Articles précédents : Sécurité
- [0] Faille de sécurité dans l'outil « lprm » de OpenBSD
- [142] Faille de sécurité importante dans Sendmail
- [58] RedHat Advanced Server certifié COE
- [5] systrace rencontre iptables: fireflier (manque plus que "Xtrace")
- [20] Trou de sécurité dans PHP 4.3.0
- [124] VeriSign impose le support des adresses Web avec accents
- [2] Applications web : le top 10 des vulnérabilités
- [22] Un ver pour VIM
- [19] Sortie du HS de linux mag spécial Firewall act 2
- [159] Les députés durcissent la loi Sarkozy, entre autres sur l'informatique
Il est fortement conseillé de mettre à jour immédiatement.
![[en]](../../../images/en.png)
Annonce (778 hits)-
Le site de Samba (552 hits)
-
Source (577 hits)
> Lire les commentaires (26 commentaires, moyenne: 6,8).
apt-get update & upgrade
Je venais de faire un petit apt-get update, puis apt-get upgrade sur ma Debian Woody, et c'est déjà dispo.
Allez, tous a vos claviers ;-)
-
[^]Re: apt-get update & upgrade
Posté par the_freeman () le 16/03/2003 à 11:11. (lien). Évalué à 5.C'est dispos, mais il n'y a aucune information sur le sujet sur http://security.debian.org(...) (tout du moins pour le moment).
AL-
[^]Re: apt-get update & upgrade
Posté par Aurélien Jarno (page perso, ) le 16/03/2003 à 14:46. (lien). Évalué à 10.Il faut regarder sur la mailing list debian-security-announce :
http://lists.debian.org/debian-security-announce/debian-security-an(...)
-
[^]Re: apt-get update & upgrade
Posté par Pierre Pronchery (page perso, ) le 16/03/2003 à 15:08. (lien). Évalué à 10....ou sur les mailing lists publiques de securite, telles:
- bugtraq http://www.securityfocus.com/archive/1(...)
- full disclosure http://www.netsys.com/cgi-bin/displaynews?a=301(...)
sur lesquelles sont aussi postees les informations pour chaque distrib au fur et a mesure de leurs mises a jour respectives.--
khorben
-
Re: Remote root dans Samba
Slackware 8.1 et Slackware-current (très bientôt Slackware 9.0) ont été mises à jour. Un mail a été envoyé à slackware-security, et vous pouvez également consulter les ChangeLogs pour plus d'informations.
Re: Remote root dans Samba
Encore bravo pour la réactivité des développeurs de samba et des éditeurs de distributions. Personnellement je l'ai appris avec les alertes de sécurité de Debian.
Encore une démonstration que l'ouverture du code et son audit sont utiles.
Groar !
-
[+] [^]Re: Remote root dans Samba
Posté par Jar Jar Binks (page perso, ) le 16/03/2003 à 09:45. (lien). Évalué à -5.On peut espérer que ce type de gestion des alertes de sécurité sera considéré comme un exemple. Une réponse rapide, synchronisée et efficace, nous voilà loin des sendmail et autres SSH.
-
[^]Re: Remote root dans Samba
Posté par Sylvain Rampacek (Jabber id, page perso, ) le 16/03/2003 à 09:52. (lien). Évalué à 13.Je pense simplement que le bug à été découvert il y a quelques semaines/jours et tout le monde à travailler en collaboration avant de le rendre public...
Car là, si j'ai bien compris, tout le monde aurait travailler cette nuit pour faire les paquets des différentes distributions ? (mandrake, debian, suse, slackware, le team samba et sûrement d'autres !).-
[^]Re: Remote root dans Samba
Posté par Mr F (page perso, ) le 16/03/2003 à 11:03. (lien). Évalué à 13.Non le correctif Debian est disponible depuis le 15 mars, 17h45. Mais je pense aussi que la faille à été révélé aux distributions et l'équipe Samba avant l'annonce officielle. Ce qui me paraît logique.
-
[+] [^]Re: Remote root dans Samba
Posté par Jar Jar Binks (page perso, ) le 17/03/2003 à 09:14. (lien). Évalué à -5.Je pense simplement que le bug à été découvert il y a quelques semaines/jours et tout le monde à travailler en collaboration avant de le rendre public...
Évidemment. C'est la qualité de ce travail collaboratif que je faisais remarquer, pas la vitesse de disponibilité du correctif (d'ailleurs rien ne dit qu'ils n'ont pas mis 3 semaines à le pondre). La liste vendor-sec sert à ça.
-
-
[^]Re: Remote root dans Samba
Posté par Boa Treize (page perso, ) le 16/03/2003 à 09:58. (lien). Évalué à 13.Je n'ai pas suivi ces "affaires" de près, mais je sais qu'il existe des vulnérabilités faciles à patcher, et d'autres qui se révèlent être de très grosses prises de tête à corriger. Que Samba ait corrigé son trou de séculrité béant en peu de temps ne prouve rien quant à la qualité de leur travail, ou quant à la qualité du travail des équipes sendmail et SSH.
-
[+] [^]Re: Remote root dans Samba
Posté par Jerome Alet (page perso, ) le 16/03/2003 à 14:21. (lien). Évalué à -2.> Que Samba ait corrigé son trou de séculrité béant en peu de temps ne prouve > rien quant à la qualité de leur travail
Samba existe.
Quelle preuve supplémentaire te faut il de la qualité de leur travail ?-
[^]Re: Remote root dans Samba
Posté par Pierre Pronchery (page perso, ) le 16/03/2003 à 15:10. (lien). Évalué à 1.wu-ftpd existe aussi.
--
khorben-
[^]Re: Remote root dans Samba
Posté par Fabrice Clerc () le 16/03/2003 à 16:22. (lien). Évalué à 6.c'est pas un peu de la légende urbaine, les trous de wu-ftpd? Ca fait 3 ans que j'en entends parler, j'ai du mal à croire qu'en 3 ans, rien n'a été fait. J'ai du mal à croire que ce serveur soit parmi les plus utilisés s'il est si mauvais que ça, vu la propension des linuxiens à ne pas utiliser d'outils boggés.
Ca me fait penser aux gens qui disent du mal de Linux Mandrake alors que la dernière version qu'ils ont essayé est le 7.2 ou la 8.1...
Fabrice-
[^]Re: Remote root dans Samba
Posté par Pierre Pronchery (page perso, ) le 16/03/2003 à 16:33. (lien). Évalué à 5.Peut-etre que les dernieres versions n'ont pas de vulnerabilites publiques (j'ai pas regarde), mais en cherchant un peu tu peux trouver des versions vulnerables qui tournent toujours.
Malheureusement beaucoup d'administrateurs pensent "ca marche toujours, donc y a pas de raisons de changer" et ne se tiennent pas au courant des mises a jour des logiciels qu'ils utilisent.
D'autre part simplement parce qu'il est facile a configurer, et peut-etre meme propose par defaut dans certains systemes, ils vont le preferer a d'autres.
Et puis, ceux qui cherchent des failles ont plus tendance a le faire sur les systemes les plus courants...--
khorben
-
[+] [^]Re: Remote root dans Samba
Posté par Pierre Pronchery (page perso, ) le 16/03/2003 à 16:40. (lien). Évalué à -1.Ah et puis, c'etait qu'un exemple, pour dire:
"c'est pas parce qu'un logiciel existe qu'il est forcement bon"--
khorben
-
-
[+] [^]Re: Remote root dans Samba
Posté par Jerome Alet (page perso, ) le 17/03/2003 à 11:49. (lien). Évalué à -2.> wu-ftpd existe aussi.
Certes.
Serais tu capable d'écrire wu-ftpd ou Samba ?
Si oui serais tu capable de les écrire sans laisser de "trous béants" ?
Si oui alors chapeau !
Si non bin alors Camembert !
C'était le sens de mon message précédent.
Un peu d'humilité ne fait de mal à personne...-
[+] [^]Re: Remote root dans Samba
Posté par Jerome Alet (page perso, ) le 17/03/2003 à 13:25. (lien). Évalué à -1.ah bin vu les -1, je suppose que si : l'humilité fait du mal à quelqu'un...
-
-
-
-
-
[^]Re: Remote root dans Samba
Posté par Annah C. Hue (page perso, ) le 16/03/2003 à 10:09. (lien). Évalué à 22.C'est difficilement comparable.
Sendmail et SSH se trouvent généralement accessibles par tout un chacun, et un trou de sécurité dans ces machins-là permettent à n'importe quel Jean-Kevin d'exploiter la faille, tandis que dans le cas de samba, si l'admin n'est pas un gros naze, seuls les utilisateurs du réseau local pourront utiliser cette faille.
Les risques ne sont pas les mêmes, la réponse à donner non plus.-
[^]Re: Remote root dans Samba
-
[^]Re: Remote root dans Samba
Posté par Nicolas Roard (page perso, ) le 17/03/2003 à 00:23. (lien). Évalué à 2.d'un autre coté, la majorité des piratages sont internes aux entreprises, non ?
-
-
[^]Re: Remote root dans Samba
Posté par Pierre Pronchery (page perso, ) le 16/03/2003 à 15:14. (lien). Évalué à 9.Meme si samba est pas evident la premiere fois, Sendmail est certainement un cauchemar a packager. D'autant plus que sa configuration est difficile, et change parfois avec les nouvelles versions: certaines distributions ont du adapter la correction a d'anciennes versions de Sendmail pour cette raison.
Une mise a jour de securite de sendmail, c'est un vrai cauchemar pour les admins qui l'utilisent.--
khorben-
[^]Re: Remote root dans Samba
Posté par Philippe SOHM (page perso, ) le 16/03/2003 à 15:40. (lien). Évalué à 2.Une mise a jour de securite de sendmail, c'est un vrai cauchemar pour les admins qui l'utilisent.
Bah ils sont habitués-
[^]Re: Remote root dans Samba
Posté par Pierre Pronchery (page perso, ) le 16/03/2003 à 16:38. (lien). Évalué à 5.Pas forcement: si t'as fait la configuration style un an auparavant, et que t'as pas rebidouille du sendmail depuis... D'autant plus qu'il peut y avoir des changements de postes entre temps...
Non, tous les admins ne sont pas habitues a sendmail...--
khorben-
[^]Re: Remote root dans Samba
Posté par Slaanesh (page perso, ) le 17/03/2003 à 13:15. (lien). Évalué à 0.Jamais j'utiliserai sendmail (dans la mesure du possible bien évidemment)...c'est bien trop compliqué à configurer et y a bien trop de lignes à auditer....et py ca tourne en root....enfin bref rien de bien folichon.....
-
-
-
-
[^]Re: Remote root dans Samba
Posté par notrya2 () le 17/03/2003 à 23:13. (lien). Évalué à 6.> nous voilà loin des sendmail
Le dernier problème sendmail a été très rapidement corrigé et toutes les distribes proposait un update le jour même. Idem pour le dernier problème ssh (quoique les choses sont allées un peu moins vite. Mais le problème était moins grave).
-
Cette page a été générée par Templeet en 0.1192s (dont 0.0134 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.