J'ai partagé ce lien, et bien que j'essaye d'éviter l'alarmisme prématuré, et le posting exagéré, mais une nouvelle faille apparemment dangeureuse et générale, sans correctif encore, est annoncée dans la presse.
Il n'y a pas encore de CVE encore.
L'article technique décrivant la faille semble être :
https://github.com/V4bel/dirtyfrag/blob/master/assets/write-up.md
Donc, cela semble grave, concerner pas mal de monde, et n'a pas de correctif à l'instant.
Il semble exister une mesure d'urgence préventive : décharger du noyau les modules incriminés. (Voir l'article en lien).
# mise à jour
Posté par BAud (site web personnel) . Évalué à 4 (+2/-0).
comme c'est une entrée de forum, autant ne pas la laisser dormir avec un texte incomplet et l'actualiser avec les dernières informations (mais il n'y a que yinqi< qui peut le faire…). Notemment, citer les CVE indiquées dans les commentaires de https://linuxfr.org/users/earendil_fr/journaux/et-ca-continue-dirtyfrag ;-)
Note : tags cve et 0day ajoutés
[^] # Re: mise à jour
Posté par Krunch (courriel, site web personnel) . Évalué à 4 (+2/-0).
Techniquement c'est pas un 0 day. La faille a été connue des développeurs pendant environ une semaine avant qu'elle n'ai été publiée.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: mise à jour
Posté par cg . Évalué à 3 (+2/-1).
Intéressant, je dirais que ça se discute. Du point de vue du noyau Linux, ce n'est pas une 0-day, car un correctif existe en effet dans git sur la dernière version et les versions LTS.
Du point de vue d'une distribution/un produit qui utilise un noyau Linux, c'en est une, en particulier pour les noyaux qui ne font pas l'objet d'un correctif à la source, et doit être rétroporté.
Qu'en penses-tu ?
[^] # Re: mise à jour
Posté par BAud (site web personnel) . Évalué à 3 (+1/-0).
sur LWN, il est indiqué qu'il n'y a pas de correctif complet…
https://lwn.net/Articles/1071775/ Four stable kernels with partial fixes for Dirty Frag
[^] # Re: mise à jour
Posté par Krunch (courriel, site web personnel) . Évalué à 5 (+3/-0).
J'en pense que zéro fait référence au nombre de jours que les développeurs ont eu pour corriger le problème avant qu'il soit public. Dans ce cas, de ce que je comprend, il ont eu plus que zéro jours de notice. Ça semble aussi être la définition de Wikipedia.
Même s'il n'y a pas encore de correctif complet, ça fait plus que zéro jours qu'on a une mitigation tout à fait valable pour la plupart des utilisateurs. Donc même en prenant la définition de « jours depuis un correctif/mitigation », ça reste >0 . C'était techniquement 0 au moment de l'annonce, mais c'est pas très utile comme définition puisque c'est le cas de tous les bugs/correctifs de sécurité.
Pour Debian (et les autres distros), s'ils n'ont pas été mis au courant avant l'annonce publique (ce qui semble être le cas), j'accepte techniquement la définition de zéro jour mais ça me semble pas super pertinent. Au final ils attendent quand même le patch upstream pour pouvoir le porter. C'est plus sympa quand tout est coordonné mais il y a plein de logiciels de moindre envergures pour lesquels c'est pas fait et on crie pas au zero day parce que toutes les distros ont pas été informées en avance.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: mise à jour
Posté par cg . Évalué à 2 (+0/-0).
Oui, c'est vrai, je l'avais pas compris tout à fait comme ça, mais je trouve que ton explication est pertinente. Merci !
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.