Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.
L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).
Pensez à mettre à jour vos noyaux !
NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume. Il faut souligner le travail de l'equipe Debian ainsi que celle de RedHat et de SuSE qui ont permit de déterminer l'exploit utilisé lors de la compromission des serveurs Debian et par la même occasion de rendre publique cette faille (qui n'est pas spécifique au noyau Debian)
Cette faille permettait à un programme de l'espace utilisateur d'accéder à l'espace d'adressage du noyau.
Rappelons que c'était l'élément manquant de l'audit des serveurs compromis. Cette annonce soulage aussi beaucoup de personnes qui attendaient impatiemment la découverte de cet exploit jusqu'alors inconnu.
Pour ce qui concerne les noyaux Debian, la faille a été corigée pour les sources du noyau : version 2.4.18-12 ainsi que pour l'image i386 : version 2.4.18-14 et aussi pour l'image alpha : version 2.4.18-11
Dernière précision : l'annonce ne précise pas si les versions antérieures au 2.4.18 sont vulnérables ou non à cette faille.
Aller plus loin
- Debian alert DSA-403-1 (kernel) (9 clics)
- L'annonce sur Slashdot.org (7 clics)
- L'annonce sur DLFP de la compromission des serveurs Debian (9 clics)
- Le site du noyau Linux (5 clics)
# Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Baptiste SIMON (site web personnel) . Évalué à 10.
- le bug a été connu et corrigé bien avant l'exploit des serveurs debian, puisque cela date de septembre, juste après la sortie du 2.4.22 (ce qui explique sa vulnérabilité)
- ce qui s'est passé montre une faiblesse de l'OSS : le bug a été connu, "annoncé" (mais pas crié sur tous les toits) et corrigé... mais juste après la sortie d'une release... donc on a attendu qqs mois et la release suivante pour avoir un noyau patché "par défaut" contre cette faille.
Donc moi je dis bravo au Libre.... mais zut pour cette foutue faille connue depuis un moment qui n'a pas accéléré la sortie d'un nouveau noyau... pourtant cette faille était suffisament importante à mes yeux pour amployer de "grands" moyens ! L'acces au kernelspace par n'importe quel user dans le userland... ca fait mal au c** qd mm !
allez bonne nuité
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Baptiste SIMON (site web personnel) . Évalué à 7.
Je n'ai trouvé que 3 interventions de Morton... donc aucune ne parle de cette faille.
Andrew Morton:
o make printk more robust with "null" pointers
o sis900 skb free fix
o [netdrvr 3c527] add MODULE_LICENSE tag
Andrew Morton:
o inodes_stat.nr_inodes race fix
Andrew Morton:
o fix possible busywait in rtc_read()
o tty oops fix
Je n'ai trouvé qu'un seul corrictif sur le code de brk... mais pas fait par Morton, fait par marcelo :
<marcelo:dmt.cyclades>:
o Fix missing part of Centrino cache detection change
o Add TASK_SIZE check to do_brk()
bref... j'ai besoin de lumiere dans ma lanterne :c/
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Vivi (site web personnel) . Évalué à 8.
http://linux.bkbits.net:8080/linux-2.4/diffs/mm/mmap.c@1.32?nav=cse(...)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par free2.org . Évalué à 10.
c'est ici ! cela corrige un integer overflow dans brk
Il est à noter cependant qu'entre 2 release officielles du noyau les distribs proposent normalement des mises à jour intégrant des correctifs pour les failles venant d'être trouvées ! (sauf cette fois apparemment)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Dalton joe . Évalué à -6.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mathieu Pillard (site web personnel) . Évalué à 3.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par boboss . Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à -1.
Ben au hasard, le fait que les patchs pour Code Red, Nimda, Slammer, Blaster,... etaient dispo avant que le ver apparaisse.
En passant, Blaster n'a rien fait du tout chez nous, le departement IT forcait les patchs sur les machines, et menacait de bloquer les ports des machines non patchees.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Pierre Jarillon (site web personnel) . Évalué à -7.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Yves Agostini (site web personnel) . Évalué à 4.
Avec windows ils n'ont pas tout à fait tort ... un des derniers patch de Exchange (juin ?) fermait un trou de sécurité mais désactivait l'antirelayage. C'est ce qui a fait craquer mon dernier admin a vouloir utiliser exchange.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à -2.
http://www.linuxworld.com/story/32707.htm(...)
http://lwn.net/Alerts/41290/(...) (cf. partie "Update")
http://www.clustermatic.org/pipermail/linuxbios/2002-December/00133(...)
http://seclists.org/lists/linux-kernel/2003/Oct/1745.html(...)
Ca ce n'est que le kernel 2.4, je parles pas des autres composants de l'OS.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Yves Agostini (site web personnel) . Évalué à 2.
je vais faire quelques journeaux sur les absurdites de windows quand j'aurai le temps, ca ferra rire quelques personnes.
Maintenant mes admins font des "apt-get upgrade" sans risquer le malaise cardiaque alors qu'avec WindowsUpdate il fallait les menacer pour qui le fasse.
Mais c'est vrais que les mises a jour sun, hp-ux, aix, true64 donnent également des sueurs froides.
On peut notter ici la transparence de debian qui n'aurra aucun impact commercial ! et ne pourra que renforcer la confiance en debian
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à -3.
4 exemples sur le *kernel*
Maintenant tu rajoutes tous les autres composants de l'OS, on rigolera bien.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Nÿco (site web personnel) . Évalué à 1.
...mais c'est sûr que Windows offre très peu d'outils et de logiciels... tout tient sur un seul CD... ce n'est pas le cas des distros Linux/BSD qui offrent aussi des alternatives à (quasiment) tous les softs qu'ils proposent... combien ? 3 à 7 CD ? ou un DVD ? (c'est vrai qu'il n'y a pas encore de distro à 2 DVD... ;-)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Nicolas Boulay (site web personnel) . Évalué à -1.
Comment comparer le bug qui permet de lire un peu plus en mémoire pour certaine carte ethernet (donc fuites d'informations possible), des pb de drivers et toutes les remotes exploit de windows ? Les seuls bug important de linux sont les bugs ptrace et celui là de brk qui sont uniquement local. En combien de temps 2 ans ?
"La première sécurité est la liberté"
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à -3.
Je dis de lire la partie *Update* du lien, c'est pas pour rien :
"The kernels provided in MDKSA-2003:066-1 (2.4.21-0.24mdk) had a problem where all files created on any filesystem other than XFS, and using any kernel other than kernel-secure, would be created with mode 0666, or world writeable. The 0.24mdk kernels have been removed from the mirrors and users are encouraged to upgrade and remove those kernels from their systems to prevent accidentally booting into them."
On parlait des patchs qui foutent le boxon, c'est un exemple typique.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par jujubinche007 . Évalué à 9.
Je reçois des dizaines de rapports de sec, ils concernent solaris, windows XX, linux-kernel-XX, HP-UX, etc.
Je peux donc moi aussi par l'exemple, soit citer 250 failles windows, soit citer 250 failles dans gnu/linux (avec les appli, parceque même dos c'est "secure" sans net.exe ... ;-) ).
La force du libre est dans la securisation TRES satisfaisante / et TRANSPARENTE d'un système ouvert à tous. Celle de win ne passera (sans changement de politique) que part (ex)palladium et une forme d'atteinte aux libertés .. le probleme de paiement de licences etant pour microsoft aussi (plus?) important que quelques virus.
Maintenant, au niveau efficacité, on peut remarquer que moins de problèmes graves affecte l'internet "libre" que l'internet ISS/SQL/WIN .. il suffit de lire les infos de l'été.
Cela est en grande partie du à la diversité des systèmes libres (ce qui est une securité global - nombre de machine à polluer potentielles=moins de motivation pour le petit pirate minable - que n'aura jamais le monopole windows).
Pour finir, mon problème avec windows se situe plus au niveau IE/outlook-ex/outlook qui sont tout de même plus sensibles aux "blagues" que n'importe quel mozilla ... non ? moi j'ai flingué une machine XP en ouvrant un mail en utilisateur ... boum.
Ca agace (mais ce n'est que mon experience malheureuse). (je sais j'en rajoute :-D)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par jujubinche007 . Évalué à -1.
--->[]
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Dafatfab . Évalué à -1.
Et puis 2.4.21 c'est pas une version kernel "Debian-stable" donc c'est réservé à ceux qui veulent tester. NA. :)
(OK c'est un tantinet tiré par les Cheveux...)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à -2.
Tu as la liberte de risquer le meme sort que gnu.org ou debian
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Nÿco (site web personnel) . Évalué à 3.
Tu sais qu'on peut utiliser les mêmes propos contre toi ?... On essaie :
C'est vrai, t'es pas oblige de patcher.
Tu as la liberte de risquer le meme sort que les milliers d'entreprises qui se sont pris tous les vers et virus cette année. C'était du Microsoft tout ça.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par tene . Évalué à 4.
Sérieux, c'est quoi le délire là? ms est proprio, cool on le sait, linux c'est libre, on le sait aussi... reste quoi? kicékipatchleplusmieux? Aucun des deux amha, c'est l'utilisateur (l'admin plus précisément):
- ici on a une faille linux corrigée avant et applicable au kernel.
- concernant les joyeuseté de l'été, un patch existait avant... mais faut que l'utilisateur l'applique.
En bref, sans dire que l'un est meilleur que l'autre (on s'en fout, une faille suffit pour foutre une réseau dans la merde, peu importe qu'il y'en ait 8000 ou 1 autres possibles).
Amha, il serait plus constructif, aussi bien niveau windows que linux de chercher un moyen de rendre l'utilisateur moins ... enfin plus... enfin vous voyez ce que je veux dire ;) (on estime que 99% des attaques sont évitable, mais arrive à cause d'erreur de l'utilisateur/admin). Et concernant cela, l'avantage du logiciel libre est qu'il y'a une possibilité (faible dirons certains, et vu l'énormité de certaines structures, on peut les comprendre) de changer les choses, alors que pour le monde proprio on se retrouve a devoir faire confiance à l'économie de marché. En bref, la question que je me pose: à quand un système de mise à jour réellement automatique avec rollback simple et effiace en cas de problème (et automatique idéalement) avec un download en arrière plan efficace (pour pas stupidement saturer la bp quand on en a besoin). J'ai l'impression qu'on en est pas encore là (faut dire aussi je suis une bille en linux, mais bon un apt-get qui fout le système en l'air, genre difficilement récupéraible, pas top...).
Voilà, c'est mes 2 cents, en résumé, je pense qu'un échange constructif sur "comment rendre nos systèmes plus à jour automatiquement et de façon sûre" pourrait être intéressant.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par helf (site web personnel) . Évalué à 3.
Il faut choisir le bon outil pour la bonne opération.
Et un outil çà rend service à un utilisateur, pas le contraire.
Moi toutes mes machines (40 serveurs et postes de travail) sont en linux depuis 5 ans et sans aucun souci.
Donc pas de prosélytisme. Chacun choisit :)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par disanv . Évalué à -1.
economie de marche/economie dirigee/mixte des deux et logiciels proprietaires/libres sont deux debats orthogonaux
en l'occurence, avec les logiciels libres, tu est tout autant a la merci de l'économie de marché.
si le mainteneur upstream de tel ou tel package se moque de tel ou tel bug ou a disparu dans la nature et que personne n'as repris le logiciel, tu est exactement dans la meme situation qu'un logiciel proprietaire.
il arrive que l'on doive se tourner vers une alternative libre au logiciel libre que l'on utilise pour de telles raisons.
tu confonds commercialisation, droits de propriete et "sympathie" des grosses structures (qu'elles soient entreprenariales, etatiques ou que sais-je d'autres) envers les individus.
ce qui fait la perennite des logiciels libres, puisque l'on parle de cet avantage des logiciels libres (il y en bien evidemment beaucoup d'autre) est que la liberte de copier/modifier les sources permet au logiciel de survivre aux aleas economiques tel que faillite, fin de produit car vendu a perte, ...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Baptiste SIMON (site web personnel) . Évalué à 3.
ben non ce n'est pas la mm chose...
- si un mainteneur "upstream" veut pas intégrer la correction d'un bug, deux choix : soit tu patches pour ta gueule (distro, @home, @work) en ayant de préférence publier les sources sous GPL qqpart, soit tu forkes.
- si un mainteneur a disparut dans la nature, là encore tu as faux. Si le projet est à l'abandon, soit tu trouves un moyen pour en récupérer le leadership, soit tu forkes...
Tu vois qu'on est pas autant dans la merde avec du logiciel libre (notez le petit "L") qu'avec du soft proprio...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par disanv . Évalué à -1.
j'explique que ce qui fait la perennite des logiciels libres (...) est la liberte de copier/modifier les sources et tu me reponds non, c'est la disponibilites des sources....
ce que je critiquais, c'etait le melange des genres (liberte(s) des utilisateurs et droits d'auteur vs type de systeme economique/politique).
relis calmement avant de repondre la prochaine fois svp.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Baptiste SIMON (site web personnel) . Évalué à 2.
J'ai relu de nouveau calmement (de nouveau aussi) ce que tu as dis, et je persiste... on n'est pas obligé de se tourner vers d'autres alternatives Libres si le mainteneur principal d'un projet a foutu le camp :c/ A moins que la phrase en italique citée plus haut ne soit pas de toi (ou soit une reformulation menant à démontrer une erreur)... auquel cas, soit, tu as raison.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par disanv . Évalué à 1.
alors pourquoi tant de pilotes sont-ils en desherence ? a commencer par ide-scsi, humm ?
de toute facon, ceci n'est pas ce que je soulignais; je soulignais que la ntion d'economie de marche n'avait rien a faire ici
et je persiste.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Arachne . Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par disanv . Évalué à 1.
c tellement ridicule de passer par la couche SCSI que les grande majorite des pilotes pour les controlleurs SATA (qui gerent egalement qq "anciens" controleurs PATA de chez intel) utilisent libata qui passe ... par la couche SCSI.
c vraiment aburde, hein ?
pour revenir au sujet initial, ide-scsi n'est qu'un exemple. il y a d'autres pilotes en desherence[0]; le point n'est pas de savoir pourquoi tel ou tel pilote n'est plus maintenu. l'important n'est pas de savoir si /dev/sg est une bonne interface unifiee ou pas, si tous les disques devraient etres vu de maniere identique quel que soit le bus surlequel est connecte leur controlleur ou si ide-scsi est une pile de merde.
dans le cas d'ide-scsi, de nombreux utilisateurs se plaignent de son abandon. il y a aussi le mainteneur de cdrecord mais bon la il y a de la mauvaise volonte de sa part.
l'important est de constater que la disponibilite des sources allie a la presence d'une demande n'est pas suffisante pour permettre la continuite d'un projet (ou ici d'un pilote). donc oui , je maintiens qu'il arrive que l'on doive se tourner vers une alternative libre au logiciel libre que l'on utilise pour de telles raisons. (ici ide-cd a la place d'ide-scsi[1])
c'est une condition necessaire mais pas suffisante. il faut egalement que des gens motives et competents soient disponibles. parfois, il vaut mieux tout reecrire a cote, et passer a un autre projet (ici pilote).
d'ailleurs, dans le domaine des pilotes, ide-cd vs ide-scsi n'est pas le seul exemple de competition entre pilotes due a une perte de maintenance (cf 359x vs 3c575_cb, sym53c8xx_2 vs sym53c8xx, xd vs ide-disk, ...)
[0] mais il y a aussi des pilotes de controlleurs scsi qui n'ont pas ete mis a jour pour la gestion des erreurs, des pilotes de cartes son isa qui ne sont plus maintenus depuis des "decennies", ...
[1] en plus on gagne l'utilisation du dma en gravure :-)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par tene . Évalué à 2.
Ah bon? pourquoi fais tu toi même des rapport entre les aléas économique et le logiciel libre ou proprio?
Si tu penses que je sous-entendais un rapport entre libre et communisme, ce n'est pas le cas. Mais j'avoue avoir du mal à comprendre d'où tu tire cela...
en l'occurence, avec les logiciels libres, tu est tout autant a la merci de l'économie de marché.
Non il te reste la possibilité de le "faire toi même" ou de le faire faire... ce qui n'est pas toujours évident, comme j'ai pu le tester pratiquement, et comme je l'ai sous-entendu.
tu confonds commercialisation, droits de propriete et "sympathie" des grosses structures (qu'elles soient entreprenariales, etatiques ou que sais-je d'autres) envers les individus.
Ou ai-je parlé de commercialisation ou de droit de propriété?
En bref, éclaire moi, je ne comprends pas ton post, tu l'as lu, tu as compris l'idée? était-ce un débat proprio/libre/économie? que penses-tu d'améliorer la sécurité en se concentrant sur les 99% des problèmes évitables, au lieu des 1% de faille inconnues?
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mickael_83 . Évalué à 4.
donne un seul exemple d'une faille linux , ou sendmail ou mysql ou autre, qui ait été mondialement connue et exploité et qui a mis des milliers d'entreprises par terre, en leur coutant beaucoup de ronds ....
Peut-être y'en a eu, je sais pas, j'en ai jamais entendu parler (pourtant dieu sait si sendmail est critiqué, mais j'ai pas souvenir qu'il se soit fait démonter comme l'a été exchange, et bizarrement c'est le plus pourri qu'est payant !)
Donc, si t'as des liens à fournir là dessus, des liens qui montrent qu'un linux défectueux (et pas installé par des yuriths) a entrainé la liquidation d'une société et la mise au chomage de tout son personnel, n'hésite pas donne, c'est pour élargir ma culture. Attention, je dis pas que c'est impossible, mais je veux voir.
Et puis, une différence importante entre les failles linux et windows: pour exploiter celle de linux, va quand même falloir que tu te lèves tôt le matin, que tu te prépares quelques litres de café et que tu ais des munitions de clopes. Pour windows, suffit juste de te rendre sur une page web ou d'ouvrir un malheureux email....
Mais bon, on peut se rassurer, bill a dis qu'il allait faire de la sécurité sa priorité numéro un! Peut-être qu'il va sortir une distribution linux alors...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 1.
Virus qui passait par Openssl
Donc, si t'as des liens à fournir là dessus, des liens qui montrent qu'un linux défectueux (et pas installé par des yuriths) a entrainé la liquidation d'une société et la mise au chomage de tout son personnel, n'hésite pas donne, c'est pour élargir ma culture. Attention, je dis pas que c'est impossible, mais je veux voir.
Si t'as la meme chose pour MS, donne je veux voir aussi.
Et puis, une différence importante entre les failles linux et windows: pour exploiter celle de linux, va quand même falloir que tu te lèves tôt le matin, que tu te prépares quelques litres de café et que tu ais des munitions de clopes. Pour windows, suffit juste de te rendre sur une page web ou d'ouvrir un malheureux email....
Je te rassures, sur Linux aussi lire un e-mail ca suffit :
http://www.sfu.ca/~siegert/linux-security/msg00107.html(...)
http://www.cotse.com/mailing-lists/bugtraq/1999/0491.html(...)
http://www.opennet.ru/base/exploits/1063730283_626.txt.html(...)
...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mickael_83 . Évalué à -1.
Ben vas y donne moi le nom, j'sais pas je l'ai jamais vu dans le coin.
En plus, franchement t'as peur de rien en donnant ces exemples là !! Mutt, pine et Fingerd, rien que ça !!! Snifff....
J'vais t'en donner d'autres dans le même genre alors, tant qu'à faire dans le comique (et le ridicule): compte root sans mot de passe avec telnet ou ftp ouvert, Xchat avec DCC Send auto-accept et configuré dans ~/, les mots de passes admin envoyé en clair par mail sur msn aussi, non, pourquoi pas tant qu'on y est ??? Sérieux, t'as essayé d'être drôle là, t'as jamais cru dans les arguments que tu viens de donner ? Si ? ..... alors c'est que t'as jamais approché un manchot de ta vie, tu l'as vu de loin, de dos et par temps de brouillard! En plus il devait neiger....
Bon, pour les exemples sur les faillites dues au merveilleux fonctionnements de M$ (me permet de glisser un petit "mauvaise foi au passage"), t'en faire la liste, ça va être long, alors je citerais les coupables:
1999 & 2000 : BubbleBoy, IloveYou, Melissa, Joke, Resume, des milliards de $ de dégats, en temps perdu, main d'oeuvre, remise en état de fonctionnement, non, ça te dit rien ? Vraiment ?
dansie.net et les formulaires permettant de prendre le controle à distance de la machine, pure divagation de ma part ?
aout 99: IISv4 et "journées portes ouvertes", Goga, toujours rien ?
aout 99 toujours : IIShack, me dit pas que t'es passé à coté ?
2001: Les mots de passes messenger et hotmail piratables, toujours rien t'es sur ?
fin juillet 2001: le kurchatov et le bug dans SQL Server, l'arsenal nucléaire américain et soviétique ? Non, t'étais pas là peut-être, en vacances sur Vénus ? (p'tit lien pour rafraichir la mémoire : http://www.cdi.org/nuclear/nukesoftware.html(...))
Aoùt 2001, Wurzler, l'assureur américain, qui informe tous ses clients qui utilisent IIS5 qu'il paieront une majoration de 15%, à cause des dégats et des piratages que celui ci engendre, t'es passé à coté aussi, non ? Décidémment pas de chance...
Octobre 2001, microsoft qui veut faire interdire toute diffusion d'information relative aux failles de sécurité de ses logiciels ( http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...) ), arguant du fait qu'ils n'arriveront jamais à les corriger, celui là, je suppose qu'il était écrit trop petit et que tu l'as pas vu, c'est ça ? Zut alors !!
Je continue ? Non, mon but n'est pas là... Alors, mon petit "mauvaise fois" est il justifié ou non ?
Va dire à ton patron que sa technique consistant à dénigrer la sécurité de linux pour vanter celle de M$, à répendre des FUD, vient de lamentablement échouer sur le site de linuxfr, qu'il va falloir qu'il te donne des arguments crédibles pour te battre, pour vendre son produit, qu'il conçoive un vrai OS en fait. Non, en fait, change de boite, ce sera carrément mieux pour toi, et beaucoup plus réaliste ! Il parait que vous allez faire des autoradios maintenant ? On se recycle un peu comme on peut....
Note, j'ai absolument rien contre toi, souvent tes interventions sont pertinentes , mais là, sur ce plan là, tu devais savoir d'avance que tu allais te prendre de sévères retour ?
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 3.
Ben vas y donne moi le nom, j'sais pas je l'ai jamais vu dans le coin.
Va voir par toi meme http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=(...)
En plus, franchement t'as peur de rien en donnant ces exemples là !! Mutt, pine et Fingerd, rien que ça !!! Snifff....
Faut savoir, je croyais que c'etait pas possible de se faire entuber en lisant un e-mail sous Linux ?
T'as change d'avis ? Ou plutot tu ne sais pas de quoi tu parles ?
J'vais t'en donner d'autres dans le même genre alors, tant qu'à faire dans le comique (et le ridicule): compte root sans mot de passe avec telnet ou ftp ouvert, Xchat avec DCC Send auto-accept et configuré dans ~/, les mots de passes admin envoyé en clair par mail sur msn aussi, non, pourquoi pas tant qu'on y est ??? Sérieux, t'as essayé d'être drôle là, t'as jamais cru dans les arguments que tu viens de donner ? Si ? ..... alors c'est que t'as jamais approché un manchot de ta vie, tu l'as vu de loin, de dos et par temps de brouillard! En plus il devait neiger....
Pourquoi ? C'est etre idiot que de lire ses e-mails avec Mutt ou Pine ? Il y a quoi de different par rapport a lire ses e-mails avec Outlook ?
Tu me parles de mauvaise foi, faudrait te regarder dans la glace.
C'est con que tu fasses pas le meme genre de liste pour Linux et consorts, parce que t'arriverais au meme resultat.
Un trou de securite sur Windows ou Linux, c'est le meme topo.
Qu'ensuite des millions de personnes sous Windows soient touchees et pas sous Linux car il y a des dizaines de millions de gens utilisant Windows et pas Linux, ca n'a rien a voir, l'erreur a la base est exactement la meme chez Windows et chez Linux.
Bref, ta liste elle correspond a quoi ? Elle ne fait que montrer que des gens n'updatent par leurs softs, qu'il y a des trous dans des softs Microsoft, comme partout ailleurs, et que quand un soft est hyper repandu, ca fait bcp de gens touches.
Ta liste ne signifie absolument rien quand au fait que MS est pire que les autres, car n'importe qui d'autre a la place de MS(sur 95% des desktops, 50% des serveurs) se retrouverait avec le meme resultat.
Quand a
Octobre 2001, microsoft qui veut faire interdire toute diffusion d'information relative aux failles de sécurité de ses logiciels ( http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...)) ), arguant du fait qu'ils n'arriveront jamais à les corriger, celui là, je suppose qu'il était écrit trop petit et que tu l'as pas vu, c'est ça ? Zut alors !!
Faudrait que t'apprennes a lire.
Ce qu'il demande c'est de retenir les infos de l'exploit jusqu'a ce que le patche sorte plutot que le sortir tout de suite.
Il ne parle pas de garder un silence total sur les failles.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mickael_83 . Évalué à 1.
C'est un vers, pas un virus. Et me dit pas que y'a pas de différence, y'en a une et elle est énorme. Enfin du moins sous linux :-))
> Pourquoi ? C'est etre idiot que de lire ses e-mails avec Mutt ou Pine ? Il y a quoi de different par rapport a lire ses e-mails avec Outlook ?
AMHA, oui, mais ça n'engage que moi. La différence ? Windows n'est livré qu'avec outlook express, la moindre distrib a au moins une quinzaine de client mail. Donc l'utilisateur a le choix du logiciel qu'il va utiliser pour lire ses messages. Après, s'il choisit des truc pas libre et pas sécurisé, ça reste son problème, et tant pis pour lui, mais au moins au départ il a le choix ! Sous Outlook, un petit mail avec un exe ou une page html volontairement mal codée, et bing au revoir...
Envoie moi autant d'exe que tu veux et autant de ces pages html, vas-y te gène pas, à part me faire rire, ça me fera pas grand chose! Il va s'en passer du temps avant que t'arrives à modifier ma base de registre
>C'est con que tu fasses pas le meme genre de liste pour Linux et consorts, parce que t'arriverais au meme resultat.
Suis pas certain, moi je l'ai fait pour windows, je te laisse volontiers me sortir la liste pour linux. En même temps, je te recommande la lecture du rapport "Internet et Entreprise, mirages et opportunités", commandé par le ministère de l'Economie, des Finances et de l'industrie, avec le concours du Conseil Général des Mines et le conseil Général des Technologies de l'Information, rapport rédigé par Jean Michel Yolin, Ingénieur Général des Mines. http://www.cgm.org/rapports/yolin/mirage2002.PDF(...)
Certes, tu pourras toujours me dire que c'est pas objectif et qu'ils ont du touché des dessous de table de linus lui-même, pourquoi pas, tant qu'on est dans la désinformation...
>Elle ne fait que montrer que des gens n'updatent par leurs softs, qu'il y a des trous dans des softs Microsoft, comme partout ailleurs, et que quand un soft est hyper repandu, ca fait bcp de gens touches.
Ben tiens, c'est la faute des gens... C'est vrai ces cons là, ils achètent un système d'exploitation à 1000 balles, pas complètement fini, et ils prennent même pas l'antivirus à 1000 balles qui va avec ! Et y'a même des idiots pour prendre un pack office word+excel+outlook à 2500 balles et qui vont même pas sur le net pour appliquer le SP1 ou le SP2 c'est selon.... Tant pis pour eux, office 2003 se chargera de la destruction de leurs documents. Mais qu'est ce qu'on croit là ? Qu'avec 4000 balles de softs on est correctement protégé et opérationnel ? faut pas délirer non plus, vous prendrez bien madame un petit firewall (planté mais fo pa le dire) pour la somme de 1500 balles ?
Et puis, c'est vrai que le DSL est tellement répandu en France, que les mises à jours via windows update sont hyper-aisées, n'est ce pas ? Quel con l'utilisateur de ne pas savoir que la première chose à faire quand on connecte son windows au net est d'aller sur update. Et c'est tellement marrant de redémarrer 15 fois sa bécane en une heure, et pour le néophite de faire les bons choix parmi toutes ces mises à jours. Car Windows s'adresse aussi au néophite, n'est ce pas ?
Tes produits, je les connais par coeur, je les ai vendu pendant 5 ans, chez un gros assembleur du sud. Puisque mes innocentes victimes me pardonner...
Je les ai aussi réinstallé pendant 5 ans, sur les bécanes des clients parce que ça arrétait pas de planter! Et bravo pour le support en ligne sur les produits comme NT4 server ou 2000 server :"nous n'offrons de support technique qu'aux entreprises ayant un technicien MCE". Donc forcément les entreprises se rabattent sur l'assembleur. Merci pour lui. J'ai fait aussi tous ces séminaires à 2 balles, et le discours sur la stabilité et la sécurité je le connais par coeur.
Au fait, la faille béante RPC, vous en êtes où de sa correction ? Parce que ça fait quand même un bail que vous la trainez celle là....
>Ce qu'il demande c'est de retenir les infos de l'exploit jusqu'a ce que le patche sorte plutot que le sortir tout de suite.
Il ne parle pas de garder un silence total sur les failles.
Personne n'aura vu le méchant sous entendu... C'est du politiquement correct là ?
Mais supposons même dans un total délire que linux soit aussi planté (!) que windows. Ben reste quand même une différence: y'en a un qui m'aura couté 5000 balles supplémentaires pour commencer à utiliser de façon convenable mon PC, l'autre y m'aura rien couté. Qu'un OS et des logiciels libres et gratos plantent sur ma machine, me perdent mes données, mes documents et toutes les choses précieuses que j'ai dessus(ça m'est jamais arrivé en 5 ans), j'aurai les boules, certes. Mais quand je débourse une telle somme en espèrant avoir un système stable et qu'il s'avère que c'est une m**** sans nom, instable, friande d'écran bleu, et sans garanti, excuse moi mais là y'a franchement de quoi les avoir à l'envers. En plus, j'ai même pas le droit de le réinstaller sur une autre machine,si je viens à en changer, vu que c'est un OEM...(elle est pas mal celle là, non ?)
Enfin, je sais bien que tu vas argumenter sur d'autre chose, mais là, je me lasse un peu, et de toute façon, c'est peine perdu vu que ton attitude se conforme au mot d'ordre de M$: dénigrer linux sur la sécurité. Tu fais bien ton travail et je pense pas être le seul à l'avoir remarqué. Alors défoule toi bien :-)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Anonyme . Évalué à 0.
-1
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 0.
C'est marrant, parce que sous Windows aussi t'as le choix, tiens moi par exemple, j'utilises pas Outlook a la maison.
Et puis, c'est vrai que le DSL est tellement répandu en France, que les mises à jours via windows update sont hyper-aisées, n'est ce pas ? Quel con l'utilisateur de ne pas savoir que la première chose à faire quand on connecte son windows au net est d'aller sur update. Et c'est tellement marrant de redémarrer 15 fois sa bécane en une heure, et pour le néophite de faire les bons choix parmi toutes ces mises à jours. Car Windows s'adresse aussi au néophite, n'est ce pas ?
Ah c'est con, parce que Windows Update t'as pas besoin de savoir qu'il faut y aller, Windows y va tout seul et t'avertit quand il y a des updates. D'autre part, pas besoin de 15 reboots non plus.
T'es sur que tu connais Windows ?
Tes produits, je les connais par coeur, je les ai vendu pendant 5 ans, chez un gros assembleur du sud. Puisque mes innocentes victimes me pardonner...
Je les ai aussi réinstallé pendant 5 ans, sur les bécanes des clients parce que ça arrétait pas de planter! Et bravo pour le support en ligne sur les produits comme NT4 server ou 2000 server
Si toi tu connais nos produits par coeur, tu le montres tres tres mal.
Au fait, la faille béante RPC, vous en êtes où de sa correction ? Parce que ça fait quand même un bail que vous la trainez celle là....
Laquelle ?
Ben reste quand même une différence: y'en a un qui m'aura couté 5000 balles supplémentaires pour commencer à utiliser de façon convenable mon PC, l'autre y m'aura rien couté. Qu'un OS et des logiciels libres et gratos plantent sur ma machine, me perdent mes données, mes documents et toutes les choses précieuses que j'ai dessus(ça m'est jamais arrivé en 5 ans), j'aurai les boules, certes. Mais quand je débourse une telle somme en espèrant avoir un système stable et qu'il s'avère que c'est une m**** sans nom, instable, friande d'écran bleu, et sans garanti, excuse moi mais là y'a franchement de quoi les avoir à l'envers
C'est marrant ta description de Windows, on sent vraiment le gars qui connait Windows.
peine perdu vu que ton attitude se conforme au mot d'ordre de M$: dénigrer linux sur la sécurite
C'est marrant, tu me montres ou j'ai dit que Linux etait pire que Windows ?
Ah oui bien sur, tu ne vas pas y arriver.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par disanv . Évalué à 0.
ne soit pas de mauvaise fois, il a explicitement ecrit: «a différence ? Windows n'est livré qu'avec outlook express, la moindre distrib a au moins une quinzaine de client mail. Donc l'utilisateur a le choix du logiciel qu'il va utiliser pour lire ses messages.»
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par #3588 . Évalué à 2.
Ca aurait été plus impressionnant si ta liste n'avait concerné que du logiciel libre...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 0.
Le point etant simplement de montrer que l'OS Linux(ou GNU/Linux pour ceux qui y tiennent) n'est pas plus protege de ce type de problemes que Windows.
Ce n'est pas une histoire de libre ou pas, c'est une histoire de conception d'OS et d'applications tournant sur un OS donne, et le resultat tel que montre est que Windows et Linux sont identiques sur ces points, memes risques, memes resultats.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par #3588 . Évalué à 2.
Ah, l'utilisateur grand public ira s'installer Pine, qui n'est pas dans sa distrib pour des problèmes de licence, alors que son installation par défaut lui aura mis un beau client graphique libre, édition "Luce et Henri-friendly" ? Voila une intéressante prédiction.
« Le point etant simplement de montrer que l'OS Linux(ou GNU/Linux pour ceux qui y tiennent) n'est pas plus protege de ce type de problemes que Windows. »
Le point n'est pas seulement là, mais tu aimes bien simplifier de la manière qui t'arrange.
« Ce n'est pas une histoire de libre ou pas, c'est une histoire de conception d'OS et d'applications tournant sur un OS donne, et le resultat tel que montre est que Windows et Linux sont identiques sur ces points, memes risques, memes resultats. »
Et tu oublies la moitié du problème qui concerne les logiciels effectivement utilisés, et qui recoivent le plus d'attention. Je ne dis pas que tu as tort, mais tes exemples ne sont pas pertinents (des utilisateurs de Mutt et autres logiciels en console qui ne sont pas au courant qu'il faut patcher ? -- des exemples avec du logiciel desktop/grand public auraient été plus impressionnants, voila tout ce que je disais).
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 0.
> Tu as la liberte de risquer le meme sort que gnu.org ou debian
C'est vrai qu'avec une faille locale, je suis mort de peur.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mr F . Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 2.
Ben non, justement, eh.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 0.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 3.
C'est ça, la différence.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 0.
Et quand il y a une faille dans Mozilla, Evolution, Mutt, etc... ?
cf. plus haut pour voir que oui, il y en a, et resultat, si tu installes pas ces patchs, tu passes d'une faille limitee a ton user a une faille atteignant le systeme entier.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 3.
De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 0.
Ah ? Et j'accuses l'OS ou moi ?
Tout ce que je dis, c'est que Linux et Windows n'ont aucune difference au niveau de la protection contre ce genre de problemes, rien d'autres.
D'autre part quel est l'interet de savoir si les softs sont independants de l'OS ou pas ?
La question est : tel OS est-il plus protege que l'autre contre ce type d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.
De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).
http://www.cert.org/advisories/CA-2000-17.html(...)
"The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions."
Voila je t'en ai trouve un, dans un service demarre par defaut sur plusieurs distributions comme dit plus haut, et le plus drole est que le service est le meme type de service que pour Blaster : RPC.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 3.
Parce qu'un soft indépendant de l'OS, quand il est troué et qu'on le sait troué depuis des années, on peut le virer sans difficulté pour le remplacer par un autre moins troué ?
> La question est : tel OS est-il plus protege que l'autre contre ce type
> d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.
Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.
> Voila je t'en ai trouve un, dans un service demarre par defaut sur
> plusieurs distributions comme dit plus haut, et le plus drole est que
> le service est le meme type de service que pour Blaster : RPC.
Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à -1.
Tu m'expliques alors comment font les les gens qui utilisent Eudora ou Mozilla sous Windows ?
Magie noire ?
Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.
Et la reponse est fausse.
1) Il n'est pas plus complique de hacker un Linux ou un Windows troue
2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux
3) Propager un trou c'est le meme topo sur Linux et Windows, quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL
Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.
On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque il utilisait Redhat ou Mandrake, certainement pas Debian.
C'etait sur un service demarre par defaut, donc tous les utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin d'installer NFS, le service etait deja la, et demarre par defaut.
N'importe qui aurait pu ecrire un ver qui se propage par cette porte d'entree.
Bref, la seule difference avec Blaster, c'est que qq'un a ecrit Blaster, alors que personne n'a pris la peine d'ecrire un ver pour la faille sous Linux (vu que tres peu de gens utilisent Linux).
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 2.
> ou Mozilla sous Windows ?
> Magie noire ?
Tu m'expliques comment désinstaller Internet Explorer et Windows Media Player facilement sous Windows ? Parce que bon, quitte à utiliser un autre soft, autant récupèrer l'espace disque encombré par les autres, hein ? Ah ben non, tu peux pas.
> Et la reponse est fausse.
> 1) Il n'est pas plus complique de hacker un Linux ou un Windows troue
Ah ça, c'est clair qu'exploiter la faille du do_brk() c'est à la portée du premier venu. Non mais tu te relis des fois ?
> 2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux
Je ne dis pas le contraire. Après, manifestement, il y en a de plus faciles à exploiter que d'autres.
> 3) Propager un trou c'est le meme topo sur Linux et Windows,
> quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL
Si tu parles de celui-ci : http://www.linuxsecurity.com/articles/security_sources_article-5699(...) il faut Apache. Allo ? Ça fait combien de fois que je t'en réclame un qui se propage de la même façon que Blaster, c'est à dire _sans_ serveur sur la machine ?
> On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque
> il utilisait Redhat ou Mandrake, certainement pas Debian.
Et pourquoi pas ? C'est quoi tes sources ?
> C'etait sur un service demarre par defaut, donc tous les
> utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin
> d'installer NFS, le service etait deja la, et demarre par defaut.
Eh non, perdu, c'est un service qui vient avec NFS même sur une RH ou une Mdk ou une SuSE, et NFS l'utilisateur lambda n'en a vraiment strictement rien à foutre.
> N'importe qui aurait pu ecrire un ver qui se propage par cette
> porte d'entree.
Je note ton utilisation du conditionnel. Ah ben oui, ça change tout. P'tet ben que ça aurait marché pareil que Blaster si ça avait existé, et pis p'tet ben que non.
>Bref, la seule difference avec Blaster, c'est que qq'un a ecrit
> Blaster, alors que personne n'a pris la peine d'ecrire un ver pour
>la faille sous Linux (vu que tres peu de gens utilisent Linux).
Ha ha ha, elle est bien bonne. Bon, non seulement tu réponds à coté de la plaque mais en plus tu en profites pour rajouter les conneries habituelles entendues mille fois. Moi qui avais coutume de penser que tu te faisais moinsser uniquement pour délit d'opinion, je constate que finalement niveau mauvaise foi et ignorance tu fais aussi fort que la plus intégriste des moules qui traîne ici-bas. Félicitations.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à -1.
Et ? La n'est pas la question, la question est d'utiliser ou pas d'autres softs, avoir 2 softs du meme type installes n'est pas le probleme.
Ah ça, c'est clair qu'exploiter la faille du do_brk() c'est à la portée du premier venu. Non mais tu te relis des fois ?
Ah, et tu crois qu'exploiter un buffer overflow sous Windows est plus simple ? T'as deja essaye ?
Si tu parles de celui-ci : http://www.linuxsecurity.com/articles/security_sources_article-5699(...)) il faut Apache. Allo ? Ça fait combien de fois que je t'en réclame un qui se propage de la même façon que Blaster, c'est à dire _sans_ serveur sur la machine ?
Je parles de n'importe quel trou de securite remote, le trou par les RPC compris.
Un ver ce n'est rien d'autre qu'un exploit automatise, rien de miraculeux la-dedans, tu peux faire la meme chose sur n'importe quelle plateforme.
Et pourquoi pas ? C'est quoi tes sources ?
Ce trou etait en 2000, va donc jeter un oeil sur la facilite d'utilisation de Debian par rapport a RH et Mandrake a l'epoque, tu comprendras tout seul.
Eh non, perdu, c'est un service qui vient avec NFS même sur une RH ou une Mdk ou une SuSE, et NFS l'utilisateur lambda n'en a vraiment strictement rien à foutre.
Bon on va t'aider vu que t'as du mal a lire.
http://www.cert.org/advisories/CA-2000-17.html(...)
The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions
Je te rappelles que c'etait en l'an 2000, pas en 2003
e note ton utilisation du conditionnel. Ah ben oui, ça change tout. P'tet ben que ça aurait marché pareil que Blaster si ça avait existé, et pis p'tet ben que non.
Il n'y a pas de peut-etre, la question est: aurait-il ete possible d'ecrire un ver par ce trou de securite, et la reponse est clairement : Oui.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 1.
> d'autres softs, avoir 2 softs du meme type installes n'est pas le
> probleme.
Arf. Surtout quand celui qu'on peut pas virer est complètement troué et peut servir pour un exploit, hein ? Ah ben oui, sous Linux c'est critique le do_brk(), suffit qu'une personne utilise une autre faille pour accèder à un compte et ça y est, c'est foutu, on va subir le même sort que Debian ! Mais sous Windows non, voyons, pas de problème, on peut laisser traîner en toute confiance des applis qui ont sû démontrer au fil des années leur propension notoire à se faire h4X3r. Félicitations, en quelques posts tu as réussi à perdre toute crédibilité en te contredisant toi-même.
> Ah, et tu crois qu'exploiter un buffer overflow sous Windows est plus
> simple ? T'as deja essaye ?
Ah, parce que c'est compliqué de se bouffer MSBlast ? On allume sa machine et on l'attrape, c'est pas magnifique ça ? Je vais faire comme toi avec ta super faille rpc.statd, là : et si les auteurs avaient mis un rootkit à l'intérieur, au lieu de simplement faire rebooter la machine ?
> Je parles de n'importe quel trou de securite remote, le trou par les
> RPC compris.
> Un ver ce n'est rien d'autre qu'un exploit automatise, rien de
> miraculeux la-dedans, tu peux faire la meme chose sur n'importe
> quelle plateforme.
Tu parles beaucoup mais tu ne montres pas grand chose. J'attends encore que tu me trouves la chose qui se propage de la même façon que MSBlast sous Linux.
> Ce trou etait en 2000, va donc jeter un oeil sur la facilite
> d'utilisation de Debian par rapport a RH et Mandrake a l'epoque,
> tu comprendras tout seul.
Encore des paroles en l'air. Des faits monsieur pBpG, des faits.
> Je te rappelles que c'etait en l'an 2000, pas en 2003
Et en 2000, l'utilisateur lambda n'avait pas plus besoin de NFS qu'il ne l'a maintenant. Lors de l'installation du système, comme par magie, pour un desktop, NFS n'était pas installé par défaut. Toi comprendre ?
> Il n'y a pas de peut-etre, la question est: aurait-il ete possible
> d'ecrire un ver par ce trou de securite, et la reponse est
> clairement : Oui.
Ah, et les méchants pirates ne l'ont pas fait parce que Linux c'est bien et que cracker du Windows c'est plus glorieux. J'ai bon ?
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à -1.
1) do_brk te cree une elevation de privilege car c'est un system call, donc t'as acces a tout immediatement, par n'importe quel buffer overflow en appelant ce system call
2) Outlook/IE ne te donnent pas d'elevation de privilege quand tu les hacke, ils te donnent acces a l'user meme, rien d'autre
Outlook/IE peuvent etre installes, tu n'arriverais jamais a leur faire executer quoi que ce soit si tu ne les lances pas.
Donc OUI, tu peux laisser trainer IE/Outlook, si tu ne les utilises pas tu ne coures aucun risque, de meme si tu ne demarres pas OpenSSH, tu ne cours aucun risque par lui.
C'est a se demander si tu reflechis avant d'ecrire.
Ah, parce que c'est compliqué de se bouffer MSBlast ? On allume sa machine et on l'attrape, c'est pas magnifique ça ? Je vais faire comme toi avec ta super faille rpc.statd, là : et si les auteurs avaient mis un rootkit à l'intérieur, au lieu de simplement faire rebooter la machine ?
Et ? Ca dit quoi sur la complexite de hacker un Windows ou un Linux ? RIEN ! Ca veut juste dire que qq'un a pris la peine d'ecrire Blaster, et que personne n'a pris la peine de l'ecrire pour Linux.
Vas-y, dis moi TECHNIQUEMENT en quoi un Windows est plus facile a hacker, vas y, explique moi les raisons techniques que je rigoles.
Tu parles beaucoup mais tu ne montres pas grand chose. J'attends encore que tu me trouves la chose qui se propage de la même façon que MSBlast sous Linux.
J'ai pas besoin, MSBlast ne fait qu'une chose : tirer parti d'un buffer overflow pour s'introduire sur une machine et ensuite executer d'autres instructions(scanner le reseau, recommencer), tu peux faire de meme sous Linux, lancer un process qui scanne un reseau c'est pas plus dur que lancer un shell
Si tu refuses d'accepter la realite technique, tant pis pour toi.
Et en 2000, l'utilisateur lambda n'avait pas plus besoin de NFS qu'il ne l'a maintenant. Lors de l'installation du système, comme par magie, pour un desktop, NFS n'était pas installé par défaut. Toi comprendre ?
FAUX, il etait installe par defaut
http://www.linuxsecurity.com/advisories/suse_advisory-614.html(...)
SuSE default package: yes
C'est toi qui refuse la realite mon cher.
Ah, et les méchants pirates ne l'ont pas fait parce que Linux c'est bien et que cracker du Windows c'est plus glorieux. J'ai bon ?
Ils ne l'ont pas fait car en 2000 Linux etait inexistant.
Prouves que c'etait techniquement pas faisable, qu'on rigole.
Bref mon cher, tu as exactement 0 arguments.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Benjamin François (site web personnel) . Évalué à 1.
> hacke, ils te donnent acces a l'user meme, rien d'autre
> Outlook/IE peuvent etre installes, tu n'arriverais jamais a leur faire
> executer quoi que ce soit si tu ne les lances pas.
Et ? Une fois qu'on a eu accès à la machine sur laquelle ils sont et que la personne en face a pas pu les virer, qu'est ce qui empêche de les lancer ? Vas-y, dis ?
> Et ? Ca dit quoi sur la complexite de hacker un Windows ou un Linux ?
> RIEN ! Ca veut juste dire que qq'un a pris la peine d'ecrire Blaster, et
> que personne n'a pris la peine de l'ecrire pour Linux.
C'est quand même bizarre que des gens prennent la peine de se faire les serveurs de Debian ou de Gentoo et que personne ne se fatigue à coder un Blaster-like. Moi je sais pas, crier au complot comme d'hab en hurlant que c'est normal, que ça viendra quand Linux aura plus de users, j'arrète pas de l'entendre. Mais en attendant dans les faits on voit quoi ? Rien.
> Vas-y, dis moi TECHNIQUEMENT en quoi un Windows est plus facile
> a hacker, vas y, explique moi les raisons techniques que je rigoles.
Mais si TECHNIQUEMENT c'est aussi facile, POURQUOI on en voit pas sous Linux des MSBlast ? POURQUOI ? Ça fait 12 ans que le système existe, il doit bien y en avoir des trucs du même genre ! Nan ?
> FAUX, il etait installe par defaut
> http://www.linuxsecurity.com/advisories/suse_advisory-614.html(...(...))
En effet, my mistake. Sur SuSE. A la rigueur, là, on peut reprendre l'argument que tu avais utilisé pour Debian : c'était quoi, en 2000, la proportion de SuSE par rapport aux autres ?
> Ils ne l'ont pas fait car en 2000 Linux etait inexistant.
> Prouves que c'etait techniquement pas faisable, qu'on rigole.
Et donc, si on en a toujours pas vu de nos jours, c'est parce que Linux est toujours inexistant, c'est ça ?
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 1.
Tu gagnerais quoi a les lancer ? Tu peux browser le web et lire des e-mails avec, super, tu peux pas gagner d'elevation de privileges avec.
Pour etre clair : Si tu accedes a un compte user sous Windows et que tu lances IE/Outlook pour faire xy avec un de leur trous de securite t'iras nulle part, ils tournent avec les droits de l'user.
C'est quand même bizarre que des gens prennent la peine de se faire les serveurs de Debian ou de Gentoo et que personne ne se fatigue à coder un Blaster-like.
En 2000 personne n'attaquait Debian et Gentoo car Linux etait inexistant, aujourd'hui ca arrive. Pourtant il y avait tout autant de trous dans Linux en 2000 qu'aujourd'hui, voire plus.
Mais si TECHNIQUEMENT c'est aussi facile, POURQUOI on en voit pas sous Linux des MSBlast ? POURQUOI ? Ça fait 12 ans que le système existe, il doit bien y en avoir des trucs du même genre ! Nan ?
Oui, il y a OpenSSL qui passe par un autre trou.
Le truc etant que Linux, meme apres 12 ans, c'est meme pas 2% des systemes dans le monde, alors que Windows c'est 95%.
Tu lances un truc du genre, tu touches tres tres peu de machines.
Techniquement il y a 0 differences, meme pas 1, meme pas 0.5, il y en a 0.
En effet, my mistake. Sur SuSE. A la rigueur, là, on peut reprendre l'argument que tu avais utilisé pour Debian : c'était quoi, en 2000, la proportion de SuSE par rapport aux autres ?
Perso en 2000, tous les gens autour de moi avaient soit RH, soit Suse soit Mandrake. Debian etait reserve a une tres petite elite.
Et Suse n'etait evidemment pas la seule distrib a l'avoir par defaut.
Et donc, si on en a toujours pas vu de nos jours, c'est parce que Linux est toujours inexistant, c'est ça ?
Le ver OpenSSL est la pour prouver que Linux commence a interesser les pirates, ca vient gentiment.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mathieu Pillard (site web personnel) . Évalué à 0.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par syntaxerror . Évalué à 1.
et le paquet a été vite fait viré puis corrigé.
Je suppose que ça ne peut pas arriver chez vous (process, assurance qualité, gnagnagna),
mais si par extraordinaire cela se produisait, hypothèse folle j'en conviens, comment un utilisateur
(j'inclus les admins chevronnés) pourrait il s'apercevoir que les fichiers créés après l'application
d'un fix(pack) sont world-writable ? Comment pourrait il rapporter le problème, et serait il écouté ?
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 1.
Si ca peut arriver, c'etait d'ailleurs l'objet de la discussion, que ca arrivait chez nous. Je voulais juste montrer a notre cher ami qu'on etait loin d'etre les seuls.
mais si par extraordinaire cela se produisait, hypothèse folle j'en conviens, comment un utilisateur (j'inclus les admins chevronnés) pourrait il s'apercevoir que les fichiers créés après l'application d'un fix(pack) sont world-writable ? Comment pourrait il rapporter le problème, et serait il écouté ?
Comment ? Ben en regardant sa machine, tu crois que chez Mandrake ils s'en sont rendus compte comment ?
Plus de la moitie des bugs qu'on fixe sont reportes par les utilisateurs.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Alexandre Beraud . Évalué à -1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par rouby (site web personnel) . Évalué à 4.
Quand on est malade, il ne suffit pas de casser le thermometre pour guerrir...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par vrm (site web personnel) . Évalué à 2.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Eddy . Évalué à -1.
C'est beau de voir la démocratie Américaine en action.
Pasbill, raconte nous encore des belles histoires de chez toi!
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 0.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par jujubinche007 . Évalué à 3.
c'est idiot, on ne voit plus les commentaires de pbpg et d'autres, qui sont souvent la base de discussions plutôt intéressantes.
pardon mais ça m'enerve.
---> []
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Christophe Lucas (site web personnel) . Évalué à -2.
Enfin moi ce que j'en dis...
Et j'admets que ca serait difficile de mettre en place une autre solution que celle-ci, et je n'ai pas l'idée lumineuse qui pourrait annuler ce léger problème.
Christophe.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Maxime Ritter (site web personnel) . Évalué à 2.
(je sens que je vais encore me faire "moinser"; mais bon ca changera pas mon avis de vieux con).
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 2.
Tu as tout compris.
Un debat constructif ca ne les interesse pas. Des qu'ils voient un commentaire qui ne va pas dans le sens qui leur plait, ils essaient de le cacher car ca pourrait remettre en cause leurs prejuges.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mathieu Pillard (site web personnel) . Évalué à -1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par #3588 . Évalué à 1.
Je n'ai pas trouvé le post en question hautement constructif (#308407).
Je n'ai pas voté, mais si le vote sert à mettre en évidence les posts intéressants, et descendre ceux qui ne sont pas indispensables à une lecture rapide, les [-] sont plutot juste. Evidemment ça donne à Calimero l'impression d'être persécuté.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . Évalué à 2.
C'est flagrant, et je ne suis de loin pas le seul a le remarquer.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par #3588 . Évalué à 1.
Tu sembles aussi ne pas voir que tes interlocuteurs se prennent beaucoup de votes négatifs aussi, voire que des négatifs.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Fabimaru (site web personnel) . Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par disanv . Évalué à -1.
tout ce qui va mal sur cette planete est-il de la seule responsabilite des americains (en vrac, la malbouffe, la misere, les dictatures, la misere culturelle[1] ?
pour moi, il y a un probleme quand les gens ne sont pas capables de comprendre que repeter des lieux communs du ce type ne vaut pas mieux que ce que l'on disait sur les juifs il y a un siecle (desole pour le point godwin).
c sur que c plus populaire de taper sur le plus fort, ca plait tout de suite plus et tant pis si dans tous les domaines, on propage l'idee qu'etre americain releve de plus en plus d'une tare.
je trouve alarmant que personne ne reagisse a ce type de derive.
quand a la democratie, on arrete pas de se gargariser a longeur de journee de termes tels que "patrie des droits de l'homme", "patrie des lumieres", "respect du droit international", ...
c'est ignorer pour les premiers que 1) les concepts de democratie et de republique ne sont pas superposes (cf platon vs aristote) et 2) la democratie n'est pas une invention francaise (cf revolution us, provinces-unies 150 avant, habeas corpus et carta magna des siecles avant, ...)
pour le second, notre attitude n'est pas meilleure que celle des americains (quid de l'accord prealable de l'onu aux interventions francaises dans le monde ?) voire pire:s'afficher avec poutine, boucher tchetchene pour le respect du droit international et contre le droit d'ingerence que l'on defendait a peine qq annees plus tot, mepriser/rejeter ceux qui ne sont pas d'accord avec nous dans l'ue, ...)
[1] l'inculture: une autre facon de mepriser la plebe ou l'Autre ?
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mathieu Pillard (site web personnel) . Évalué à 4.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par jmfayard . Évalué à 3.
Il suffit de lire bugtraq pour voir qu'à plusieurs reprises Microsoft a dans ses patches préféré empêcher l'exploit de marcher que corriger réellement la faille.
Un autre message de bugtraq racontait que Microsoft était apparement volontairement très laxiste après avoir appliqué les patches de facon à afficher systématiquement You are Safe !! dans Windows Update.
Je ne sais pas si c'est critiquable en soi, la sécurité est aussi une affaire de psychologie après tout.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par ramzez . Évalué à 2.
moi je veux bien mais où ? le seul endroit où j'ai vu qu'on pouvait faire un don, c'est aupres de la fsf aux usa. j'ai pas de cartes internationales moi :/
il faudrait que j'envoie un cheque
ça serait bien qu'il y ait un point de chute en europe quand même
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Baptiste SIMON (site web personnel) . Évalué à 2.
Rendons à César ce qui appartient à César !! ;c)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par oliv . Évalué à 2.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mathieu Pillard (site web personnel) . Évalué à 3.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par oliv . Évalué à 4.
"do_brk() bounds checking"
http://marc.theaimsgroup.com/?l=linux-kernel&m=106471273819562&(...)
Donc Andrew a patché le 2.6, et ensuite (le 2.4.23-pre7 date du 10 octobre) Marcello a adapté/appliqué la correction au 2.4.
http://marc.theaimsgroup.com/?l=linux-kernel&m=106574771102002&(...)
# Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Pierre Tramo (site web personnel) . Évalué à 8.
Celle de Mandrake est sortie aussi : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA(...)
Elle précise : The Mandrake Linux 9.2 kernels (2.4.22) are not vulnerable to this problem as the fix for it is already present in those kernels. (mdk rox :)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Nicolas Peninguy (site web personnel) . Évalué à 3.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Raphaël SurcouF (site web personnel) . Évalué à -2.
C'est normal, ils ont participé aux côtés des équipes Debian et RedHat pour savoir d'où venait le trou local...
Debian a eu le triste privilège de tomber la première, c'est tout.
Je ne suis pas certain que sans cet incident, ils auraient appliqué ce patch...
--
Raphaël SurcouF
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Pierre Tramo (site web personnel) . Évalué à 3.
Euh on parle du noyau de la Mandrake 9.2, sortie bien avant cet incident...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Raphaël SurcouF (site web personnel) . Évalué à 0.
Soit trois jours après l'incident survenu chez Debian, curieusement.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Boa Treize (site web personnel) . Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Alexandre Beraud . Évalué à 0.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Yaz . Évalué à 1.
Suffit de l'installer...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Tonton Th (Mastodon) . Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Laurent Carlier . Évalué à 2.
01 Dec 2003; Brian Jackson <iggy@gentoo.org>
gentoo-sources-2.4.19-r10.ebuild, gentoo-sources-2.4.20-r5.ebuild,
gentoo-sources-2.4.20-r6.ebuild, gentoo-sources-2.4.20-r7.ebuild,
gentoo-sources-2.4.20-r8.ebuild, gentoo-sources-2.4.22.ebuild:
fix do_brk vuln
comme quoi :)
# Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Mayfoev . Évalué à 8.
http://lwn.net/Articles/60772/(...)
Un post qui résume bien la discussion
NB: Je ne suis pas responsable des propos ci-dessus... Ils ont simplement le mérite de bien résumer le thread... Ne pas me moinsser pour eux quoi ;-)
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Christophe Fergeau . Évalué à 5.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par _PinG _ . Évalué à 1.
A moins qu'ils n'aient trouvés dans le code que l'absence d'une vérification, et qu'ils n'aient pas vérifiés ce qu'il aurait pu se passer...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Christophe Fergeau . Évalué à 1.
Oui, c'est ça que je voulais dire, est-ce qu'ils avaient conscience que le bug en question pouvait potentiellement donner accés à tout l'espace d'adressage du noyau.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Anonyme . Évalué à 1.
En d'autres termes, ils ont mis le doigt sur la faille sans l'annoncer en tant que faille. Idéal pour quelqu'un désirant exploiter une telle faille...
# Reprenons.
Posté par Jar Jar Binks (site web personnel) . Évalué à 10.
Un bug est corrigé dans le noyau. Il lui correspond une entrée de changelog anodine, et il n'apparaît à personne que ce bug était un trou de sécurité.
2 mois plus tard, quelqu'un pirate 3 serveurs Debian en moins de 2 heures, et un quatrième le lendemain, avec des techniques que je ne qualifierais pas de débutant, sachant que de nombreux administrateurs n'auraient même pas remarqué l'intrusion. Le tout en utilisant un exploit assez sophistiqué utilisant le bug cité précédemment.
Une faille comme ça ne se découvre pas par hasard. Cela signifie qu'une ou plusieurs personnes ont soigneusement épluché les changelogs du noyau pour chercher une petite bête de ce genre. Un travail de fourmi. Ensuite, l'exploit a été utilisé sur des machines symboliques, avec probablement un important travail de planification.
Je ne suis pas spécialement amateur des théories conspiratistes, j'ai même souvent tendance à leur rire au nez, mais vous reconnaîtrez que tout ceci leur donne du poids. Bien sûr, tout est possible, mais on ne peut exclure le financement et le support par une organisation, quelle qu'elle soit.
[^] # Re: Reprenons.
Posté par Dafatfab . Évalué à 0.
C'est peut etre Microsoft qui a payé un groupe de Djeun's Hak3rZ R3bellz trop fort et qui prépare sa réponse-sécurité face à Gnu/Linux lors d'un futur salon au USA??
Talaaa.... le mystere demeure...... :-))
</ConspirationOfDaWorld>
[^] # Re: Reprenons.
Posté par Prae . Évalué à 0.
[^] # Pas de quoi rire
Posté par Anonyme . Évalué à 4.
Et pourquoi pas ?
Questions morales ? On a d'autres exemples d'activités requiriant une morale similaire de la part de cette boite.
Questions financières ? On se doute bien que ce n'est pas un problème.
Questions de mobiles ? On peut en trouver une bonne centaine au bas mot. En particulier, une annonce récente de la part de la boite en question d'attaquer GNU/Linux sur son aspect 'sécurité'.
Bref, je ne vois rien de risible dans tout ceci.
Pour autant, je ne clamerais pas qu'il y a un complot, je n'en sais rien, je n'ai pas d'éléments permettant de faire cette affirmation. Mais je me contente de la conserver comme une hypothèse valable.
[^] # Re: Pas de quoi rire
Posté par #3588 . Évalué à 3.
[^] # Re: Reprenons.
Posté par Jux (site web personnel) . Évalué à 4.
Faut pas croire que dès qu'un malheur arrive au libre (diffamation de la part de SCO, etc...), c'est financé par quelque multinationale dont Microsoft est actionnaire.
Moi, je pense que c'est le projet FreeBSD, qui voit d'un mauvais oeil la distribution Debian/FreeBSD :-D
-> [www.tusors.com]
[^] # Re: Reprenons.
Posté par Jux (site web personnel) . Évalué à -1.
[^] # Re: Reprenons.
Posté par Anonyme . Évalué à 6.
Quoi qu'il en soit, JJB souligne bien ce qui parait logique : pour détecter ce type de failles, il faut avoir du temps... et dans notre société, qui dit du temps dit de l'argent.
Ca peut très bien être le fait du romantique cracker, portrait dressé par le cinéma et les revues.
Cela ne serait pas choquant pour autant que cela soit une opération commanditée par une compagnie (on pointe Microsoft, cela pourrait être une autre). En quoi cela serait choquant ?
Y'a du fric en jeu.
Qui est encore assez naif pour croire que les multinationales/transnationales sont si honnêtes avec les affaires de gros sous ? Ca vous suffit pas de voir des poubelles ambulantes servir de tanker et s'échouer tout les ans, ou pratiquer un « dégazage » régulier en pleine mer, il vous faut plus d'exemples pour ne pas prendre pour de la paranoia l'idée que le crime profite peut-être à quelqu'un ?
Le fait qu'il y ait une compagnie hostile à GNU/Linux par ailleurs ne change rien à l'affaire : il peut y avoir des failles dans des composants de GNU/Linux comme ailleurs. Le fait qu'une boite puisse désirer prouver cela, c'est pas surprenant, puisque ça attaque directement l'idéologie opensource plaçant le logiciel libre comme forcément supérieur techniquement.
Par ailleurs, je suis bien placé pour savoir que de nombreux serveurs relativement importants du logiciel libre ont été visé en exploitant ce bug. Un peu trop à mon gout pour que cela soit un pur hasard, l'action d'un seul homme.
Donc, personnellement, je ne ris pas à l'idée que cela puisse être financé par quelqu'un y ayant un intérêt... Il ne s'agit pas d'une thèse de la conspiration à trois sous : je ne prétend pas que tout serait parfait si le « conspirateur » était éliminé.
[^] # Re: Reprenons.
Posté par Eddy . Évalué à 3.
Et ils vont te livrer a d'autres qui vont te mettre unejolie chemise sans bouton et avec les manches qui s'accrochent dans le dos.
Ca t'évitera de dire n'importe quoi, c'est pour ton bien.
[^] # Re: Reprenons.
Posté par jujubinche007 . Évalué à 3.
Tu sais un pirate agit pour la gloire, et des fois, ils y en a même qui sont très forts.
Faut pas voir le complot partout.
[^] # Re: Reprenons.
Posté par Mr F . Évalué à -3.
[^] # Re: Reprenons.
Posté par jujubinche007 . Évalué à 4.
un hacker, ça peut être un developpeur constructif et pas forcement un bandit de grand chemin/ado attardé en manque de reconnaisance.
m'enfin bon. c'était pas le propos.
[^] # Re: Reprenons.
Posté par Pierre Tramo (site web personnel) . Évalué à 2.
Également, qui dit agir pour la gloire dit se choisir une cible très en vue, connue d'un large public. Vous connaissez beaucoup de non-geeks (même informaticiens) (outre les victimes de votre lobbying acharné ;) pour qui "Debian" évoque quelque chose de précis ?
Donc la thèse du valeureux pirate isolé en quête de renommée ne me séduit pas trop.
[^] # Re: Reprenons.
Posté par Zenitram (site web personnel) . Évalué à 2.
[^] # Re: Reprenons.
Posté par Maxime Ritter (site web personnel) . Évalué à 1.
Ben tiens, Debian n'aurait que des amis parmis les hackers qui font ca pour la "gloire" ?
Imaginons un mec qui en avait marre de l'anciennté de la version stable, qui a pas réussi a faire avancer les choses, et qui s'est tellement énervé qu'il leur en veux maintenant ?
Un RMS qui leur en veux parce que c'est debian et Linux qui ont la gloire et non pas GNU/Hurd ? (heu, en fait non, c'est aussi eux les distribs Hurd).
Ou bien un mec qui n'aime pas le leader de debian et se vange sur debian pour des raisons personnelles inconnus ? Ou autre ?
Bref, c'est pas totalement a exclure, meme si debian n'a effectivement pas le profil-type de la société détestée....
[^] # Re: Reprenons.
Posté par Baptiste SIMON (site web personnel) . Évalué à 3.
Dès le départ il a été possible d'imaginer des exploits il me semble... un bufferoverflow est toujours extremement dangereux sur x86 et assimilé (je précise ca à cause de GMsoft et ses FOUTUS HPPA !!!! ;c)
Bref, pour le reste il me semble que tu aies raison... par contre, les petits vicieux qui épluchent les changelogs, ca court la planete !!! sinon, on se ferait pas chier à patché tout le temps nos systemes ;c)
Cela dit, je me souviens d'un MISC présentant les risques d'un cyberterrorisme mieux organisé qu'actuellement........
[^] # Re: Reprenons.
Posté par BillyTheKid . Évalué à 4.
http://www.k-otik.net/bugtraq/12.02.Kernel.2422.php(...)
http://www.k-otik.net/exploits/12.02.brk_poc.asm.php(...)
[^] # Re: Reprenons.
Posté par newbix . Évalué à -2.
Et ce je ne sais pas ce que c'est, ton site, mais il est fait avec frontpage 8-0
[^] # Re: Reprenons.
Posté par mac_is_mac (site web personnel) . Évalué à 1.
nasm brk_poc.asm -o a.out
brk_poc.asm:33: error: attempt to set a negative program origin
sauf si j'enlève la ligne org 0xBFFFF000
mais alors là pas de reboot, même avec un noyau 2.4.22
uname -a
Linux sherlock 2.4.22 #1 SMP jeu aoû 28 08:42:21 CEST 2003 i686 GNU/Linux
[^] # Re: Reprenons.
Posté par Mathieu Pillard (site web personnel) . Évalué à 1.
[^] # Re: Reprenons.
Posté par ramzez . Évalué à 2.
quand les serveurs Debian ont été compromis ? est-ce qu'on le sait au moins ? parce qu'on l'a découvert il y a deux semaines, mais les serveurs ont peut-être été compromis il y a 2 mois, juste avant que l'équipe de Debian patch ses noyaux contre cette faille : on est sur qu'ils n'ont pas patché leur kernel ?
parce qu'une fois les droits root obtenu via cette faille, ils (les méchants) installent leur rootkit, et apres ils s'en foutent un peu que la faille soit corrigé ou pas puisque la suite se passe via suckit...
merci pour les précisions à venir :)
[^] # Re: Reprenons.
Posté par Baptiste SIMON (site web personnel) . Évalué à 6.
- Oui on est surs que les serveurs n'étaient pas patchés
- Tu as raison, une fois le rootkit en place, on se fout de cette faille ;)
Je connais des paranos chez Debian, entre autres, qui vont froler la crise épileptique après ce genre de merdier à force d'ultra-paranoia ! :cb
[^] # Re: Reprenons.
Posté par FRLinux (site web personnel) . Évalué à 3.
http://www.grsecurity.net(...)
Steph
[^] # Re: Reprenons.
Posté par Jar Jar Binks (site web personnel) . Évalué à 2.
[^] # systrace
Posté par free2.org . Évalué à 1.
http://www.citi.umich.edu/u/provos/systrace/index.html(...)
[^] # Re: Reprenons.
Posté par Mr F . Évalué à -2.
[^] # Re: Reprenons.
Posté par Jiba (site web personnel) . Évalué à 4.
ça m'énerve d'avoir l'impression d'être un méchant pirate quand je dis que je suis un hacker... alors que tout ce que je fais moi c'est codé des logiciel libre.
Il me semble pas que les hackers originels des labos d'IA du MIT était des pirates.
[^] # Re: Reprenons.
Posté par ham . Évalué à 1.
exemple de definition:
http://www.unusualresearch.com/hacker/cud112.htm(...)
Cracker (comme dans safe-cracker) est lui aussi d'apres la defintion de hyperdictionary c'est une personne qui casse une securite.
Dans l'usage internet que j'ai vu du terme cracker est restreint au cassage de protection logiciel (DVD, licence, DRM, ... etc)
pour moi ca reste un hacker (qui a cracker la securite des serveurs debian)
et c'est pas la peine de crier comme ca, la definition n'etant pas satisfaisante dans les deux cas.
.2
[^] # Re: Reprenons.
Posté par Mr F . Évalué à -2.
[^] # Re: Reprenons.
Posté par Romuald Delavergne . Évalué à 2.
[^] # Re: Reprenons.
Posté par Mr F . Évalué à 3.
[^] # Re: Reprenons.
Posté par Anonyme . Évalué à 2.
[^] # Re: Reprenons.
Posté par Mr F . Évalué à -2.
[^] # Re: Reprenons.
Posté par Anonyme . Évalué à 4.
Rien apparement ne te permet de l'affirmer : tu n'as donc pas à l'affirmer ; c'est ce que je sous-entendais.
Je n'ai pas affirmé le contraire, ta réponse est donc hors-propos.
[^] # Re: Reprenons.
Posté par Mathieu Pillard (site web personnel) . Évalué à 3.
> anodine, et il n'apparaît à personne que ce bug était un trou de sécurité.
Si, c'etait clairement annoncé comme un fix de vulnerabilité potentielle. Je crois meme l'avoir vu passer sur bugtraq. Toutefois je suis pas sur que tout le monde a realisé que c'etait exploitable...
# Mise à jour pour Mandrake
Posté par Olivier (site web personnel) . Évalué à 3.
A noter que la version 9.2 n'est pas vulnérable à ce problème, car il a été précédement patché :
<extrait>
The Mandrake Linux 9.2 kernels are not vulnerable to this problem as the fix for it is already present in those kernels.
</extrait>
[^] # Re: Mise à jour pour Mandrake
Posté par Emmanuel Blindauer (site web personnel) . Évalué à 1.
"L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître)."
est donc de trop :)
modérateurs un coup de dd!
[^] # Re: Mise à jour pour Mandrake
Posté par Olivier (site web personnel) . Évalué à 3.
"L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître)."
est donc de trop :)
Le but n'était pas de lancer un troll ! :=)
J'ai trouvé l'info (pour savoir si il fallait ou non mettre à jour ma Mdk 9.2), donc je la partage...
[^] # Re: Mise à jour pour Mandrake
Posté par Pierre Tramo (site web personnel) . Évalué à 2.
Si tu avais lu les précédents commentaires, tu aurais aussi pu trouver cette information ici : http://linuxfr.org/2003/12/02/14729.html#308400(...) ;)
[^] # Re: Mise à jour pour Mandrake
Posté par Olivier (site web personnel) . Évalué à 1.
Peut-être que si tu avais mis un autre titre j'aurais pu le voir plus facilement ? :))
# Et Debian/Sparc ?
Posté par philz . Évalué à 1.
Est ce que quelqu'un sait pourquoi ? (pas vulnérable ? attendre demain ? me recompiler moi même un noyau ?)
[^] # Re: Et Debian/Sparc ?
Posté par #3588 . Évalué à 3.
in different address spaces on these architectures. »
[^] # Re: Et Debian/Sparc ?
Posté par philz . Évalué à 1.
Merci.
[^] # Re: Et Debian/Sparc ?
Posté par Raphaël SurcouF (site web personnel) . Évalué à 1.
[^] # Re: Et Debian/Sparc ?
Posté par manuel . Évalué à 3.
Mais si une seule des machines d'un réseau est compromise, il n'y a peut être pas besoin d'avoir un "exploit" sparc pour obtenir des userid/password permettant d'intervenir sur l'archive.
Quand tu as réussi a entrer dans une citadelle, peut importe que chaque porte soit cadenassée si tu as accés aux clés :-(
# Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Pierre Pronchery (site web personnel) . Évalué à 1.
Quid?
khorben
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par Vivi (site web personnel) . Évalué à 3.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.