OpenBSD et les attaques de type 'format strings'

Posté par Anonyme le 06 octobre 2000 à 17:41. Modéré par Yann Hirou.

Étiquettes :

oct.

2000

Sur Upside Today, un bref article explique l'attitude adoptée par les développeurs OpenBSD vis à vis des vulnerabilités de type 'format strings'. Rappelons que ce type d'attaque est due à une mauvaise utilisation de fonctions prenant un nombre variable d'arguments, tels printf(3). Avec de telles fonctions, une chaine de format bien choisie sans paramètre supplementaire permet de lire ou écrire dans des zones non prévues.

A noter que ce type de vulnerabilité a été découverte assez récemment et a été reportée dans de *nombreux* logiciels libres, tous systèmes confondus.

Aller plus loin

L'article sur Upside Today (2 clics)
Une explication sur les attaques 'format strings' (6 clics)

# Quelques references

Posté par Guillaume Estival le 06 octobre 2000 à 18:32. Évalué à 3.

http://www.secusys.com/(...)
Un site en pseudo francais (comprenez par la qu'il se contente d'un resume en francais et d'un copy paste de la version anglaise ;))

Pour le bug, voici les ref pour:

Red hat
http://www.securityfocus.com/archive/1/79944(...)
Debian
http://www.securityfocus.com/archive/1/79943(...)
(source: copy paste de bugtraq via secusys)
Voila :)
- [^] # Re: Quelques references
  
  Posté par Anonyme le 06 octobre 2000 à 23:43. Évalué à 0.
  
  Pourquoi ce post est scoré -1? Il est pourtant bien plus interressant que beaucoup d'autres.
  - [^] # Re: Quelques references
    
    Posté par Anonyme le 07 octobre 2000 à 12:00. Évalué à 0.
    
    sfsdfdsfsdf
    sdfdsf
    <font>321321
    - [^] # Re: Quelques references
      
      Posté par Anonyme le 07 octobre 2000 à 14:18. Évalué à 0.
      
      Je ne comprend pas ce message étrange ???? Ai-je plongé dans la 4éme dimension?
      
      Bon en tout cas le score augmenté, c très bien. Mais je ne comprend tjrs pas pourquoi il était scoré -1 ? Quelqu'un a une explication ?
      - [^] # Re: Quelques references
        
        Posté par Pat Le Nain le 07 octobre 2000 à 14:49. Évalué à 1.
        
        Fausse manip ?
      - [^] # Re: Quelques references
        
        Posté par Fabien Penso (site web personnel, Mastodon) le 07 octobre 2000 à 16:32. Évalué à 1.
        
        Je ne sais pas pourquoi pour l'instant, j'attends réponse du scoreur :) Mais j'ai arrangé le problème.
        
        [^] # Re: Quelques references
        
        Posté par Anonyme le 07 octobre 2000 à 17:05. Évalué à 0.
        
        Qui décide des score, Les modérateurs?
        Je pense que ce serait plutôt aux lecteurs de scrorer les commentaires ... mais bon, c peut-être pas évident à implémenter (comment empécher un lecteur de scorer plusieurs fois un comment?) A j'ai une idée, permettre à ceux qui sont autentifiés de scorer? Vous en pensez quoi?
        
        [^] # Re: Quelques references
        
        Posté par Pat Le Nain le 07 octobre 2000 à 17:17. Évalué à 1.
        
        Pour l'instant c'est les modéros. Mais l'objectif, si j'ai bien compris fabien, est de permettre à des "supers-users" (ne pas confondre avec root ;) de scorer, ceux-ci étant choisis sur la qualité de les interventions. Plus tu postes bien, plus tu peux scorer haut (système dit du "Karma").
        
        Fabien, tu me rectifies si c'est pas ça.
        
        [^] # Re: Quelques references
        
        Posté par gui_ le 07 octobre 2000 à 17:27. Évalué à 1.
        
        Ok pas de problème, mais qui va décider si tu postes bien?
        
        Je pense que le plus simple serait de permettre à tout ceux qui sont identifiés de scorer, et de faire une moyenne, de plus, les scores doivent être différent pour chaque commentaire, on ne dit pas toujours des choses intéressantes.
        
        [^] # Re: Quelques references
        
        Posté par Pat Le Nain le 07 octobre 2000 à 17:59. Évalué à 1.
        
        pas question de laisser la possibilité de scorer pour les users enregistrés ! Imagine un troll kde/gnome (ou gnome/kde, je suis pas sectaire), c'est une chose plutôt courante. le pro-kde va scorer le pro-gnome -1 qui va lui-même scorer le pro-kde -1. suit un autre pro-gnome ki va scorer son camarade 5, etc.
        Ca va être le souk ! et puis faire une moyenne donnerait un peu nain-portequoi.
        
        [^] # Re: Quelques references
        
        Posté par gui_ le 07 octobre 2000 à 18:11. Évalué à 1.
        
        C'est vrai, mais le scoring n'est vraiment pas évident à mettre en oeuvre. Le problème c'est que mon idée se base sur la bonne foi des utilisateurs, ce qui, tu as raison, n'est pas garanti.
        Mais je repose ma question, qui va décider qui sera super utilisateur?
        Tout le monde va vouloir être super utilisateur, quel seront les critères de jugements?
        Tout cela ne me semble vraiment pas facile à gérer...
        
        [^] # Re: Quelques references
        
        Posté par Fabien Penso (site web personnel, Mastodon) le 07 octobre 2000 à 21:31. Évalué à 1.
        
        Effectivement ca serait l'idéal à terme. Mais un système de score qui tourne sur lui meme est tres difficile a implémenter. Alors on essaye de faire au mieux pour le moment.
# OpenBSD rulezzzz

Posté par Anonyme le 06 octobre 2000 à 21:46. Évalué à 0.

Eh oui, encore une fois la supériorité d'OpenBSD est au rendez-vous (ainsi que les autres BSD).
D'ailleurs, c'est très étonnant de voir Linux monter, alors que les BSD sont BEAUCOUP plus stable (mais j'utilise AUSSI Linux, pis HP-UX,
Solaris au travail).

Mëme Ken Thompson critique Linux en disant qu'il y a de bonnes choses, mais aussi de mauvaises (sous
entendu : trop de programmes développés n'importe
comment ; c'est aussi de la faute aux revendeurs
Linux tels que Mandrake [que j'utilise], Suze et Cie qui ne testent pas à fond tous les logiciels ; les mauvaises langues disent que c'est la méthode micro$oft, mais je ne veux pas troller :-).

Sans rancune
- [^] # Re: OpenBSD rulezzzz
  
  Posté par Anonyme le 06 octobre 2000 à 23:17. Évalué à 0.
  
  pourquoi est ce que les *bsd sont si peu utilisé s'ils sont si génial que ca?
  - [^] # Re: OpenBSD rulezzzz
    
    Posté par Anonyme le 06 octobre 2000 à 23:41. Évalué à 0.
    
    *bsd, c'est encore moins grand public que Linux, tout le matos n'est pas supporté, et c plutôt destiné aux serveurs. Mais dans ce cas la, je pense que ça ROULEEZ bien plus que linux...
    L'avenir : Linux en station de travail et *bsd en serveur. Vous en pensez quoi?
- [^] # explication des formats bugs en francais
  
  Posté par Anonyme le 06 octobre 2000 à 23:18. Évalué à 0.
  
  Vous trouverez à l'url http://www.nightbird.free.fr/docs/formatbugs.txt(...)
  la traduction de la doc tres bien faite de kalou sur les attaques de type 'format strings'
  
  Nightbird
  <nightbird@fr.st>
- [^] # Re: OpenBSD rulezzzz
  
  Posté par trollhunter le 07 octobre 2000 à 01:08. Évalué à 1.
  
  Personellement je considère que d'une part Linux et les *BSD n'ont pas les mêmes philosophies et donc pas le même domaine d'utilisation ( essaye donc de faire du bon SMP ou pire encore du wearable avec du BSD ), et d'autre part au sein des BSD chacun a son créneau donc au lieu de rentrer dans des discussions stériles sur BSD vs Linux je préfère considérer ces systèmes complémentaires à la fois techniquement et aussi du point de vue de l'utilisateur : j'ai du mal a imaginer un beotien complet Unix avec un Open, par contre avec une distrib de Linux type Suse il y aura de fortes chances pour que son expérience soit positive.
# Ca fait peur

Posté par David le 07 octobre 2000 à 01:28. Évalué à 1.

Quand on pense que *tous* les soft sont potentiellement vulnérables face à des tels bugs, y compris les non libres ...
# reportée ??

Posté par Anonyme le 07 octobre 2000 à 08:00. Évalué à 0.

« a été reportée » ????? Ce ne serait pas plutôt « a été signalée » ?
# Pas de probleme

Posté par Anonyme le 07 octobre 2000 à 17:11. Évalué à 0.

Je n'ai aucun probleme vu que j'utilise Windows 2000 professionnel avec SP1 et tous les services non necessaires desactive.
- [^] # Re: Pas de probleme
  
  Posté par Anonyme le 07 octobre 2000 à 17:20. Évalué à 0.
  
  J'ai jamais vu un troll aussi fort!
  Si ce n'est pas de l'humour je suis épaté!
  Dis moi, sais tu ce qu'il y a dans le code de Win 2000? non, moi non plus... mais à mon avis, des attaques dans ce genre (et bien d'autres) doivent être possible.
  
  Mais bon, je suis convaincu que c une blague, personne ne peut dire ça (sauf très chère payé par M$ ;-)
  - [^] # Re: Pas de probleme
    
    Posté par Anonyme le 07 octobre 2000 à 17:24. Évalué à 0.
    
    >Dis moi, sais tu ce qu'il y a dans le code de
    >Win 2000? non, moi non plus... mais à mon avis,
    > des attaques dans ce genre (et bien d'autres)
    >doivent être possible.
    
    Le code de windows est bcp plus fiable car personne ne le connait. Bonne chance pour trouver un trou de securite.
    - [^] # Re: Pas de probleme
      
      Posté par Anonyme le 07 octobre 2000 à 17:29. Évalué à 0.
      
      Et bonne chance pour que ce trou soit corrigé une fois trouver. La fiabilité par le secret est une grosse connerie! La meilleur sécurité c'est celle qui est inviollable même si elle est publique.
      - [^] # Re: Pas de probleme
        
        Posté par Anonyme le 07 octobre 2000 à 18:11. Évalué à 0.
        
        Tout à fait exact. Ce n'est pas en cachant le code que l'on est invinsible. Prenons un exemple simple : une ambassade communique avec son pays. Si la sécurité dépend du secret de l'algorithme, cela fonctionne admirablement tant que les cryptanalystes n'ont pas cassé le code. Le jour où une faille puis la totalité de l'algo est découvert, le secret des échanges n'est plus assuré. Maintenant, si on PUBLIE l'algo, et que
        sa sécurité est faite à l'aide de clefs privée et publique, on ne peut pas faire grand chose (ce n'est qu'un simple exemple, bien sûr). Et dès qu'il y a une faiblesse, on change totalement d'algo.
        
        Il existe pourtant un système d'encryption absolument incassable : le chiffre à masque jetable...
        
        Il ne faut pas trop s'inquiéter des commentaires de windoziens : ils font du marketing, et ils ne le savent pas (les pauvres...).
        
        [^] # Re: Pas de probleme
        
        Posté par Anonyme le 07 octobre 2000 à 18:18. Évalué à 0.
        
        J'ai vraiment des doutes sur la bonne foi de ce commentaire de windozien... Supercherie? méchant troll?
        
        [^] # Re: Pas de probleme
        
        Posté par Anonyme le 07 octobre 2000 à 18:28. Évalué à 0.
        
        Fabien, ce serait pas mal si on pouvait faire comme dans la tribune libre, voir avec quel matos le comment. a était posté.
        Mais ça ferait peut-être beaucoup de remarques inutiles, surtout que beaucoup de gars ici sont au boulot et subissent window$...
        
        [^] # Re: Pas de probleme
        
        Posté par Fabien Penso (site web personnel, Mastodon) le 07 octobre 2000 à 21:33. Évalué à 1.
        
        Certainement une bonne idée, mais ca générerait beaucoup de logs pour rien finalement. Mais je note l'idée.
    - [^] # Re: Pas de probleme
      
      Posté par Mjolnir! le 07 octobre 2000 à 18:52. Évalué à 1.
      
      quel beau syllogisme...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.