Journal 0day sur FreeBSD !

• # Le patch dispo

  Posté par Raoul Volfoni (site web personnel) le 01 décembre 2009 à 12:42. Évalué à 10.

  

  Réponse rapide sur la liste de sécurité avec l'url d'un patch provisoire vu l'urgence de la chose:
  http://lists.freebsd.org/pipermail/freebsd-security-notifica(...)

  • [^] # Re: Le patch dispo

    Posté par Bapt (site web personnel) le 01 décembre 2009 à 15:00. Évalué à 5.

    

    D'ailleurs le patch a été intégré commité puis MFCed très rapidement après la découverte.

    • [^] # wtf is MFC

      Posté par boq le 01 décembre 2009 à 20:28. Évalué à 10.

      

      Pour ceux (comme moi) qui ont vu des ? passer devant leur écran et s'agglutiner autour de "MFCed":
      http://www.freebsd.org/doc/en/books/handbook/freebsd-glossar(...)

    • [^] # Re: Le patch dispo

      Posté par Patrick Lamaizière (site web personnel) le 02 décembre 2009 à 00:15. Évalué à 4.

      

      D'ailleurs le patch a été intégré commité puis MFCed très rapidement après la découverte.
      
      Mouais, l'est toujours dans les branches releases le patch.
      
      --
      en train de patcher ma 7.2-RELEASE...

      les pixels au peuple !

• # not a 0day

  Posté par M le 01 décembre 2009 à 23:08. Évalué à 4.

  

  Le bug serait connu depuis un certain temps : http://c-skills.blogspot.com/2009/11/always-check-return-val(...)

  • [^] # Re: not a 0day

    Posté par oat5hd le 01 décembre 2009 à 23:34. Évalué à 4.

    

    Un 0day, c'est une vulnérabilité qui n'a pas été difusée publiquement (un groupe restreint de persone n'est pas une diffusion publique ;-) )
    
    Ici, seulement les hashes l'ont été afin de prouver que sa découverte est antérieur à celle de kcope. Mais aucun détail n'a été évoqué.

    • [^] # Re: not a 0day

      Posté par gorva le 03 décembre 2009 à 00:08. Évalué à 4.

      

      Je n'ai pas la même définition de 0day.
      Pour moi, c'est tout simplement une faille qui n'a pas de correctif au moment de sa publication. Le fait qu'elle soit publique, diffusée à un nombre restreint de personnes ou privée ne change rien au fait qu'il s'agisse d'une 0day.

      • [^] # Re: not a 0day

        Posté par oat5hd le 03 décembre 2009 à 11:01. Évalué à 3.

        

        Tu as raison ou tout du moins, nous avons tous les deux raison. En vérifiant sur Wikipedia (et en supposant qu'on y trouve la vérité absolue), cela dit:
        
        
        A zero-day (or zero-hour) attack or threat is a computer threat that tries to exploit computer application vulnerabilities that are unknown to others, undisclosed to the software vendor, or for which no security fix is available.
        
        
        Je t'accorde le fait qu'une faille privée est rarement corrigée par l'éditeur (comment le pourrait-il?). Mais que dire d'une faille corrigée de façon silencieuse (intentionnellement ou non)? Un administrateur ne tient pas forcément à mettre son système à jour quand la sécurité n'est pas en jeu. La faille est corrigée, mais la vulnérabilité est ignorée des masses. Ne s'agit'il pas également d'un 0day?
        
        C'est vrai également que sa sortie publique accélère généralement la mise à disposition d'un patch. Il n'y a qu'à voir sur ZDI les délais de diffusion entre la communication auprès d'un éditeur et la sortie d'un correctif pour une vulnérabilités critique.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.