Journal 0day sur FreeBSD !

Posté par  (site web personnel) .
Étiquettes : aucune
18
1
déc.
2009
Un exploit local permettant de passer root vient d'être publié sur la liste de diffusion full-disclosure : http://seclists.org/fulldisclosure/2009/Nov/371
D'après le dénommé Kingcope (Nikolaos Rangos de son vrai nom) il s'agirait d'une faille dans l'éditeur de lien rtld.
Plusieurs versions de FreeBSD semblent être touchées par cette faille qui a déjà fait l'objet de nombre de posts sur divers blogs. Sur celui-ci on trouvera des explications assez claires sur le fonctionnement de cette faille:
http://xorl.wordpress.com/2009/12/01/freebsd-ld_preload-secu(...)
A noter que Brad Spengler a déjà décortiqué la chose...
  • # Le patch dispo

    Posté par  (site web personnel) . Évalué à 10.

    Réponse rapide sur la liste de sécurité avec l'url d'un patch provisoire vu l'urgence de la chose:
    http://lists.freebsd.org/pipermail/freebsd-security-notifica(...)
  • # not a 0day

    Posté par  . Évalué à 4.

    Le bug serait connu depuis un certain temps : http://c-skills.blogspot.com/2009/11/always-check-return-val(...)
    • [^] # Re: not a 0day

      Posté par  . Évalué à 4.

      Un 0day, c'est une vulnérabilité qui n'a pas été difusée publiquement (un groupe restreint de persone n'est pas une diffusion publique ;-) )

      Ici, seulement les hashes l'ont été afin de prouver que sa découverte est antérieur à celle de kcope. Mais aucun détail n'a été évoqué.
      • [^] # Re: not a 0day

        Posté par  . Évalué à 4.

        Je n'ai pas la même définition de 0day.
        Pour moi, c'est tout simplement une faille qui n'a pas de correctif au moment de sa publication. Le fait qu'elle soit publique, diffusée à un nombre restreint de personnes ou privée ne change rien au fait qu'il s'agisse d'une 0day.
        • [^] # Re: not a 0day

          Posté par  . Évalué à 3.

          Tu as raison ou tout du moins, nous avons tous les deux raison. En vérifiant sur Wikipedia (et en supposant qu'on y trouve la vérité absolue), cela dit:


          A zero-day (or zero-hour) attack or threat is a computer threat that tries to exploit computer application vulnerabilities that are unknown to others, undisclosed to the software vendor, or for which no security fix is available.


          Je t'accorde le fait qu'une faille privée est rarement corrigée par l'éditeur (comment le pourrait-il?). Mais que dire d'une faille corrigée de façon silencieuse (intentionnellement ou non)? Un administrateur ne tient pas forcément à mettre son système à jour quand la sécurité n'est pas en jeu. La faille est corrigée, mais la vulnérabilité est ignorée des masses. Ne s'agit'il pas également d'un 0day?

          C'est vrai également que sa sortie publique accélère généralement la mise à disposition d'un patch. Il n'y a qu'à voir sur ZDI les délais de diffusion entre la communication auprès d'un éditeur et la sortie d'un correctif pour une vulnérabilités critique.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.