BillyTheKid a écrit 5 commentaires

Update K-Otik : Ces attaques "ciblées et localisées" ne semblent pas être le résultat d'une propagation de type virus/worm.

D'après les investigations menées par la Cellule Incidents (K-OTik Security) en collaboration avec le SANS Institute, plusieurs théories sont possibles :

a) Les serveurs ont été compromis via une vulnérabilité non publique (zero-day exploit).
b) D'anciens patchs de sécurité n'ont pas été correctement appliqués par les administrateurs.
c) Les serveurs ont été compromis antérieurement (en Avril 2004) avec l'exploit PCT-SSL (avant l'application du patch MS04-011).

MAJ le 25 Juin 2004 (20h38) :
http://www.k-otik.com/news/06252004.IIS0day.php(...)

exact ! sur l'alerte de k-otik on peut voir :

* Versions Vulnérables *
----------------------------
Linux Kernel 2.2.x
Linux Kernel 2.4.x
Linux Kernel 2.6.x

l'equipe linuxfr, merci de modifier votre news :-)

et voici le bulletin/advisory français :

http://www.k-otik.net/bugtraq/01.05.kernel.php(...)

-

effectivement les serveurs ont été compromis via une nouvelle faille rsync (selon k-otik.com)

News : http://www.k-otik.com/news/12.04.Gentoo.php(...)
Alerte : http://www.k-otik.net/bugtraq/12.04.rsync.php(...)

-

Advisory français et proof of concept :

http://www.k-otik.net/bugtraq/12.02.Kernel.2422.php(...)

http://www.k-otik.net/exploits/12.02.brk_poc.asm.php(...)