Des vulnérabilités des Linux 2.4 permettent un DoS distant

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
21
mai
2003
Sécurité
Le problème se situerait dans la manière dont le noyau gère les tables de routage.
Il semble qu'il soit possible, en forgeant des paquets émis par des adresses bien choisies, de paralyser un système Linux (même sans outils GNU) avec seulement 400 paquets par seconde.

Une faille de sécurité locale semble également avoir été detectée. Elle permet à un utilisateur normal d'utiliser tous les ports d'entrées/sorties sans restrictions.

Note : cette faille date du 15 mai. La faille a été (semble t'il) révélée par un audit du code du noyau demandé par Oracle, IBM et Redhat pour permettre à (une version particulière de) celui-ci d'être certifié EAL 2.

#Traduction de l'alerte sur Secunia

Une vulnérabilité a été identifiée dans les noyaux de la série 2.4. Elle peut être exploitée par des personnes malveillantes pour causer un déni de service.

Le problème réside dans la manière qu'utilise le noyau Linux pour gèrer le cache des informations de routage. En floodant un système Linux avec des paquets aux adresses sources falsifiées, le gestionnaire du cache va consommer de grandes quantités de temps processeur. Cela permet de mettre hors-ligne un système Linux avec un débit de seulement 400 paquets par seconde, en utilisant des adresses IP sources soigneusement choisies pour provoquer des collisions dans la table de hachage.
Cela est également possible avec des paquets aléatoires, à condition seulement que le débit soit plus élevé.

#Fin de la traduction

Redhat à déjà patché son kernel.
Selon Secunia on peut également le contourner en filtrant dans la table de PREROUTING qui intervient avant la section incriminée.
Ils ne disent pas sur quelle machine 400 paquets suffisent (ou du moins je l'ai pas vu).

De plus, il semble que la mise à jour de RedHat corrige une autre faille (dans la fonction système "ioperm") permettant à tout utilisateur d'accèder en lecture/ecriture aux entrées/sorties.

Aller plus loin

  • # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

    Posté par  . Évalué à 10.

    C'est sympa mais ça date du 15 mai.
    Ce serai cool de l'ajouter sur la page.
    Je viens de hurler ça dans mon bureau et maintenant j'ai l'air con. Ca fait 5 jour que tous nos serveurs sont patchés.
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  . Évalué à 3.

      AMHA, un patch officiel serait bienvenue... mais visiblement ce n'est pas encore dispo :-(
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  (site web personnel) . Évalué à -1.

        Ben comme d'hab... pas de patch, comme pour le bug ptrace. pas un patch officiel, pas une release à jour....
        Es-ce que tout le monde s'en fou ?

        Le problème c'est que Linux va redevenir un système pour bidouilleur pas un système pro.

        Il est déjà difficile d'imposer/proposer linux, alors si chaque mois on découvre un loup, vous imaginez ? Linux creuse lui même sa tombe, et franchement ... j'ai pas envie que mon boss me fasse installer un Window$ à la place de ma gentoo !

        @+

        linux / linux / linux

        • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

          Posté par  . Évalué à 10.

          Il faut arrêter de dire des bêtises. Aucun patch officiel n'a été émis pour le bug ptrace, car les seuls patchs existants cassent un certain nombre de choses. La décision qui a été prise est d'attendre un patch qui ne casse rien, ou de prendre certains décisions de design pour circonscrire la faille. En attendant, les vendeurs de distribs proposent tous un noyau patché, mais c'est leur problème. Il n'y a pas à appliquer un patch cassant tout un tas de truc dans la branche officielle du noyau.
          • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

            Posté par  (site web personnel) . Évalué à 6.

            Il a dit des bêtises ?

            La raison est peut etre bonne, je ne connais pas assez le sujet pour en parler. Par contre les faits vérifiables sont effectivement qu'il n'y a pas de patch officiel pour une faille connue.

            Et c'est vrai que ca casse un peu le mythe du "avec l'OpenSource les failles sont corrigées dans la journée".
            • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

              Posté par  . Évalué à 3.

              > Par contre les faits vérifiables sont effectivement qu'il n'y a pas de patch officiel pour une faille connue.
              Tout dépend de ce que tu appelle officiel. Tous les fournisseurs de distros livrent des noyaux patchés. En tant qu'utilisateur d'une distro (je suppose) tu *as* un patch à ta disposition, c'est à toi de décider si tu l'applique ou non. Mais il ne faut pas imposer à tout le monde un patch qui casse plein de trucs.
            • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

              Posté par  . Évalué à 8.

              Que toutes les failles soient corrigées en un jour, c'est évidemment un élément mythique.

              Par contre, que les failles soient traitées dans la transparence, permettant à chacun de prendre ses dispositions, c'est une réalité. Et à mon sens, c'est l'intérêt du libre.

              Fait qui permet d'ailleurs à n'importe quelle grande boite d'informatique de contribuer à virer le bug, si elles ont un business reposant sur GNU/Linux.
            • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

              Posté par  . Évalué à 7.

              « Il a dit des bêtises ? »

              Oui.

              « La raison est peut etre bonne, je ne connais pas assez le sujet pour en parler. Par contre les faits vérifiables sont effectivement qu'il n'y a pas de patch officiel pour une faille connue. »

              Autrement dit, tu te fous complètement du fond, tout ce qui compte c'est les apparences. On prend les faits et on y applique les interprétations les plus simplistes, les plus dénuées de réflexion : c'est exactement ce que font certains pro-MS primaires ici... Puisque tu reconnais que la raison est bonne, pourquoi aller se préoccuper des apparences ? Si c'est vraiment un problème, c'est qu'il faut améliorer l'information, mais certainement pas se ramener au degré zéro du raisonnement.

              Quant aux patches des distribs, je suppose qu'il ne faut pas en parler puisqu'il est bien connu que les entreprises, ceux qui veulent du service, ou ne pas trop bidouiller utilisent tous une LFS. Enfin bref, le 1er post de ce thread résume tout.

              « Et c'est vrai que ca casse un peu le mythe du "avec l'OpenSource les failles sont corrigées dans la journée". »

              Inventer un "mythe" puis dire qu'il n'est pas vérifié, c'est intéressant aussi. Besoin de rien, on peut le faire tout seul. Tiens un autre : avec gcc les bugs sont corrigés tout seuls à la compilation... oh, non en fait, ce n'est pas vrai, incroyable !

              Ce qu'apporte le libre/open-source c'est la possibilité, pour la communauté, de traiter une faille de sécurité, sans être dépendant d'un éditeur. Et ça a très bien marché : les distribs qui l'ont voulu ont appliqué un patch, tandis que le noyau officiel n'en proposait pas. Cet exemple démontre exactement le contraire de ce que tu dis, sur un cas difficile (les développeurs amont ne proposent pas de solution).
          • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

            Posté par  (site web personnel) . Évalué à 2.

            Soit un trou , Soit tout casser ..... c'est fou ça comme remarque.

            OK dans ce cas c'est peut-etre pas un gros trou, mais vous ne vous rendez pas compte des pressions que cela eu engendrer .
            Donc on attend et je peux vous dire que c'est pas une bonne réponse à fournir à un client !

            C'est vraiment lourd de se justifier sans cesse pour prouver que Linux est vraiment l'os à utiliser.

            linux / linux / linux

            • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

              Posté par  . Évalué à 2.

              Tu n'as pas du tout à attendre. Tu peux aussi utiliser une distrib qui propose un patch. Si tu utilise une distrib qui ne te fournit pas ce que tu veux, c'est à toi d'assumer et c'est normal. Tu as le choix du distributeur, tu assume, ils ont des politiques différentes, c'est à toi de te renseigner. Tu peux même patcher toi-même le noyau avec un des nombreux patchs non-officiels disponibles. Simplement, les développeurs du noyau ont pris une décision. Si elle ne te plait pas, ne passe plus par eux pour trouver ton noyau, c'est tout. Le logiciel libre, c'est le choix, c'est tout. Tu n'es dépendant de personne, tu dois juste choisir ce que tu veux. C'est effectivement bête, utiliser du logiciel libre ne permet pas à ta machine de s'administrer toute seule. Ca aide à faire le boulot d'admin, ça ne remplace pas l'admin.
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  (site web personnel) . Évalué à 10.

      J'ai envoyée cette news y'a une semaine... Le patch: http://marc.theaimsgroup.com/?l=bk-commits-24&m=105217616607144&w=2
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  (site web personnel) . Évalué à 10.

        >J'ai envoyée cette news y'a une semaine... ca fait un peu peur, c'est typiquement le genre de news qui merite d'etre moderer tres rapidement... si le temps qu'on passe sur linuxfr permet pas d'etre informer de ce genre de chose... c'est con evidemment si j'etais un vrai pro, je boirais mon café en lisant secunia.com, au lieux de glander sur linuxfr :-)
        • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

          Posté par  . Évalué à -1.

          <i>>J'ai envoyée cette news y'a une semaine...

          ca fait un peu peur, c'est typiquement le genre de news qui merite d'etre moderer tres rapidement...

          C'est d'autant plus bizarre que ma news (pas urgente et pas très intéressante non plus, je pensais même pas qu'elle allait passer) sur knoppix 3.2 du 16 mai est passé en quelques heures.
          • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

            Posté par  (site web personnel) . Évalué à 10.

            Voila un extrait de discussion cet aprem sur la tribune des modéros qui exprime mon point de vue sur la question et celui de fabien. Je ne connais pas celui des autres qui ne l'ont pas passée non plus.

            [21/05 16:39] pour des failles aussi grosses d'ailleurs, je pense vraiment qu'il faut les valider rapidement et ne pas attendre, sauf exception.
            [21/05 17:15] ouais mais ca suxe une faille non expliquée et patchée que par redhat
            [21/05 17:20] oui mais faut qd meme le dire a mon avis, surtout que t as un fix par les regles prerouting.
            [21/05 17:25] ouais. le jour ou ca a été proposé j'avais été voir et devant le rien de concret j'avais décidé d'attendre une annonce Debain/mdk/suse/gentoo or j'ai rien vu passer ni chez mdk, ni chez debian ni chez gentoo

            Ca me dérange un peu de passer cette news alors que l'on ne sait pas de quoi il retourne vraiment et que l'on ne connait pas vraiment le niveau de risque associé dans la mesure ou personne ne communique sur le sujet. Le fait que les distribs aient pas l'air de trop s'en préocupper m'incite à penser que ce n'est pas une si grosse faille. Mais bon vu que tout le monde ici et sur irc se demande pourquoi c'est pas passé plus tot, le prochain coup j'attendrai pas que ce soit clair :-)
            • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

              Posté par  (site web personnel) . Évalué à 1.

              hum les noms entre < et > ont sauté donc :

              fabien
              moi
              fabien
              moi
            • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

              Posté par  . Évalué à 6.

              Ca me dérange un peu de passer cette news alors que l'on ne sait pas de quoi il retourne vraiment et que l'on ne connait pas vraiment le niveau de risque associé dans la mesure ou personne ne communique sur le sujet

              d'un autre cote, l'annonce sur bugtrack a eu lieu le 14/05 (par redhat avec des liens sur les upgrades kernel pour corriger, un lien sur le message qui contient le patch sur la liste des patchs kernel (patch de davem)) ...

              le lendemain (le 15/05) j'avais de plus un message du biniou de redhat (inscription chez eux pour recevoir les annonces ...), a noter que l'on est au courant plus tot si on lit bugtrack :-)
              ainsi que l'alerte de "engarde secure linux" postée sur bugtrack aussi.

              on a vu des news moins pertinentes etre modérées plus rapidement sans forcement plus de "preuves". Quoi de plus normal que de divulguer les failles rapidement meme si le correctif n'est pas pret, il me semble que c'est le cheval de bataille de l'opensource aussi (contraire de securite par l'obscurité).

              Dans ce cas la on peut quand meme se douter que redhat n'a pas relivré le kernel pour des prunes. une ré-écriture de la depeche du style
              "une nouvelle faille .... seul redhat fourni un correctif pour le moment nous attendons des nouvelles des autres distribs ainsi que leur point de vue sur la criticité de la faille" permettait de passer le message sans prendre de risque éditorial :-))

              Bon voila, ceci est a prendre sur un ton nonchalant, de discussion devant la machine a café hein, je ne suis pas remonté contre ces $*#$ de modérateurs, ils font un bon boulot, c'est juste l'excuse ci dessus qui me parait limite.
              Pour les autres, ben la conclusion c'est que pour les failles faut s'abonner a bugtrack ou autre et lire sa mailbox tous les matins. Linuxfr sux pour ca (et est loin de couvrir la totalite du domaine de toutes facons).
              • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

                Posté par  (site web personnel) . Évalué à -1.

                on a vu des news moins pertinentes etre modérées plus rapidement sans forcement plus de "preuves". Quoi de plus normal que de divulguer les failles rapidement meme si le correctif n'est pas pret, il me semble que c'est le cheval de bataille de l'opensource aussi (contraire de securite par l'obscurité).

                C'est pas une question de cacher la faille, c'est juste que ca me gene un peu de pousser tout le monde à courrir en quete d'un patch qui s'appliquera pas sur leur distrib car ils ont déjà un noyau super patché alors que c'est pas forcement utile. Je craignais surtout d'inquieter inutilement tout le monde.

                Dans ce cas la on peut quand meme se douter que redhat n'a pas relivré le kernel pour des prunes. une ré-écriture de la depeche du style
                "une nouvelle faille .... seul redhat fourni un correctif pour le moment nous attendons des nouvelles des autres distribs ainsi que leur point de vue sur la criticité de la faille" permettait de passer le message sans prendre de risque éditorial :-))


                Pas mal :-)
            • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

              Posté par  (site web personnel) . Évalué à 0.

              en tout cas, merci pour les explications

              c'est la glastnost !
              (orthographe non garantie)

              --
              un trou noir ? c'est troublant
  • # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

    Posté par  . Évalué à 7.

    A propos de vulnerabilités du noyau 2.4. Dernièrement, j'ai vu un truc bizarre.

    Avec un collègue on fait des tests de performances sur un petit réseau gigabit ethernet qui passe à travers une machine qui est censée contenir un firewall. Pour l'instant on faisait des tests de calibrage, donc la machine avait été configurée juste pour router les paquets d'un réseau à l'autre.

    On utilise un traffic "pire cas", c'est à dire que l'on forge des paquets et qu'on les envoi d'un réseau à l'autre à travers cette machine. Il est possible que la façon dont on forge les paquets soit mauvaise. Je ne peux rien garantir.

    Donc, à un moment lors d'une expérience, plus rien ne passait à travers le machine Linux montée en routeur... Pourtant, on pouvait faire tout ce qu'on voulait via un accès direct (clavier et moniteur marchait, tous les logiciels non réseau marchaient...). Sinon, du coté réseau, pas de ping, rien... J'ai eu l'impression que l'on avait planté la pile TCP/IP. Le problème, c'est qu'en essayant de le reproduire, on a pas réussi (du moins pas pour l'instant). Donc, je ne sais pas du tout d'où cela pouvait venir.

    Est-ce que quelqu'un a déjà rencontré ce genre de problème ????

    (Au fait, pour le noyau, c'est un 2.4.20)
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  . Évalué à 4.

      Juste une ou deux questions:

      -le noyau 2.4.21 sauce Mdk 9.1 est-il également touché?
      -si oui, vont-ils faire un patch?
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  (site web personnel) . Évalué à 2.

      Aujourd'hui, plus rien ne passait via mon interface eth0... Derrière il y a un portable qui était en train de charger des paquets debian (apt-get).

      Plus plus rien. Le serveur était ok, le portable ok mais la liaison réseau restait muette (pas de ping). Pourtant, dans ifconfig, l'intertface était là. Un ifconfig eth0 down && ifconfig eth0 up a réglé le problème !
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  (site web personnel) . Évalué à 10.

        Le coup du ifconfig down and up pour redemarré une interface réseau gelé je l'ai eu avec un noyau 2.2.10 et une 3Com Etherlink. Je n'ai jamais su d'ou ça venait, le réseau n'étant pas surchargé et cela n'étant pas lié, a priori, à l'uptime. Cette bonne vieille machine ( un PII 233 du 17 janvier 1997) a aujourd'hui eu son alim claqué et n'a connu au cours de sa longue vie que 2 ou 3 reboot sur les 4 dernières années :-)))) En fait pour etre exact, son dernier reboot datait du 12 novembre 2000. Voilà je tenait a rendre hommage publiquement a cette machine qui a fournit de bons et loyaux services pendant de longue années et qui je l'espère ne va dormir trop longtemps avant de reprendre du service. \o/ GNU/Linux Roulaizeeee \o/
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  . Évalué à 1.

        incroyable, j'ai eu les même symptômes hier (le 2003-05-21)
        avec une 3com, voilà un bout de mes logs qui montre le "hung":

        658 May 21 17:37:39 sql_srv kernel: NETDEV WATCHDOG: eth0: transmit timed out
        659 May 21 17:37:39 sql_srv kernel: eth0: Tx hung
        ...
        661 May 21 17:38:01 sql_srv login(pam_unix)[13889]: session opened for user root by LOGIN(uid=0)
        662 May 21 17:38:01 sql_srv -- root[13889]: ROOT LOGIN ON tty1
        663 May 21 17:38:19 sql_srv kernel: bcm5700: eth0 NIC Link is UP, 1000 Mbps full duplex

        un ifdown && ifup a suffit à tout ramener dans l'ordre.

        C'est la première fois que ça arrive sur une période de presque un an d'usage intensif (postgreSQL)

        c'était pendant un gros transfert (un select * avorté par un ctrl-c)

        mais le noyau est pas au top et le module n'est pas officiel alors je ne me chagrine pas trop...
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  . Évalué à 1.

        C'était sur une Debain testing/unstable aussi (mais avec un noyau recompilé par mes soins).
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  . Évalué à 7.

      J'ai deja eu quelquechose de "ressemblant", mais c'etait en fait le driver de la carte réseau qui était dans les choux: mon autre carte ethernet (autre driver) et mon acces ppp fonctionnaient encore, mais plus de LAN sur l'une des interfaces (carte Realtek).

      Pour ce que j'en sais, ca se produit rarement (2 fois en ~2 ans), apparemment suite a de tres gros transferts réseau (genre déplacement de quelques Gigas de données en cours) et meme un dechargement/rechargement du module de la carte réseau ne change rien (j'ai trouvé que le reboot pour remettre ca en marche), et ca ne se passerait qu'au bout d'un certain temps d'uptime et/ou d'utiiisation (dans les deux cas, j'en etais a plus de 100 jours d'uptime, et avec un traffic total passé par l'interface assez conséquent).

      Si ca peut aider, ou si qqun peut m'expliquer mon probleme, voire une facon de le résoudre sans rebooter, voire une solution pour plus jamais l'avoir :-)
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  . Évalué à 4.

        Ou faire un init 1; init 2/3 (2 pour deb, 3 pour redhat)
        Ou faire un delmod driver_reseau.o;insmod driver_reseau.o (là il va faloir tuer pas mal de process et décharger d'autre modules avant mais c l'idée).
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  . Évalué à 2.

        Mon "problème" est arrivé après avoir fait une recherche "ultimate" sur mldonkey. Celui-ci est monté à 99% de CPU, et après l'avoir tué, le raiso était mort.

        J'ai pas regardé quel interface/driver posait problème, j'aurais dû :( Je me suis dit que c'était surement le noyau qui était en cause. Les noyaux patchés, ça m'a jamais réussi (là c'était effectivement le noyau standard de la Mandrake 9.1).

        En tout cas, ce genre de thread fait mauvais genre...
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  (Mastodon) . Évalué à 1.

        j'ai eu un cas (peut-être est-ce le même genre de pb) d'un utilisateur de mon réseau qui était sous windows et faisait du peer to peer. Par moment, il était coupé du réseau. Il semblerait que sa carte réseau avait tendance à chauffer (on a pas pris la température, mais elle était en effet très chaude au toucher), il devait attendre un moment puis relancer les téléchargements.
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  . Évalué à 1.

        Cela pourrait bien être ça... Je n'avais pas pensé à un crash du driver (surtout qu'il s'agit d'un driver experimental sur une carte Gigabit-Ethernet de syskonnect).

        Il faut que je vérifie ça (l'ennui c'est que depuis on a mis à jour le prototype de driver, et du coup cela pourrait expliquer pourquoi on a plus rencontré le problème.... Je vais voir ce que donne un diff sur le source).

        Merci beaucoup pour la piste !!!
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  (site web personnel) . Évalué à 1.

      Sinon, du coté réseau, pas de ping, rien... J'ai eu l'impression que l'on avait planté la pile TCP/IP

      J'ai déjà eu ce genre de problème. Durant le transport de la machine, la carte réseau avait un peu bougé, et il devait y a voir des faux contacts avec le bus PCI. Le /var/log/messages prenait de temps en temps des messages d'erreur, et le kernel devait réinitialisé le drivers de temps en temps. Au bout d'environ 4h de ce régime là, l'interface réseau à fini par se planter définitivement, et plus rien ne passait. Par contre, l'autre carte réseau de la machine fonctionnait toujours très bien.

      Arrêt de la machine, remise en place de la carte, rédémarrage, et plus de problème. Franchement, j'ai été épaté que le kernel puisse maintenir aussi longtemps le fonctionnement de cette carte, avec autant de plantages de ce driver !
  • # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

    Posté par  . Évalué à 10.

    Si quelqu'un peut expliquer ce qu'est la certification EAL ( 2 et les autres) pour les non initiés comme moi.
    Merci d'avance.
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  . Évalué à 10.

      c'est une certification qui évalue le niveau de sécurité d'un système. Il va de 0 (sécurité vraiment nulle) à 7 (très balaise). Le site officiel doit être (sauf si je me trompe) http://www.commoncriteria.org
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  . Évalué à 10.

        sachant que le mot sécurité veut dire beaucoup de chose : 1. la sécurité du système face aux attaques externes 2. la sécurité du système face aux attaques internes 3. la sécurité du système face aux attaques physiques 4. la sécurité du système face à un plantage: gestion des sauvegardes, avoir toutes les procédures pour être capable de refaire le système rien qu'en suivant la documentation (un singe qui sait lire doit être capable de remettre en place le système). ... et d'autres si j'en oublies.
        • [^] # et 1 minute de pédagogie appliquée, une

          Posté par  . Évalué à 10.

          EAL-2 c'est juste me niveau d'assurance fourni concernant le développement. Enfin, bref la qualité de développement quoi. Cela n'indique rien sur le type de menaces auxquelles le kernel linux est suceptible de plus ou moins bien répondre. EAL-4 c'est le niveau ou Windows a été certifié. C'est vous dire si EAL-2 c'est faible comme niveau d'assurance, cela veut juste dire qu'il a été testé structurellement. voila, si avec ca je ne peux pas devenir ministre de l'éducation nationale.
  • # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

    Posté par  . Évalué à -1.

    Ca c'est de la bad news. N'empêche, notre cher Bugnon de M$ va se jeter sur cette news comme là bête du Gevaudan sur la pucelle se promenant dans les bois. Mais il faut souligner une chose. C'est que cette faille à été decouverte par un audit du code procédé par un organisme extérieur. L'avantage est que cela permet d'avoir un audit impartial voir désinteressé. Est-ce que Microsoft fait des audit de son code par des organismes extérieurs ?
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  . Évalué à 5.

      > «Est-ce que Microsoft fait des audit de son code par des organismes extérieurs ?» Je ne sais pas, mais si ça lui était reproché, il en ferait... avec contrat de non-divulgation des failles trouvées...
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  . Évalué à 1.

      Ce genre de vulnérabilité a de fortes chances d'être aussi présent dans windows, car ils ont déjà une génération des IP id qui n'est pas très très aléatoire. On peux donc légitimement se dire que des problèmes d'aléatoires pas aléatoires sont présent en de nombreux points dans windows(d'ailleurs faut être pas doué pour copier le stack BSD et le fragiliser ;).
    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

      Posté par  . Évalué à 2.

      Est-ce que Microsoft fait des audit de son code par des organismes extérieurs ?

      Oui
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  (site web personnel) . Évalué à 10.

        > > Est-ce que Microsoft fait des audit de son code par des organismes extérieurs ?

        > Oui

        Attention, on a dit « organismes », pas « micro-organismes ». Les audits de code effectués par les virus, ne compte pas ;-)
      • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

        Posté par  . Évalué à 1.

        et MS paie pour çà ?
        • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

          Posté par  . Évalué à 3.

          Ben oui, c'est des boites specialisees dans ce genre de choses, et elles font pas ca pour nos beaux yeux.
          • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

            Posté par  . Évalué à 0.

            J'ai toujours du mal a accorder du crédit au gens qui font payer un travail de certification. (Equilibre entre impartialité et intérêt commercial).
            • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

              Posté par  . Évalué à 1.

              Quelle certification ?

              C'est un audit de code qu'on a fait en tout cas sur certaines parties du code avant de sortir l'OS, tu nous a vu faire de la pub la-dessus ?
              • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

                Posté par  . Évalué à 1.

                Le terme certification etait mal choisi (comprendre: audit passé avec succes). Et je voulais dire que dans pas mal de situations, le résultat de l'audit est directement fonction de l'argent versé à la société d'audit.

                Je n'ai effectivement pas vu de pub la dessus (et je m'en étonne ;)
              • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

                Posté par  . Évalué à 1.

                > C'est un audit de code qu'on a fait en tout cas sur certaines parties du code avant de sortir l'OS

                tu parles de trucs comme PREfix / PREfast ?
                Parce que si j'ai bien compris, de l'aveux meme de gens de chez MS, c'était plutot là pour pointer des bugs vraiment évidents. Donc si faire un audit, c'est apprendre aux codeurs que un char[16], ça rentre pas dans un char[8], excuse moi, mais on fait mieux comme audit ;-)

                Si par contre, il y a eu un vrai audit proactif, avec revue du code PENDANT son écriture et pas 3 jours avant de sortir le produit, là, ça le fait. Windows 2k3 sera (ou pas) la preuve que MS a correctement pris en compte le problème de la sécurité. Wait & see

                > tu nous a vu faire de la pub la-dessus ?

                Sur l'amélioration de la sécurité, les audits, etc ? Pourtant, il me semble que y'a un mec qui s'appelle Mike Nash qui est payé pour justement dire aux gens qui se moquent de la sécurité version microsoft que non, non, non, c'est plus comme avant, etc. Bon, en fait, il me semble que c'est le gars en charge du projet "Trusted Computing" de MS. Et ça, on en a entendu causer. Arret du développement pour audit, mail de Billou, formation, etc. Et des grandes annonces sur windows 2003 : "regardez, quand windows vient de s'installer, y'a plus 18 services inutiles qui se lancent ! pas de serveur web automatiquement installé et lancé ! pas de disque C automatiquement partagé sous C$ ! C'est révolutionnaire !"

                En plus, je vois meme pas pourquoi MS devrait faire de la pub sur l'amélioration de la sécurité de ses produits, vu que normalement ça coule de source ("Trusted Computing", souvenez vous). Ou alors se serait parce que meme MS se rend bien compte qu'ils ne sont pas si sécurisés que ça et qu'ils ont trop déconner avec ça et se permettrait de faire de la pub là dessus pour essayer de convaincre quelques décideurs : "regardez la plus value ! pour 3000 $ de plus, on vous offre un OS sé-cu-ri-sé ! non, non, ça ne va pas de soit, la preuve, vos windows précédents, vous les avez payé cher et ils étaient pas clean pour autant. Donc faut acheter !"

                Ce poste n'est qu'un immense flame-bait.

                --
                AlphA
                • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

                  Posté par  . Évalué à 1.

                  Non je parles pas de prefix/prefast, ceux-la ils sont obligatoires pour tout code qui entre dans l'arbre de toute facon et c'est fait en interne.

                  Je parles d'une boite externe de securite, qui a revu le code pour trouver des failles potentielles, je sais pas si elle a tout revu, mais elle a en tout cas revu certaines parties.

                  Ce n'est pas non plus l'audit qu'on a fait nous meme en fevrier/mars 2002.

                  En passant, prefix/prefast ca trouve des bugs qui sont evidents, et d'autres qui le sont bcp moins, c'est assez baleze comme soft meme si ca ne garantit bien entendu pas un code 100% parfait
                  • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

                    Posté par  . Évalué à 1.

                    Ok, merci pour les infos.
                    Donc effectivement, on en a pas entendu causer. Shame on me.

                    > prefix/prefast ca trouve des bugs qui sont evidents, et d'autres qui le sont bcp moins, c'est assez baleze comme soft.

                    Là, tu m'intéresses. Si tu pouvais nous en dire en peu plus please, (*) (ou en privé par mail). La sécurité de fonctionnement et la preuve automatisée de fonctionnement, c'est passionant, mais *vraiment* chaud. La détection de code mort, la vérification du typage, le suivi des allocations/désallocations, c'est un truc de fou.

                    Certains langages type OCaml par exemple peuvent aider à produire quelque chose d'utile mais c'est pas encore ça. Et faire un outil non intrusif (qui ne modifie ni le code, ni le binaire, ni le fonctionnement) c'est encore pire.

                    (*) les sources sont pas dispos je suppose :p

                    --
                    AlphA
                    • [^] # Re: Des vulnérabilités des Linux 2.4 permettent un DoS distant

                      Posté par  . Évalué à 2.

                      prefast & prefix ont 2 usages distincts

                      prefast :
                      Il s'occupe de verifier le code dans une fonction, il va verifier que tu fais pas un strcpy d'un buffer de taille inconnue dans ton char toto[6], que tu joues pas avec des pointeurs non initialises, etc...
                      Il me semble qu'il fait uniquement de l'analyse syntaxique et semantique.
                      Bref, il fait les verifs sur les trucs supposes pas compliques mais que tout le monde fait faux de temps en temps: ecrire dans un buffer trop petit, ne pas relacher la memoire,...


                      prefix:
                      Il s'occupe de faire des verif pour tout ce qui est appels entre fonctions, bref, zieute les valeurs d'entree, valeurs de retour,...
                      Il construit un modele du code, cree un grand nombre de scenarios possibles(valeurs de bornes, etc...) et les simule, vu le nombre de scenarios possibles, ca prend un temps non negligeable, mais prefix est par exemple capable te dire des trucs du genre:
                      En passant un buffer de taille 400 a la fonction de haut niveau X, apres 2 recursions, si la condition Y retourne faux, alors tu vas retourner une variable non initialisee.

                      Le genre de choses pas forcement evident a voir a l'oeil nu, et c'est presente de maniere assez simple a comprendre pour l'utilisateur.

                      D'autre part les 2 softs ont un systeme de plugin qui permet de creer des extensions et chercher d'autres classes de bugs ou choses dans le code que tu veux signaler.
  • # Et sur Debian ?

    Posté par  . Évalué à 3.

    Je n'ai rien vu concernant les 2.4 des Debian ? ils seraient epargnes ? Pas encore de patch ?

    So qqu'un a des infos...
    • [^] # Re: Et sur Debian ?

      Posté par  (site web personnel) . Évalué à 6.

      Je viens juste d'essayer, la sid inclut un kernel-source-2.4.20-7, en faisant un diff il est patche, donc :

      apt-get install kernel-source-2.4.20
      make oldconfig
      make-kpkg --revision $HOST.$REV debian
      make-kpkg kernel_image

      Steph
    • [^] # Re: Et sur Debian ?

      Posté par  . Évalué à 2.

      Ils sont sur la liste de secunia.
    • [^] # Re: Et sur Debian ?

      Posté par  . Évalué à 6.

      Deja que le dernier kernel woody en date ( 2.4.18-5 ) est meme pas patché ptrace ( faut aller le piocher dans woody-proposed-updates ) , t as encore le temps d attendre....
      • [^] # Re: Et sur Debian ?

        Posté par  (site web personnel) . Évalué à 1.

        Enfin avant de nourrir le troll, oublie pas que Debian fournit des sources modifiés incluant de nombreux patches sensés améliorer la stabilité et la sécurité du kernel, d'où la raison pour laquelle celui-ci (de cette news) se trouve dedans. Et puis si t'es si désespéré, reste la bonne méthode à la main mais tu le sais déjà.

        Steph
        • [^] # Re: Et sur Debian ?

          Posté par  . Évalué à 0.

          Mais dans ce cas pourquoi ne pas proposer aussi les noyaux compilés ? Manque de place, de temps ?
          • [^] # Re: Et sur Debian ?

            Posté par  (site web personnel) . Évalué à 1.

            Eh bien figures toi qu'ils le font :

            $ apt-cache search kernel-image-2.4.20
            kernel-image-2.4.20-1-386 - Linux kernel image for version 2.4.20 on 386.
            kernel-image-2.4.20-1-586tsc - Linux kernel image for version 2.4.20 on Pentium-Classic.
            kernel-image-2.4.20-1-686 - Linux kernel image for version 2.4.20 on PPro/Celeron/PII/PIII/PIV.
            kernel-image-2.4.20-1-686-smp - Linux kernel image for version 2.4.20 on PPro/Celeron/PII/PIII/PIV SMP.
            kernel-image-2.4.20-1-k6 - Linux kernel image for version 2.4.20 on AMD K6/K6-II/K6-III.
            kernel-image-2.4.20-1-k7 - Linux kernel image for version 2.4.20 on AMD K7.
            kernel-image-2.4.20-1-k7-smp - Linux kernel image for version 2.4.20 on AMD K7 SMP.
            kernel-image-2.4.20-speakup - Linux kernel binary image for version 2.4.20-speakup

            Steph
            • [^] # Re: Et sur Debian ?

              Posté par  . Évalué à 0.

              Sauf que 1 != 7, même pour des grandes valeurs de 1 et des petites valeurs de 7...

              kernel-image-2.4.20-1-i386 => kernel-image-2.4.20-1-386
              kernel-image-2.4.20-7-i386 => ???
              • [^] # Re: Et sur Debian ?

                Posté par  . Évalué à 1.

                Zut, je viens de me rendre compte que j'ai tout faux... (en plus ce que j'ai écris ne correspond pas à ce que je vouslais dire).

                Dans le apt-cache show kernel-image-2.4.20-1, je vois ça :

                Filename:pool/main/k/kernel-image-2.4.20-1-i386/kernel-image-2.4.20-1-386_2.4.20-7_i386.deb

                Comprend rien au nommage des numéros de versions des noyaux...
      • [^] # Re: Et sur Debian ?

        Posté par  . Évalué à 2.

        Mouais...Quelqu'un d'autre que moi a essayer l'exploit ptrace sur une debian ? chez moi ca a pas marcher (woody), alors que ca m'as bien aidée a sur une redhat 8 non patché dont j'avais paumer le pass root (je ne denigre pas du tout red hat, je dis juste que je sais faire marcher un exploit comme un vrai cowboyz et que ca a pas marcher sur ma woody)...
        • [^] # Re: Et sur Debian ?

          Posté par  . Évalué à 1.

          Je l'ai fait marché sur une Woody 100% pure jus.

          Va comprendre charles...
        • [^] # Re: Et sur Debian ?

          Posté par  . Évalué à 1.

          bin je l ai essayé sur une bonne dizaine de woody avec le kernel en question et ca marche tres bien , t es bien sur que t avais pas desactivé le loadage des modules ?
        • [^] # Re: Et sur Debian ?

          Posté par  (site web personnel) . Évalué à 1.

          Il y a deux exploits ptrace qui ont circulé, l'un des deux ne marchait pas sur les RH, peut etre que l'autre ne marchait pas sur debian :-)
  • # Dans la serie moins critique (car locale), celle ci est sortie hier

    Posté par  (site web personnel) . Évalué à 0.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.