne n'est pas celui dont je parlais
Posté par Benoît Sibaud (Jabber id, page perso, ) le 21/04/2002 à 11:17. (lien). Évalué à 5.Juste pour confirmer : j'ai modéré cette dépêche et modifié par la suite le titre à cause de la remarque de Yeupou (le titre original a dû resté environ 30 min samedi aprèm)
-
-
trollorak go !!!
<troll>
j'ai toujours su que openbsd n'était pas sûr.
Leur slogan (2 millénaires de releases sans faille de sécurité) va en prendre un coup.
Si avec çà vous êtes pas convaincu que c'est la NSA qui est derrière OpenBSD.
</troll>
c'est samedi et hop -1
au fait quelqu'un suit trustedbsd ?
On ne peut pas dire que ce soient les niouze qui encombrent leur page ouebe. http://www.trustedbsd.org/(...)
-
[^]Re: trollorak go !!!
Posté par Christophe (rOotix) GUILLOUX (Jabber id, page perso, ) le 20/04/2002 à 15:55. (lien). Évalué à 15.moment troll
Ils jouent sur la signification du slogan.
C'est la configuration, installation par défaut qui est sûr. Les softs en eux-mêmes ne le sont pas forcément et c'est impossible à prouver.
Aucun système n'est sûr à 100%, ça se saurait, non ?
fin du moment--
http://rootix.info
GNU/Linux aussi
Les distributions Linux ont aussi été touchées, en tout cas au moins Debian.
http://bugs.debian.org/cgi-bin/bugreport.cgi?archive=no\&bug=14(...)
Les autres distributions peuvent aussi l'avoir été, je pense que tout le monde devrait upgrader.
-
[^]Re: GNU/Linux aussi
Posté par gnap gnap (page perso, ) le 20/04/2002 à 15:37. (lien). Évalué à 7.tout le monde, tout est relatif ... seulement les machines qui donnent des shells à des utilisateurs qui peuvent être malintentionné...
tout le monde n'est pas admin d'un serveur/réseau...-
[^]Re: GNU/Linux aussi
Posté par DaFrog () le 22/04/2002 à 08:25. (lien). Évalué à 4.Si ta machine a au moins un port ouvert, alors tu es admin d'un serveur, que tu le veuilles ou non... Si une faille dans ton serveur [remplacer par ce qui tourne chez toi: web/mail/cups/ssh/...] permet a "nobody" de lancer "/bin/sh", tu viens de donner un shell a un utilisateur mal intentionne. :(
Moralite, si un package connu pour etre vulnerable est sur ta machine: upgrade le ou vire le!
DaFrog.-
[^]Re: GNU/Linux aussi
Posté par gnap gnap (page perso, ) le 22/04/2002 à 15:42. (lien). Évalué à 2.Tu peux avoir le port 80 ouvert, si t'as pas de serveur http qui tourne, ça ne pas chercher très loin...
-
-
[+] C'est pas le bugtrack ici...
en général j'aime bien les news diverses, mais là c'est vraiment nul:
Ce bug est sortit il y a déjà un certain temps. Si on veut les bugs, on s'abonne à la ml bugtrack (c'est la que j'ai su l'existence de ce problème). Les bugs de sécurité entre les différentes distrib linux, les BSD et le reste y en a pas mal par jour, ça n'a pas à faire de news ici.
Cette page a été générée par Templeet en 0.1039s (dont 0.0108 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.