Deux failles de sécurité pour les noyaux Linux 2.4.x et 2.6.x

Posté par . Modéré par Jaimé Ragnagna.
0
15
déc.
2004
Noyau
K-OTik Security nous apprend que deux vulnérabilités ont été identifiées dans le noyau Linux, elles pourraient être exploitées par un attaquant afin de causer un déni de service ou augmenter ses privilèges.

1) Le premier problème résulte d'une erreur présente au niveau du module IGMP (Internet Group Management Protocol), elle pourrait être exploitée par un utilisateur local afin d'augmenter ses privilèges (à root), ou par un attaquant distant afin de causer un déni de service [l'attaquant devra être capable d'envoyer des requêtes IGMP_HOST_MEMBERSHIP_QUERY, et les fichiers /proc/net/igmp et /proc/net/mcfilter cibles devront être non vides].

2) La seconde vulnérabilité concerne la fonction scm_send(), elle pourrait être exploitée par un utilisateur local afin de causer un Déni de Service. L'exploitation (à des fins d'élévation de privilèges) n'est pas possible sous Linux 2.4.x, la possibilité d'exploitation sous Linux 2.6.x n'a pas été confirmée/infirmée.

Aucun correctif officiel pour l'instant, donc patience.

Aller plus loin

  • # Déplorable...

    Posté par . Évalué à -10.

    Ah elle est bien jolie la super-securité de Linux... Ça donne une bonne image...
    • [^] # Re: Déplorable...

      Posté par . Évalué à 10.

      Faille trouvée, faille communiquée, faille corrigée, faille pas d'exploitée.
      C'est une très bonne image.
      • [^] # Re: Déplorable...

        Posté par . Évalué à 4.

        faille pas d'exploitée.

        Tu en sais quoi qu'elle n'a pas ete exploitee ?
        • [^] # Re: Déplorable...

          Posté par . Évalué à 8.

          Effectivement rien ne le prouve.

          Mais il ne faut pas réagir si vite. Je pense qu'il a voulu exprimer le fait que la transparence en sécurité est une bonne chose. Et le résumant par la cheminement :

          "Faille trouvée, ensuite faille communiquée, ensuite faille corrigée, et une fois corrigée faille non exploitable".
        • [^] # Re: Déplorable...

          Posté par . Évalué à -4.

          ca y est Pb Pg qui ce met au FUD.

          Tu en sais quoi qu' elle est exploité ?
          Donne moi un exemple .
          • [^] # Re: Déplorable...

            Posté par . Évalué à 0.

            ca y est Pb Pg qui ce met au FUD.

            Tu en sais quoi qu' elle est exploité ?
            Donne moi un exemple .


            T'es un grand rigolo toi.

            J'ai dit qu'elle a ete exploitee ? Non
            J'ai dit qu'elle n'a pas ete exploitee ? Non

            Mais monsieur doit bien evidemment en tirer des conclusions hatives car ca arrange sa vision du monde(informatique).
            • [^] # Re: Déplorable...

              Posté par . Évalué à -1.

              oh la c' est toi qui emet un doute sans rien prouver, je suis resté factuel encore une fois.

              D' autre part les commentaires que j' ai fait ensuite vont dans le même sens ... apporte moi une preuve de l' exploitation de serveur/client avec ces failles , je ne rendrais pas ms responsable de l' inconscience des utilisateurs...... A moins que ce soit un nouveau troll.....
              • [^] # Re: Déplorable...

                Posté par . Évalué à 4.

                J'emets un doute ? Ben oui, personne n'a de preuve qu'il n'a pas ete exploite, donc il est normal d'en douter.

                Affirmer que cette faille n'a pas ete exploitee c'est fantaisiste car on ne sait pas qui etait au courant de cette faille, si ca se trouve certains hackers la connaissent depuis plus d'un an et l'ont gardee pour eux, et si ca se trouve personne d'autre ne le savait. Bref, personne n'est capable de dire "cette faille n'a pas ete exploitee".
                • [^] # Re: Déplorable...

                  Posté par . Évalué à 1.

                  bon la je reprends un argument cité plus bas: le code de 2000 circule que je sache non ? qui te dit que des failles n' on pas été trouvées et/ou exploitées ??? (qui ou quoi d' ailleurs ).
                  C' est marrant j' ai l' impression de tourner en rond open/closed source.

                  Ça n' est pas une question d' entreprise (ms ou autre, bien que j' ai beaucoup à dire sur ms ) , mais de conception de systéme.

                  J' explique: nous avons quitté l' aire des 8 bit , copier/comprendre les sources d' un os COMPLET n' es pas à la portée de tout le monde ni même d' un seul quel qu'il soit. Trouver/exploiter les failles n' est pas à la portée de tous que ce soit en opensource ou closed source.

                  La rapidité de correction est essentielle , et la ms n' a pas de leçon a donner à qui que ce soit.
                  • [^] # Re: Déplorable...

                    Posté par . Évalué à 5.

                    bon la je reprends un argument cité plus bas: le code de 2000 circule que je sache non ? qui te dit que des failles n' on pas été trouvées et/ou exploitées ??? (qui ou quoi d' ailleurs ).

                    Rien, c'est peut-etre le cas, peut-etre pas. J'ai jamais dit le contraire. J'ai jamais fait une difference entre Linux et Windows dans mes posts precedents que je sache.

                    Trouver/exploiter les failles n' est pas à la portée de tous que ce soit en opensource ou closed source.

                    C'est effectivement le cas, raison pour laquelle ce soi-disant avantage de l'open source pour trouver les failles n'en est pas vraiment un en realite, a moins de chercher specifiquement ca et d'avoir un minimum de competences dans le domaine ca ne marche pas.

                    La rapidité de correction est essentielle , et la ms n' a pas de leçon a donner à qui que ce soit.

                    Ca depend des produits et des cas. MS est pas forcement meilleur, pas forcement pire non plus.
                    • [^] # Re: Déplorable...

                      Posté par . Évalué à 8.

                      > C'est effectivement le cas, raison pour laquelle ce soi-disant avantage de l'open source pour trouver les failles n'en est pas vraiment un en realite

                      Intellectuellement son avantage n'est pas évident.
                      Dans la réalité, son avantage est évident et a largement fait ses preuves.

                      > MS est pas forcement meilleur, pas forcement pire non plus.

                      Pas forcément pire. D'accord.

                      Mais empiriquement pire, c'est sûr.
                      • [^] # Re: Déplorable...

                        Posté par . Évalué à 8.

                        Moi je pense à qqchose : dans qques années la position de microsoft aura peut etre changé ( peut etre plus par la force des choses que par une décision spontanée , quoique...) , tout comme IBM en fait , Et suse aussi qui a commencé par faire du support d'unix proprio je rappelle.

                        Et ce jour la on arretera peut etre de casser les couilles à pBpG et on admirera son objectivité.

                        Parce que finalement , il n'y aucune mauvaise foi derriere son discours , on ne peut pas en dire autant de tout le monde ici...
                        • [^] # Re: Déplorable...

                          Posté par . Évalué à -2.

                          > dans qques années la position de microsoft aura peut etre changé
                          > on arretera peut etre de casser les couilles à pBpG et on admirera son objectivité.

                          T'y vois pas une contradiction ? Il faut que MS change pour que pBpG soit objectif...

                          > Parce que finalement , il n'y aucune mauvaise foi derriere son discours , on ne peut pas en dire autant de tout le monde ici...

                          Ben s'il n'y a aucune mauvaise foi alors beaucoup ici sont de mauvaise foi, la FSF est de mauvaise foi, les procès contre MS sont basé sur de la mauvaise foi, MS qui paye pour "étouffer" des affaires c'est seulement de la générosité, etc.
                          • [^] # Re: Déplorable...

                            Posté par (page perso) . Évalué à 8.

                            Dans une optique de sécurité, on n'a aucune preuve que la faille ne soit pas exploitée, donc il faut considérer qu'elle peut l'être et pas l'inverse.
                            Et PbPg a été très objectif là-dessus. Je ne comprends pas ton acharnement.
                            • [^] # Re: Déplorable...

                              Posté par . Évalué à -2.

                              > Et PbPg a été très objectif là-dessus

                              Mais dire "on ne peut pas dire que la faille n'a pas été utilisé", c'est ne rien dire du tout et c'est seulement du FUD pour faire peur.
                              Comme il y a beaucoup de failles découvertes sous GNU/Linux (parce que les sources sont dispos, etc), c'est un FUD typique pour faire peur aux utilisateurs du logiciel libre.
                              Et ça marche bien car le raisonnement est simpliste.

                              Pour information : 32 failles la semaine dernière :
                              http://lwn.net/Articles/113739/(...)

                              Combien utilisée ?
                              Sûrement 0. Peut-être une.

                              Mais les _faits_ sont là, les failles sont très rarement utilisées donc je peux dire affirmer avec confiance (pour cette faille comme pour beaucoup d'autre) qu'elle n'a pas été utilisée.

                              Ce modèle marche car les correctifs sont rapidement disponibles et car tout le monde utilise une distribution qui applique les correctifs.


                              De tout manière, si je dis qu'il y a une faille de Windows et qu'elle a peut-être été utilisé, pBpG va demander de le prouver. C'est systématique chez lui sinon tu te fais copieuse insulté. Et "vous" allez le trouver objectif. Et je trouve ça objectif aussi.

                              Donc jusqu'à preuve du contraire, la faille n'a pas été exploité. Ou alors il faut le prouver.

                              > Dans une optique de sécurité, on n'a aucune preuve que la faille ne soit pas exploitée

                              J'ai dit qu'elle n'a pas été exploité. Je n'ai pas dit qu'elle n'était pas exploitable.

                              > donc il faut considérer qu'elle peut l'être et pas l'inverse.

                              Tout à fait. Non seulement "il faut considérer qu'elle peut l'être" mais il faut considérer qu'elle l'est.
                              Donc => mise à jours dès que le correctif est disponible.
                              On insistera jamais assez sur ça.

                              > Je ne comprends pas ton acharnement.

                              Son acharnement au FUD est remarquable.
                              • [^] # Re: Déplorable...

                                Posté par . Évalué à 6.

                                Combien utilisée ? Sûrement 0. Peut-être une.
                                Faut que tu me dises ou tu as appris a etre omniscient, car franchement ca m'interresse.

                                Utilisees par qui ? comment ? pourquoi ?
                                Si c'est alterer l'intregrite de ton OS/data en visitant une page web ou en recevant un mail, c'est sur que que ce n'est pas "utilise". Mais si c'est un serveur d'un ISP que tu convoites, le petit serveur perso d'un type que tu peux pas blairer, ou bien tout simplement l'envie de descendre une machine au pif ou en r00ter une pour stimuler ta libido, alors crois moi, elles seront utilisees.

                                Il existe des dizaines de vulnerabilites dites "non exploitables" qui le sont pleinement. Rapelle toi de la faille chunk encoding d'apache. Au depart elle a ete vendue comme "non exploitable" juste un "vulgaire" DoS.
                                Resultat:
                                http://www.cse.msu.edu/~westrant/symlink/pages/exploits/apache_vuln(...)

                                Les worms apache, qui sevissaient sous FreeBSD, j'en avais plein mes logs _AVANT_ que la faille ne soit rendue publique.

                                L'exploitation d'une faille depend de plusieurs facteurs (la liste est loin d'etre exhaustive):
                                - qui la decouvre et comment
                                Certaines failles de secu sont decouvertes par inadvertance, juste parce que y'a eu un core dans un coin. Ceux qui veulent vraiment r00ter une machine, vont prendre du temps a lire le code des services qui tourne pour trouver la faille et ils ne s'en vanteront pas forcement sur les mailing list du proj.
                                - La nature de la faille
                                cf plus haut le passage sur les "non exploitables"
                                - Le public vise
                                C'est sur que sous windows, on exploite a fond les faiblesses du design de l'OS, parceque ca touche du monde et que tu es sur d'etre gagnant. Je doute que ca suscite autant d'interet que d'exploiter le design de SkyOS.
                                • [^] # Re: Déplorable...

                                  Posté par . Évalué à -1.

                                  > Au depart elle a ete vendue comme "non exploitable"

                                  Je n'ai pas dit que la faille était non exploitable j'ai dit qu'elle n'a pas été exploité.
                                  Tu comprends la nuance ?
                                  • [^] # Re: Déplorable...

                                    Posté par . Évalué à 3.

                                    Et tu en sais quoi qu'elle n'a pas ete exploitee ?!?! T'es alle verifier sur tous les serveurs de la planete ? Non, bref tu n'en sais _strictement rien_
                                  • [^] # Re: Déplorable...

                                    Posté par . Évalué à 4.

                                    Je n'ai pas dit que la faille était non exploitable j'ai dit qu'elle n'a pas été exploité.
                                    Jusqu'a nouvel ordre je sais lire. Pour l'expression je ne sais pas si parfois je suis aussi explicite que je le voudrais. Bref...
                                    Je donne ca comme exemple, pour illustrer qu'en matiere de faille de securite, il ne vaut mieux pas aller vite en besogne.
                                    Si t'es assez balaise pour savoir qu'une faille de secu n'a jamais ete exploitee, tu devrais pouvoir comprendre un pauvre post sur linuxfr.
                                    • [^] # Re: Déplorable...

                                      Posté par . Évalué à -1.

                                      > Si t'es assez balaise pour savoir qu'une faille de secu n'a jamais ete exploitee

                                      Je recommence parce que t'es dur de la feuille.
                                      Je dis : "la faille n'a pas été exploité".
                                      Car la majorité des failles ne sont pas exploités. Donc, jusqu'à preuve du contraire, "la faille n'a pas été exploité" est plus vrai que "la faille a été exploité".
                                      C'est claire ?

                                      Dire "la faille a peut-être été exploité" est certe vrai aussi mais relève du FUD.
                                      • [^] # Re: Déplorable...

                                        Posté par . Évalué à 4.

                                        Je suis sur que tu as réussi a te convaincre que ton raisonnement tenait debout. Je t'invite à le relire à tête reposé.
                                        • [^] # Re: Déplorable...

                                          Posté par . Évalué à 1.

                                          > tu as réussi a te convaincre que ton raisonnement tenait debout.

                                          Quand le raisonnement des autres ne tient pas debout, ça ne vous dérange pas.

                                          Le FUD se base souvent sur du "flou", des demi-vérités.

                                          Prenez la vision pessimiste et "flou" :
                                          - Il y a des failles, elles sont toutes peut-être exploitées.

                                          C'est vrai mais la réalité est plus :
                                          - il y a des failles, la grandes majorité ne sont jamais exploités.

                                          Donc, pour cette failles et jusqu'à preuve du contraire, la faille n'a pas été exploité. Point final !


                                          Utilisons le même raisonnement utilisé par pB pG et d'autres pour sous-entendre que la faille a été utilisée (puisqu'ils ne font pas d'accord avec "la faille n'a pas été exploité").

                                          Le "raisonnement" de base est rappelé ici.
                                          À la phrase :
                                          - "la faille n'a pas été exploité."
                                          on répond :
                                          - "On ne peut pas le prouver car on n'as pas examiné tous les PCs de la planète. Donc la faille a peut-être été exploité."
                                          Sous-entendu[*] : Faites très attention, cet OS est "dangereux" !

                                          Appliquons ce "raisonnement" à un autre cas :
                                          À la phrase :
                                          - Le FS de Windows ne bouffe pas les fichiers.
                                          on répond :
                                          - On ne peux pas le prouver car on n'as pas examiné tout les PCs de la planète. Donc Windows a peut-être bouffer des fichiers.
                                          Sous-entendu[*] : Faites très attention, cet OS est "dangereux" !

                                          Procéder avec ce type de raisonnement c'est uniquement utile pour faire du FUD. Jusqu'à preuve du contraire, la faille n'a pas été exploité et Windows ne bouffe pas les fichiers.


                                          [*] le FUD recherché
                                          • [^] # Re: Déplorable...

                                            Posté par . Évalué à 1.

                                            C'est vrai mais la réalité est plus :
                                            - il y a des failles, la grandes majorité ne sont jamais exploités.


                                            Et on recommence. Tu en sais quoi que la grande majorite n'a jamais ete exploitee ?

                                            Appliquons ce "raisonnement" à un autre cas :
                                            À la phrase :
                                            - Le FS de Windows ne bouffe pas les fichiers.
                                            on répond :
                                            - On ne peux pas le prouver car on n'as pas examiné tout les PCs de la planète. Donc Windows a peut-être bouffer des fichiers.


                                            Comme a peu pres toutes tes tentatives de faire de la logique, ton exemple est completement a cote de la plaque.

                                            Dans le cas des failles, l'exploit va essayer d'etre aussi discret que possible, ce qui explique que les gens ne se rendent pas specialement compte que la machine a ete hackee(cf. serveur gnu.org qui a mis des mois a s'en rendre compte)

                                            Dans le cas des fichiers qui disparaissent c'est plus que visible et cela se saurait si c'etait repandu.

                                            Bref, a cote de la plaque, comme d'hab.
                                            • [^] # Re: Déplorable...

                                              Posté par . Évalué à -1.

                                              > l'exploit va essayer d'etre aussi discret que possible, ce qui explique que les gens ne se rendent pas specialement compte que la machine a ete hackee

                                              (Cracké et pas hacké. Parfois je hacke mais jamais je cracke.)

                                              Parfois c'est le cas et parfois le but est d'être très visible.
                                              J'ai 300 000 fichiers sur ma bacane, un de plus ou un de moins, ce n'est pas très visible.

                                              > serveur gnu.org qui a mis des mois a s'en rendre compte

                                              Se rendre compte de quoi ?
                                              Que quelqu'un avait obtenu un accès non autorisé ou que quelques fichiers ont été corrompus ?

                                              > Bref, a cote de la plaque, comme d'hab.

                                              Insultant, comme d'hab.
                                              • [^] # Re: Déplorable...

                                                Posté par . Évalué à 1.

                                                (Cracké et pas hacké. Parfois je hacke mais jamais je cracke.)

                                                Pas forcement, le mot hacker est aussi utilise dans ce sens

                                                Parfois c'est le cas et parfois le but est d'être très visible.
                                                J'ai 300 000 fichiers sur ma bacane, un de plus ou un de moins, ce n'est pas très visible.


                                                1) Peu de gens ont 300'000 fichiers
                                                2) Si des fichiers de donnees se perdent, ca se voit assez vite
                                                3) Si c'est des fichiers de l'OS, il se met a merder et ca se voit assez vite aussi

                                                Se rendre compte de quoi ?
                                                Que quelqu'un avait obtenu un accès non autorisé ou que quelques fichiers ont été corrompus ?


                                                Acces non autorise
                                                • [^] # Re: Déplorable...

                                                  Posté par . Évalué à 1.

                                                  > 1) Peu de gens ont 300'000 fichiers

                                                  300 000 fichiers c'est ce qu'on trouve dans une installation complète de Linux.
                                                  FC3 a 340 000 fichier.

                                                  > 2) Si des fichiers de donnees se perdent, ca se voit assez vite

                                                  Ça dépend.

                                                  > 3) Si c'est des fichiers de l'OS, il se met a merder et ca se voit assez vite aussi

                                                  Ça dépend.
                                                  • [^] # Re: Déplorable...

                                                    Posté par . Évalué à 1.

                                                    mmmh...
                                                    pourrait on dire que la grande majorite des fichiers perdus n'est en pratique jamais exploite?

                                                    300 000 fichiers c'est ce qu'on trouve dans une installation complète de Linux.
                                                    FC3 a 340 000 fichier.

                                                    ouais, donc on est d'accord, PEU de gens ont 300 000 fichiers sur leur dur, car PEU de personnes ont linux. D'autant plus que l'argument initial portait sur le FS de windows, donc que vient faire cette fedora core dans l'histoire?

                                                    Ce que tu dis est donc un raccourci intellectuel volontaire, donc du FUD digne des tracts du fn (merde, j'viens de gagner mon point godwin.. bah, un de plus ou de moins, de toutes facons..).
                                                    Enfin, c'est le cas, si l'on suit le raisonnement de l'autre oursin autiste plus haut qui pretend etre sur que les failles ne sont pas exploitees (j'ai du mal a retenir les nick sur ce forum, desole).

                                                    Mais mais mais!!!!
                                                    c'est un mensonge delibere
                                                    AAAAAAAAAAAAAAAAAAUUUUUUUUUUUUUUUUUUUUUUU FFFFFFFFFFUUUUUUUUUUUUUUUUUUUUUUUUUUDDDDDDDDDDDDDDDDDDDDDD!!!!!!!!!!!!
                                                    Police secours!!!!!
                                                    on a trouve un FUDer sur linuxfr.org...

                                                    bon, sinon, j'ai une question aux detracteurs de pbpg:
                                                    comment vous faites pour vous prendre autant la tete?
                                                    J'veux dire, le coup de dire que les failles ne sont pas exploitees est d'une arrogance et d'une suffisance sans nom.

                                                    tiens, une autre question aux detracteurs de pbpg : mis a part enculer les mouches sur des points de details (approximatifs en plus, c'est ca qui est genial), vous savez faire quelque chose?

                                                    Le fait que microsoft soit en position dominante et ait des pratiques commerciales douteuse ne dispense pas de la necessite d'avoir un argumentaire qui tient debout, enfin, en tout cas, autre chose que "pb pg dit du FUD passqu'il travaille pour Micro$oft".

                                                    En l'occurence, cette enfilade est juste un flame contre pbpg, surement parce qu'il a les couilles de retablir les conneries qui peuvent se dire contre microsoft ici.
                                                    Quel est l'interet?

                                                    kra, qui en a marre de lire des branleurs d'etudiant se gargariser avec des mots appris la veille sur trou du cul's hideout..
                                                    • [^] # Re: Déplorable...

                                                      Posté par . Évalué à 1.

                                                      > donc que vient faire cette fedora core dans l'histoire?

                                                      Je n'ai pas Windows et ma bolle de cristal a refusé de donner des chiffres pour Windows.

                                                      > Ce que tu dis est donc un raccourci intellectuel volontaire, donc du FUD digne des tracts du fn

                                                      Exactement. Et relis le thread car c'est le but.
                                                      Prendre le raisonnement de pB pG et l'appliquer aussi pour Windows. Si c'est pour faire du FUD sur Linux alors c'est un bon raisonnement. Mais si ce même raisonnement est utilisé pour Windows alors c'est du FUD.

                                                      Tu m'expliques l'astuce ?

                                                      > J'veux dire, le coup de dire que les failles ne sont pas exploitees est d'une arrogance et d'une suffisance sans nom.

                                                      Faut arrêter de FUDER !
                                                      Personne n'a dit "les failles ne sont pas exploités". Mais cette faille (et jusqu'à preuve du contraire) n'a pas été exploité.
                                                      Si tu n'est pas d'accord avec ça alors tu dois accepter mon dernier petit FUD.

                                                      > Le fait que microsoft soit en position dominante et ait des pratiques commerciales douteuse ne dispense pas de la necessite d'avoir un argumentaire qui tient debout

                                                      C'est aussi valable pour pB pG.

                                                      > enfin, en tout cas, autre chose que "pb pg dit du FUD passqu'il travaille pour Micro$oft".

                                                      Il y a plein de personne ici qui travail sous Windows, qui aime Windows, qui n'ont installé Linux qu'une foi et pour une journée, qui sont peut-être aussi employé cher MS.

                                                      > En l'occurence, cette enfilade est juste un flame contre pbpg, surement parce qu'il a les couilles de retablir les conneries qui peuvent se dire contre microsoft ici.

                                                      C'est joli ça. pB pG est souvent en désaccord avec la FSF, Samba, ne veut pas reconnaitre les conclusions des procès UE/MS, etc.

                                                      > Quel est l'interet?

                                                      Rétablir la vérité. Si t'écoute pB pG, MS est un doux moutons.
                                                      • [^] # Re: Déplorable...

                                                        Posté par . Évalué à 1.

                                                        Faut arrêter de FUDER !
                                                        Personne n'a dit "les failles ne sont pas exploités". Mais cette faille (et jusqu'à preuve du contraire) n'a pas été exploité.
                                                        Si tu n'est pas d'accord avec ça alors tu dois accepter mon dernier petit FUD.


                                                        plus haut dans le thread, je lis dans un de tes posts :
                                                        Je recommence parce que t'es dur de la feuille.
                                                        Je dis : "la faille n'a pas été exploité".
                                                        Car la majorité des failles ne sont pas exploités. Donc, jusqu'à preuve du contraire, "la faille n'a pas été exploité" est plus vrai que "la faille a été exploité".


                                                        rien a ajouter de plus sur.
                                                        ah, si, le numero de ton dealer m'interesse de plus en plus.
                                                        • [^] # Re: Déplorable...

                                                          Posté par . Évalué à -1.

                                                          J'avais un doute mais maintenant il n'est plus permis.
                                                          pB pG est de mauvaise fois mais il est intelligent. Mais toi c'est sûr t'es tout simplement con.

                                                          "kra", c'est un pseudo que je dois me mettre dans la tête.
                                                          • [^] # Re: Déplorable...

                                                            Posté par . Évalué à 0.

                                                            he ouais, qu'esse tu veux, chui con, mais qu'est ce que j'aime ca...
                                      • [^] # Re: Déplorable...

                                        Posté par . Évalué à 2.

                                        Tu as raison, il ne faut jamais dire jamais :-)

                                        Je recommence parce que t'es dur de la feuille.
                                        Ca se voit tant que ca ?

                                        Je dis : "la faille n'a pas été exploité".
                                        On va se mettre d'accord :)
                                        Exploitee comment? Par qui ? Et pourquoi ?
                                        Je vais faire un tour de passe-passe intellectuel. On se limite a l'hypotetique exploitation de la faille avant la publication. Nous, en tant que communs des mortels, ne pouvons rien y faire. Une faille qui a ete introduite depuis deja quelques mois (voire annees) a plus de chance d'etre exploitee avant le disclosure que celle introduite dans une release sortie deux jours auparavent.

                                        Car la majorité des failles ne sont pas exploités. Donc, jusqu'à preuve du contraire, "la faille n'a pas été exploité" est plus vrai que "la faille a été exploité".
                                        Je ne m'avancerai pas la dessus. Je n'ai pas le pouvoir de savoir ca. Si tu te dis qu'une faille de tel ou tel type n'a pas ete exploite avant, tu en as la certitude pour tes serveurs a toi. Generalement les boites ne crient pas sur les toits que leurs serveurs ont ete victimes d'un hack. Donc tu ne peux pas savoir, si c'est pas une boite qui a eu un pb de secu et a paye une boite de consultant qui a determine la faille, a code un fix et a publie la vulnerabilite.


                                        Dire "la faille a peut-être été exploité" est certe vrai aussi mais relève du FUD.
                                        Ah oui ? Je suis admin, j'ai des machines sous linux, je participe a un proj ou ma fonction est d'etre sensible a ca. Pour moi, c'est de la conscience pro. Si j'utilises un kernel x.x.x et que je lis "augmentation des privileges", je ne fais pas que mettre a jour/fix, je regarde si ca n'as pas etait utilise contre/sur une de mes machines. Pour le moment, j'ai eu un seul probleme. C'est peu compare aux centaines de vulnerabilites annuelles, mais ca me concerne, le "au cas ou" est de rigueur. J'ai des data et des services qui sont plus ou moins sensibles, ma responsabilite est aussi d'etre sur que seul les ayant droits y ont acces.
                          • [^] # Re: Déplorable...

                            Posté par . Évalué à 1.

                            T'y vois pas une contradiction ? Il faut que MS change pour que pBpG soit objectif...


                            Je ne vois pas de contradiction , pBpG ne changera pas de personnalité si sa boite change de politique.*

                            Je ne suis pas passé de jovial et honnette à raleur et hypocrite quand Macdonald's a commencé à se dire que ca serait sympa d'arretter de boucher les arteres de ses clients ...

                            J'ai des opinions sur ma boite , je la défends quand ca me parait necessaire , mais je ne voit pas pourquoi je changerai d'attitude quand elle change de politique...
                            (Mis à part raler parcequ' arretter le chicken pemiere c'est du n'imp nawak )

                            Les employés d'IBM ne sont pas passés de démons à anges lorsqu'IBM à opéré sa transformation , que je sache. alors arrette un peu de raler ou de chercher des contradictions la ou il n'y a simplement des propos qui ne te plaisent pas.

                            *( mis à part le fait que c'est Satan incarné en personne bien evidemment , mais ca tu es le seul à l'avoir compris , les autres personnes sur LinuxFR sont trop betes pour lire dans son jeu diabolique et comprendre qu'il nous pervertit tout en ayant le culot de chasser sur notre terrain)
                      • [^] # Re: Déplorable...

                        Posté par . Évalué à 2.

                        Intellectuellement son avantage n'est pas évident.
                        Dans la réalité, son avantage est évident et a largement fait ses preuves.


                        T'as raison c'est flagrant, suffit de jeter un oeil sur Bind, sendmail, wu_ftpd, openssh et autres. On voit tout de suite que ca a porte ses fruits.

                        Mais empiriquement pire, c'est sûr.

                        Oui oui, continue mon petit.
                        • [^] # Re: Déplorable...

                          Posté par . Évalué à -1.

                          > suffit de jeter un oeil sur Bind, sendmail, wu_ftpd, openssh et autres.

                          Il y a moins de problème avec SQL server ou IIS ?

                          Nous fait pas rire.

                          L'OS le plus pourri niveau sécurité est Windows. Le logiciel libre, que tu tentes de critiquer ici frise par ton FUD traditionnel, est la parfection par rapport à Windows pour ce qui concerne le niveau de sécurité.

                          > On voit tout de suite que ca a porte ses fruits.

                          pB pG le représentant de l'OS avec le plus énorme passif en trou de sécurité (et de très très très très très très très très loin) vient nous donner des leçons.

                          Les vulnérabilité CERT pour 2004 :
                          http://lwn.net/Articles/111140/?format=printable(...)
                          Linux : 7
                          Windows : 13

                          Il y a un vulnérabilité mozilla compté dans Linux elle devrait aussi être compté pour Windows :
                          Linux : 7
                          Windows : 14

                          Il y a un rapport de 2. Et reconnaissons que Windows c'est bien amélioré (enfin).
                          Donc tes leçons, tu les tailles en pointe et tu te les ...
                          De plus c'est ignorer le fonctionnement du libre pour se limiter aux faille publiée. Ce n'est pas forcément représentatif de la sécurité fournit mais de la connaissance du système.
                          Windows est déjà passé plusieurs fois au 20 h à cause de problèmes de sécurité.
                          Pas Linux.
                          • [^] # Re: Déplorable...

                            Posté par . Évalué à -1.

                            Il y a moins de problème avec SQL server ou IIS ?

                            Nous fait pas rire.


                            Fais seulement, va comparer les dernieres versions d'IIS et d'Apache.
                            Quand a SQL Server je suis pas specialement sur qu'il a moins de failles que PostgreSQL.

                            Les vulnérabilité CERT pour 2004 :
                            http://lwn.net/Articles/111140/?format=printable(...(...))
                            Linux : 7
                            Windows : 13


                            Et les vulnerabilites non-CERT tu les oublies ?

                            Il y a un vulnérabilité mozilla compté dans Linux elle devrait aussi être compté pour Windows :

                            Ah bon ? Tu m'expliques la logique de ton delire ?

                            De plus c'est ignorer le fonctionnement du libre pour se limiter aux faille publiée. Ce n'est pas forcément représentatif de la sécurité fournit mais de la connaissance du système.

                            Oui oui on la connait l'histoire.

                            Windows est déjà passé plusieurs fois au 20 h à cause de problèmes de sécurité.
                            Pas Linux.


                            Le jour ou Linux sera autre chose qu'une poussiere dans le marche du desktop il passera au 20h ne t'en fais pas.
                            • [^] # Re: Déplorable...

                              Posté par . Évalué à 2.

                              > Le jour ou Linux sera autre chose qu'une poussiere dans le marche du desktop il passera au 20h ne t'en fais pas.

                              T'es d'une mauvais foi incroyable. Dans un de mes journal tu dis que Linux marche bien dans le desktop et pas dans le serveur (le sujet était Unix vs Linux, donc t'as sorti cette argument pourri) et là tu dis que linux est une "poussiere dans le marche du desktop" (ce qui est relativement vrai).
                              Ton envis de dénigrer systématique Linux te fait dire n'importe quoi.

                              De toute manière, t'es tellement adulé ici, que tu vas arriver à faire croire que Windows est plus sûr que Linux. Quand c'est du domaine de l'idolâtrie je ne peux pas et je ne veux pas/plus lutter.
                              • [^] # Re: Déplorable...

                                Posté par . Évalué à 1.

                                T'es d'une mauvais foi incroyable. Dans un de mes journal tu dis que Linux marche bien dans le desktop et pas dans le serveur (le sujet était Unix vs Linux, donc t'as sorti cette argument pourri) et là tu dis que linux est une "poussiere dans le marche du desktop" (ce qui est relativement vrai).
                                Ton envis de dénigrer systématique Linux te fait dire n'importe quoi.


                                Voici le post

                                http://linuxfr.org/comments/511181.html#511181(...)

                                Tout le monde pourra se rendre compte que je comparais les qualites techniques de Linux en desktop face aux OS serveurs type AIX, Solaris, HP-UX, ... et je n'ai nulle part dit que Linux avait une part de marche sur le desktop appreciable.

                                Je te l'avais deja dit avant, mais il semble que tu n'ai pas suivi mon conseil donc je repete, va prendre des cours de francais.

                                De toute manière, t'es tellement adulé ici, que tu vas arriver à faire croire que Windows est plus sûr que Linux. Quand c'est du domaine de l'idolâtrie je ne peux pas et je ne veux pas/plus lutter.

                                Oui oui on sait, quand tout le monde est contre toi c'est que tout le monde delire et tu es le seul a avoir raison.

                                Apres les cours de francais, pense a passer chez le psy aussi.
                                • [^] # Re: Déplorable...

                                  Posté par . Évalué à 0.

                                  > et je n'ai nulle part dit que Linux avait une part de marche sur le desktop appreciable.

                                  Effectivement, tu n'as pas dit ça.
                                  Tu as dit :
                                  - "Niveau fiabilite et features haut de gamme Linux est encore loin derriere, il est devant pour ce qui est du desktop, mais le desktop ca n'a jamais ete le marche de HP-UX, AIX et autres, seul Solaris y etait pour les workstations et ils sont en train de se faire manger vu le prix ignoble de leur workstations, d'ou leur passage a x86 maintenant."

                                  Si tu dis "mais le desktop ca n'a jamais ete le marche de HP-UX, AIX et autres" alors tu dis que le desktop est le marché de Linux. Et si le desktop est le marché de Linux alors ça ne peut pas être une "poussière". Mais le marché actuellement de Linux est le serveur/station de station où il réussi (et n'est pas du tout une poussière) et non le desktop (où il ne réussi pas et est une "poussière").

                                  > Oui oui on sait, quand tout le monde est contre toi c'est que tout le monde delire et tu es le seul a avoir raison.

                                  La majorité n'a pas forcément raison. Actuellement la majorité des Français (70 %) ne veut pas de la Turquie et je pense qu'elle a tord.

                                  Je ne vais pas l'excuser de ne pas être un mouton.

                                  > Je te l'avais deja dit avant, mais il semble que tu n'ai pas suivi mon conseil donc je repete, va prendre des cours de francais.
                                  > Apres les cours de francais, pense a passer chez le psy aussi.

                                  Un commentaire de pasBill pasGates sans insulte est un commentaire de "contraint".
                                  • [^] # Re: Déplorable...

                                    Posté par . Évalué à 2.

                                    Si tu dis "mais le desktop ca n'a jamais ete le marche de HP-UX, AIX et autres" alors tu dis que le desktop est le marché de Linux. Et si le desktop est le marché de Linux alors ça ne peut pas être une "poussière". Mais le marché actuellement de Linux est le serveur/station de station où il réussi (et n'est pas du tout une poussière) et non le desktop (où il ne réussi pas et est une "poussière").

                                    Ah bon ? Tu m'expliques la logique la dedans ?

                                    1) Tu peux viser un marche et ne pas y arriver, cf. BeOS
                                    2) Tu peux viser plus d'un marche, genre serveur+desktop, cf. Windows

                                    Linux a Munich il est sur les desktops aussi non ?
                                    OpenOffice et Mozilla c'est des applications de desktop non ?

                                    Linux(enfin, les distrib linux) vise le marche du desktop et celui des serveurs, ils y arrivent sur le marche serveur, et sont loin d'y arriver sur le marche desktop.

                                    Bref, comme d'hab, a cote de la plaque
                                    • [^] # Re: Déplorable...

                                      Posté par . Évalué à 1.

                                      > inux(enfin, les distrib linux) vise le marche du desktop

                                      Sur l'aspect "marché", il y a Xandros, Mandrake et peut-être un autre que j'ai oublié qui vise le marché desktop. Et mettre mandrake, c'est un peu abuser.

                                      Pour les "gros", Red Hat vise marginalement le desktop. Idem pour SuSE.
                                      Red Hat a une offre "timide" pour le desktop entreprise et depuis mai 2004 !
                                      http://linuxfr.org/2004/05/05/16176.html(...)

                                      Donc tu allucines.
                                      De plus viser un marché, ce n'est pas le marché. Red Hat depuis le début vise le marché serveur et au début ça ne marchait pas vraiment.

                                      > Bref, comme d'hab, a cote de la plaque

                                      Encore une insulte.
                                      Trouve une étude qui donne Linux sur le Desktop de façon significative ou qui indique que Linux vise le desktop aujourd'hui (et pas pour 2008 ou 2020).
                                      Bonne chance.

                                      Tu fais du "révisionnisme".
                                      • [^] # Re: Déplorable...

                                        Posté par . Évalué à 1.

                                        Sur l'aspect "marché", il y a Xandros, Mandrake et peut-être un autre que j'ai oublié qui vise le marché desktop. Et mettre mandrake, c'est un peu abuser.

                                        T'as oublie Linspire, et t'as oublie que c'est Suse qui est sur les desktops a Munich.

                                        Trouve une étude qui donne Linux sur le Desktop de façon significative ou qui indique que Linux vise le desktop aujourd'hui (et pas pour 2008 ou 2020).

                                        Pas besoin d'etude, l'existence de distribs orientees desktop, le fait que Suse se bat pour des marches desktops comme Munich et autres montrent qu'ils visent aussi le desktop.

                                        T'as un probleme pour differencier "arriver a gagner des parts sur le desktop" et "essayer de gagner des parts sur le desktop" on dirait.
                                        • [^] # Re: Déplorable...

                                          Posté par . Évalué à -2.

                                          > t'as oublie que c'est Suse qui est sur les desktops a Munich.

                                          T'as trouvé un succès de Linux dans le desktop.
                                          C'est bien, remue la queue et lève la patte.

                                          > Pas besoin d'etude, l'existence de distribs orientees desktop

                                          On parle de marché !
                                          Xandros+Linspire+Mandrake ça fait maximum 10 % du CA de Red Hat.
                                          Red Hat c'est à 95 % les serveurs (un peut de temps réel et un rien de desktop).
                                          Novell, je suis hyper mega gentil, fait 20 % de desktop et vend autant de linux que Red Hat (je suis hyper gentil aujourd'hui comme tu peux le constater).
                                          Donc le desktop en CA c'est au grand grand grand maximum : 15 %

                                          > T'as un probleme pour differencier "arriver a gagner des parts sur le desktop" et "essayer de gagner des parts sur le desktop" on dirait.

                                          Arrêtes les insultes non fondée. T'as rien démontré. zero, nada, quedale.
                                          Les chiffres d'affaire tu peux les trouver sur le web, je ne vais pas te macher le boulot.

                                          Mode=insulte (car j'y ai droit)
                                          T'es un type qui ment à longueur de journée.
                                          /Mode

                                          T'as une qualité, tu as un art très élaboré du FUD et bravo pour toi, ça marche.
                                          • [^] # Re: Déplorable...

                                            Posté par . Évalué à 2.

                                            On parle de marché !

                                            Non, toi tu parles de marche, en croyant que c'est de cela dont je parlais dans mon post dans ton journal, mais t'as visiblement beaucoup de mal a comprendre le francais.

                                            On va repeter gentiment vu que t'es dur de la feuille :

                                            1) J'ai dit que Linux est une poussiere dans le marche du desktop
                                            2) Dans ton journal j'ai dit que Linux etait loin devant HP-UX, Solaris,... niveau fonctionnalites sur les desktops

                                            Si t'arrives pas a comprendre ca, ben je suis desole pour toi, ca devient grave a ce niveau

                                            T'es un type qui ment à longueur de journée.

                                            Oui oui, je ments, tout le monde se trompe et tu es le seul qui a raison.

                                            N'oublies pas ton valium ce soir
                            • [^] # Re: Déplorable...

                              Posté par . Évalué à 1.

                              Sur la chaine EVC ( l'operateur cable alsacien ) windows est passé tréééés souvent au 20 heures , en pleine apres-midi aussi , et le matin egalement.

                              Enfin , Windows ... plutot un ecran bleu disant que le systeme etait instable et qu'il fallait appuyer sur une touche...
                              J'ai eu beau appuyer sur toutes les touches de la telecommande , la chaine 20 restait desesperement plus bleue et calme qu'un film de Cousteau...

                              (D'un autre coté le Surcouf Strasbourg à egalement trouvé moyen de foutre un KDE planté en démonstration sur un PC tuné facon "jacky à néons bleu , un coté plexy et l'autre coté en double plexy avec de l'eau et des poissons en plastique " )
                • [^] # Re: Déplorable...

                  Posté par . Évalué à -3.

                  > Affirmer que cette faille n'a pas ete exploitee c'est fantaisiste

                  Elle n'a pas été exploité.
                  Si t'as des infos pour dire le contraire, présente les.
                  Sinon tu peux dire qu'il est fantaisiste d'affirmer que des failles encore inconnues n'ont pas été exploité, etc...

                  > si ca se trouve certains hackers la connaissent depuis plus d'un an et l'ont gardee pour eux

                  J'ai peur...
                  Bravo pour le FUD

                  > Bref, personne n'est capable de dire "cette faille n'a pas ete exploitee".

                  Ben je le dis.
                  En même temps, je peux avoir tord.
                  En fait la très grande majorité des failles sous GNU/Linux ne sont jamais exploitées par des crackers ! (comme pour Windows).
                  Donc il y a peu de chance de que me trompe.
                  Mais si je me trompe, donnes l'info au lieu de faire du FUD.

                  Tu peux aussi chipôter et dire que "cette faille n'a pas été exploitée" est incorrecte mais qu'il faut dire "en l'état actuel de des connaissances il est peu probable que cette faille ait été exploitée".


                  J'affirme :
                  - "toutes les failles de sécurité de Windows ont été déjà été exploité à des fins malveillantes" [*]

                  Tu ne peux pas affimer, que cette phrase est faute (Si en plus on ajoute : "si ca se trouve certains hackers...").

                  Donc, tu ne peux pas affirmer (selon ton raisonnement) :
                  - "toutes les failles de sécurité de Windows n'ont pas déjà été exploité a des fins malveillantes."

                  Si je ne peux pas dire "cette faille n'a pas été exploité", voilà la "conséquence" de ton "raisonnement".



                  [*] : C'est de la pure connerie.

                  PS: je suis un fidèle admirateur de ta capacité à manipuler les gens.
                  • [^] # Re: Déplorable...

                    Posté par . Évalué à 2.

                    Elle n'a pas été exploité.
                    Si t'as des infos pour dire le contraire, présente les.


                    J'ai jamais dit qu'elle a ete exploitee, car justement je n'ai rien pour le prouver.
                    De meme, dire qu'elle n'a pas ete exploitee est totalement fantaisiste si tu n'a rien pour le prouver.

                    J'ai peur...
                    Bravo pour le FUD


                    Si ca t'amuse de voir du FUD partout tant mieux pour toi, chacun ses plaisirs.

                    Ben je le dis.
                    En même temps, je peux avoir tord.


                    C'est bien, tu reconnais que tu n'as aucun argument justifiant ton affirmation.

                    En fait la très grande majorité des failles sous GNU/Linux ne sont jamais exploitées par des crackers ! (comme pour Windows).
                    Donc il y a peu de chance de que me trompe.


                    Et tu en sais quoi ? Jamais exploitee comme virus par des script kiddies qui les envoient sur 3 millions de machines surement car ca se saurait, exploitees par 10 hackers qui connaissaient la faille depuis 6 mois personne n'en sait rien, que ce soit sur Windows ou Linux.

                    J'affirme :
                    - "toutes les failles de sécurité de Windows ont été déjà été exploité à des fins malveillantes" [*]

                    Tu ne peux pas affimer, que cette phrase est faute (Si en plus on ajoute : "si ca se trouve certains hackers...").


                    Non, de meme que tu ne peux pas affirmer qu'elle est vraie d'ailleurs.

                    Si je ne peux pas dire "cette faille n'a pas été exploité", voilà la "conséquence" de ton "raisonnement".

                    Exactement, et mon raisonnement est tout a fait correct.

                    PS: je suis un fidèle admirateur de ta capacité à manipuler les gens.

                    Je suis un fidele admirateur de tes delires paranoiaques, tes posts me donnent le sourire aux levres chaque fois que je les lis.
        • [^] # Re: Déplorable...

          Posté par (page perso) . Évalué à 4.

          Tu en sais quoi qu'elle n'a pas ete exploitee ?

          Tu en sais quoi qu'elle a ete exploitee ?

          Il y aura TOUJOURS des failles, dans n'importe quel logiciel, quelque soit l'OS. La question est plutôt: "quand est ce qu'un patch arrive ?". Après, c'est à l'utilisateur/administrateur de faire son boulot: mettre à jour sa/les machine(s), et ceci quelque soit l'OS.
          • [^] # Re: Déplorable...

            Posté par . Évalué à 2.

            Tu en sais quoi qu'elle a ete exploitee ?

            J'en sais rien justement, raison pour laquelle je n'affirme pas que c'est le cas. De meme, il est impossible d'affirmer que cela n'a pas ete exploite.
      • [^] # Re: Déplorable...

        Posté par (page perso) . Évalué à 4.

        Je trouve la logique de diffusion des failles de Mozilla plus saine :

        - Titi trouve une faille
        - il contacte Mozilla.org ou ouvre un bug
        - un bug "secret" est créé, connu uniquement des développeurs internes au projet
        - un patch est appliqué et la correction est diffusé dans une nouvelle version
        - une fois cette nouvelle version déployée, l'exploit est communiqué


        Dans le cas présent de K-OTik Security, ils auraient par exemple pu en parler directement aux mainteneurs de igmp et scm_send() quelques jours avant la diffusion publique de l'exploit.

        Pour comparer, c'est ce qui est fait parfois avec des bugs majeurs sous Windaube où le bug est signalé à Microchiotte, et après un mois, bug corrigé ou non, l'exploit est diffusé.
        • [^] # Re: Déplorable...

          Posté par (page perso) . Évalué à 7.

          J'avoue que la logique de Mozilla semble probante comme gestion des bugs critiques, maintenant la franchise et l'ouverture d'esprit concernant la gestion des failles critiques du noyau Linux me convient, mais ceci n'est que *ma* vision des choses.

          Maintenant, K-OTik n'est pas ici réellement en cause ;-) En suivant un peu buqtraq, cette faille à été posté sur la liste le 14/12 par isec.pl:
          http://isec.pl/vulnerabilities/isec-0018-igmp.txt(...)

          Bonne journée.
        • [^] # Re: Déplorable...

          Posté par . Évalué à 2.

          > - un bug "secret" est créé, connu uniquement des développeurs internes au projet

          Secret ou pas, ceci doit être à la discrétion des acteurs.
          Par contre, je suis totalement opposé qu'on "impose" le secret. Ou alors de façon très très raisonnable (par exemple pour une durée maximum d'un mois).
        • [^] # Re: Déplorable...

          Posté par . Évalué à 4.

          je ne suis pas forcément d'accord. Dans le cas de beaucoup d'applications, une faille peut-être exploitée selon une configuration précise. Par exemple, plublication d'une faille et de son exploit sur un serveur de mail permet souvent aux administrateurs de modifier sa configuration le temps que la correction soit diffusée et que le serveur soit patché.

          ça permet souvent de continuer à travailler - parfois dans un relatif inconfort et les utilisateurs saturent ta hotline - plutôt que de devoir tout couper après s'être rendu compte d'une intrusion dans son système, parce qu'en cas d'intrusion, y'a pas de miracle, la seule chose à faire, c'est souvent de tout arrêter, puis d'analyser. Et la, les utilisateurs te trucident s'ils ne peuvent plus bosser.
        • [^] # Re: Déplorable...

          Posté par (page perso) . Évalué à 5.

          1. c'est faux, la plupart des failles de sécu sur moz n'intéressent même pas les personnes sensées pourtant effectuer la liaison entre les devs de moz et les "security researchers". essaie de reporter un bug, même en donnant un exploit, tu verras leur réaction: ça ne les concernent pas.

          2. K-otik n'y est vraiment pour rien comme dit le post au-dessus, c'est paul starzetz d'iSec qui l'a publié. il a toujours à ma connaissance prévenu les devs du kernel en leur laissant des délais raisonnables.

          3. pour répondre à la série de commentaires qui disent qu'un exploit n'est pas encore connu et que pB pG FUD, c'est n'importe quoi. quand une faille exploitable est publiée, elle doit être supposée exploitée. historiquement beaucoup d'exploits ont circulé bien avant la publication de la faille associée (genre les failles mpg123, tellement d'autres exemples, ou la plupart des failles MacOSX que personne ne se donne la peine de publier).
          • [^] # Re: Déplorable...

            Posté par . Évalué à 0.

            > quand une faille exploitable est publiée, elle doit être supposée exploitée.

            Je me fais mentir quelque part, mais je suis absolument d'accord avec ça.
            Il faut la supposée exploitée. Qu'elle soit réellement exploité ou non, ne doit pas être prit en compte dans la politique de sécurité.
            • [^] # Re: Déplorable...

              Posté par . Évalué à 2.

              Je me fais mentir quelque part, mais je suis absolument d'accord avec ça.
              Il faut la supposée exploitée. Qu'elle soit réellement exploité ou non, ne doit pas être prit en compte dans la politique de sécurité.


              attends, tu t'es enfile sur je sais pas combien de post plus haut avec ton pote pbpg a ce sujet, pretendant exactement le contraire, et la tu viens dire ca?

              he, dis moi, tu prends quoi comme drogue?
              passque ca m'interesse la, un truc aussi puissant, je veux essayer..
              • [^] # Re: Déplorable...

                Posté par . Évalué à 2.

                Tu fais contrôler ta voiture car tu considère qu'elle peut avoir un problème et pas forcément car elle a un problème.
                De même tu mets à jour ta bécane pour corriger une faille car tu considères qu'elle peut-être exploité et pas forcément car elle a été exploité. Si tu attends qu'elle soit exploité il y a de forte chance que tu n'appliques pas 90 % des corrections de faille.
                L'art de la sécurité, c'est de faire une action qui corrige/inhibe une faille avant qu'elle soit exploité et pas après. L'art de la sécurité sous Linux et le LL est au antipode des anti-virus qui sont nécessaire sous Windows. Un anti-virus est mis à jours après l'exploitation d'une faille. C'est une grosse connerie qu'a permis Windows et heureusement Linux n'a pas d'anti-virus (sauf pour traiter les virus de Windows).

                > he, dis moi, tu prends quoi comme drogue?

                Un peu de tout et j'aime ça.

                > passque ca m'interesse la, un truc aussi puissant, je veux essayer..

                T'as besoin de rien pour être très con.
        • [^] # Re: Déplorable...

          Posté par (page perso) . Évalué à 2.

          Pour comparer, c'est ce qui est fait parfois avec des bugs majeurs sous Windaube où le bug est signalé à Microchiotte, et après un mois, bug corrigé ou non, l'exploit est diffusé.

          Ça m'énerve quand je vois cette façon de traiter certaines entreprises !

          Quel est l'interêt d'être insultant contre cette boite, si ce n'est fortement déprécié le reste du message ?

          Un peu de respect ne fait jamais de mal...
    • [^] # Re: Déplorable...

      Posté par (page perso) . Évalué à 2.

      C'est une remarque intéressante, bien que résolument négative. Il ne faut pas oublier que ce site est aussi, et peut-être avant tout, un site de communication pour les développeurs codeurs/hackeurs de Linux et de ses différents environnements (GNU entre autres...). Comme le disait un précédent logo : developers explicit content (je ne suis pas sûr du terme exact, qu'Ayo me pardonne). Bref, on ne peut pas se contenter de donner des infos du type : une nouvelle peluche Tux est sortie...

      Après, peux-être que les infos devraient être données d'une autre manière, c'est un autre débat, mais ce n'est pas un site de todo-list, et encore une fois un site d'information essentiellement axé sur Linux. On ne peut pas reprocher à un site d'information de donner une information. Ensuite, il y a un lien vers le site de Kernel Archives, qui permet d'avoir plus de détails, même s'il nécessite de savoir parler Anglais.
    • [^] # Re: Déplorable...

      Posté par . Évalué à 1.

      C'est un logiciel libre ! dépèche toi de corriger et de soumettre le patch !
    • [^] # Re: Déplorable...

      Posté par (page perso) . Évalué à 1.

      Tu préfère la stratégie du monde propriétaire:
      quand on trouve une faille on ne dit rien et on attends 6 mois avant de la corriger.
      = politique de l'autruche.

      Dans le LL dès qu'une faille est trouvé on le dit, on publie un correctif le plus vite possible et on incite tout le monde a faire la mise à jour.
  • # Correctif

    Posté par . Évalué à 2.

    Il y a un patch chez ubuntu :
    http://lwn.net/Alerts/115582/(...)
    Il va y avoir une déferlante d'update dans les 2 jours à venir...
    • [^] # Re: Correctif

      Posté par . Évalué à 2.

    • [^] # Re: Correctif

      Posté par (page perso) . Évalué à 6.

      Effectivement Ubuntu est à jour :

      ogrisel@groyours:~ $ sudo apt-get dist-upgrade
      Lecture des listes de paquets... Fait
      Construction de l'arbre des dépendances... Fait
      Calcul de la mise à jour... Fait
      Les NOUVEAUX paquets suivants seront installés :
      linux-image-2.6.8.1-4-386 linux-restricted-modules-2.6.8.1-4-386
      Les paquets suivants seront mis à jour :
      linux-386 linux-image-2.6-386 linux-image-386
      linux-restricted-modules-2.6-386 linux-restricted-modules-386

      Mais visiblement ca ne corrige que la première faille (IGMP) :

      linux-source-2.6.8.1 (2.6.8.1-16.3) warty-security; urgency=high

      * Fixed IGMP bugs (Chris Wright, CAN-2004-1137):
      . net/ipv4/igmp.c
      . net/ipv6/mcast.c

      -- Herbert Xu <herbert@gondor.apana.org.au> Tue, 14 Dec 2004 22:23:42 +1100
  • # Qualité en baisse

    Posté par . Évalué à -5.

    J'ai une fois de plus l'impression que la qualité du noyeau baisse. Ils sont fait avec moins d'attention, y'a qu'a voir le nombre de version 2.4 qui a depasse celui 2.2. La releases d'un 2.6.8.1. Les problemes de securite qui n'impacte que les versions 2.4 et 2.6.
    Je suis un peu raleur, mais si ces problémes continues, Linux risque d'avoirdu mal a s'implanter.
    • [^] # Re: Qualité en baisse

      Posté par . Évalué à 2.

      Il faut aussi voir que le noyeau Linux prend de plus en plus d'importance et que de ce fait les failles sont elles aussi plus nombreuses...Mais heureusement la communauté est là et les failles sont très vite corrigées ;)
      • [^] # Re: Qualité en baisse

        Posté par . Évalué à 5.

        Ce sont deux failles exploitables "par un utilisateur local". Ca veux bien dire qu'il faut être sur le poste pour les utiliser ? C'est donc quand même pas les 5 patchs de Windows XP de ce mois ci dont 4 sont exploitables à distance ?!
        Euh... Si "utilisateur local" est dans le sens "utiliser à distance l'ordinateur avec un compte local", on oubli ma remarque... ;-)
        • [^] # Re: Qualité en baisse

          Posté par . Évalué à 2.

          Oups... la première faille indique aussi "ou par un attaquant distant".
          Ca m'apprendra à pas lire attentivement. Désolé pour le bruit ! ;-)
        • [^] # Re: Qualité en baisse

          Posté par . Évalué à 1.

          Ca veux bien dire qu'il faut être sur le poste pour les utiliser ? C'est donc quand même pas les 5 patchs de Windows XP de ce mois ci dont 4 sont exploitables à distance ?!

          Tu compares un OS entier avec un kernel la...
          • [^] # Re: Qualité en baisse

            Posté par . Évalué à 10.

            Oui, parce que sur un serveur Windows, il est impossible de ne pas installer IE et bien d'autres "inutilités", donc beaucoup de failles sont exploitables même avec un "système minimum". Informatiquement parlant, c'est effectivement pas la même chose, mais dans les faits 2 installations Windows et Linux avec des fonctionnalités serveur strictement identiques ne sont pas vraiment logées à la même enseigne...
            C'était une comparaison volontaire, et je sais aussi que GNU n'est pas Linux ;-)
            • [^] # Re: Qualité en baisse

              Posté par . Évalué à 2.

              Ca n'a rien a voir du tout, t'en connais beaucoup des gens qui ont simplement le kernel et rien d'autre comme package ?

              Moi j'en connais 0.

              Si tu jettais un oeil sur les 5 failles dans XP, t'aurais vu que certaines d'entre elles n'affectent ni XP ni WS03, d'autres ne les affectent pas par defaut non plus(genre hyperterminal n'est pas installe par defaut dans WS03, le composant de Wordpad est bloque par IE par defaut dans WS03,...), ...

              Tu compares des pommes et des oranges.
              • [^] # Re: Qualité en baisse

                Posté par . Évalué à -2.

                La c' est le contraire, PbPg argumente , ce ne sont pas des failles "commune", c' est clair. Le niveau d' exploitation des failles monte .

                Bon allez pour relancer le troll on va dire combiens de machines sont corrigées...... Mais c' est vraiment pour relancer le troll....

                Pour reprendre ce que j' ai dit plus haut : ne dit pas que c' est exploité ( hein pbpg ?) , je ne dirais pas que ms est responsable pour TOUS ses utilisateurs ......

                a moins que ce soit un troll.....
              • [^] # Re: Qualité en baisse

                Posté par . Évalué à 5.

                Tu compares des pommes et des oranges.

                Il n'y a pas de mal à ça : je préfère l'orange en jus et la pomme en tartatin
                :-p
              • [^] # Re: Qualité en baisse

                Posté par . Évalué à 6.

                > t'en connais beaucoup des gens qui ont simplement le kernel et rien d'autre comme package ?

                En même temps, t'en connais beaucoup des passerelles de messagerie ou des serveurs de calcul qui ont besoin d'un navigateur web ou même d'une interface graphique ?

                Le problème c'est qu'en mettant IE dans le système de base, on fait une vraie salade de fruit. C'est effectivement dur ensuite de comparer avec des pommes ou des oranges. ;)
                • [^] # Re: Qualité en baisse

                  Posté par . Évalué à 7.

                  Paragraphe 222 du témoignage de Bill Gates lors du procès pour « enlever Internet Explorer de Windows ».
                  http://www.microsoft.com/presspass/legal/billgates/billgates.asp(...)

                  « For example, the component needed just to run a particular sound card depends upon a great many other components of Windows, in some cases including all of the components involved in providing Web browsing functionality. Certain of these interdependencies may seem counterintuitive, but they reflect basic engineering efficiencies, and they make it extremely difficult to create a version of Windows from which various components could be removed without degrading the rest of the operating system. »

                  En clair : sous Windows, c'est IE qui gère les cartes sons et c'est normal parce que c'est un principe basique d'efficacité du génie logiciel...
          • [^] # Re: Qualité en baisse

            Posté par (page perso) . Évalué à 1.

            Si on veut que la comparaison entre Linux et Windows soit plus exacte, on peut dire que c'est une comparaison entre un OS entier (Windows) et un kernel + tout les drivers (Linux).

            Un driver peut très bien être utilisé pour exploiter une faille de sécurité, et je doute que tout les developeurs de drivers du monde entier passenr leur temps à auditer leurs codes, à la recherche de faille de sécurité...
            • [^] # Re: Qualité en baisse

              Posté par . Évalué à 4.

              Coverity s'est amusé à répertorier les bugs dans un système Linux. Total : 985 identifiés. Ils ont ensuite été classés par type, puis par risque. Dommage que Coverity n'aie pas révélé leurs résultats pour d'autres OS.

              http://linuxbugs.coverity.com/linuxbugs.htm(...)

              Par comparaison avec d'autres produits testés, ils annoncent que le nombre de bugs par ligne de code est très bas. Remarquez que, comme le suggère Olivier plus haut, les drivers sont à l'origine de plus de la moitié des bugs.

              Ceci dit, l'auditeur de code de Coverity est peut-être buggué aussi...

              M
    • [^] # Re: Qualité en baisse

      Posté par . Évalué à 3.

      > Les problemes de securite qui n'impacte que les versions 2.4 et 2.6.

      Utilises Linux 2.2

      > mais si ces problémes continues

      Et ils continurons car Linux évolue et qu'il y a encore beaucoup beaucoup de travail à faire ! Mets toi ça définitivement dans la tête.

      > Linux risque d'avoirdu mal a s'implanter.

      Tant que Linux corrige vite les bugs, qu'il n'y a pas d'exploitation des bugs (comme on en trouvent/trouvaient sous Windows) il n'y a aucun problème.

      Masquer les failles de sécurité pour donner "l'impression" qu'il n'y a pas de problème serait une très grave erreur.

      Personnellement, en terme de qualité, je trouve Linux 2.6 bien meilleur que Linux 2.4. Et sur dans les autres domaines aussi.

      Je n'ai pas envis d'un OS type openBSD qui évolue tout doucement et est à 100 lieux de ce qu'on peut faire actuellement avec un OS "moderne".
      Si ça passe par mettre à jours mon noyau tous les mois, j'y vois aucun inconvénient.
      • [^] # Re: Qualité en baisse

        Posté par . Évalué à 7.

        e n'ai pas envis d'un OS type openBSD qui évolue tout doucement et est à 100 lieux de ce qu'on peut faire actuellement avec un OS "moderne".

        Un gros troll kipu se cache là dedans :)
        OpenBSD n'a pas les même objectifs que linux et peut se targuer d'une et une seule faille exploitable à distance dans une config par défaut en 8 ans! (openssh il me semble).
        De plus, il ne pense pas qu'OpenBSD soit vraiment à la bourre niveau firewalling (pf, un exemple a suivre niveau simplicité de configuration), ni à un quelconque niveau de sécurité d'ailleur (cryptage dans tout les sens ...)

        Alors dire qu'OpenBSD n'est pas un "OS moderne" est un peu abusé amha.
      • [^] # Re: Qualité en baisse

        Posté par (page perso) . Évalué à 3.

        > Utilises Linux 2.2

        C'est vrai que ca fait un moment que ma woody en 2.2 qui me sert de routeur qui fait du bruit dans le placard n'a pas eu de mise a jour kernel :)
      • [^] # Re: Qualité en baisse

        Posté par (page perso) . Évalué à 2.

        Je n'ai pas envis d'un OS type openBSD qui évolue tout doucement et est à 100 lieux de ce qu'on peut faire actuellement avec un OS "moderne".

        OH, le gros troll kipue ;-)

        OpenBSD n'est pas un "OS qui évolue tout doucement" : certes certaines fonctionnalités mettent du temps à être supportées (par exemple le SMP i386 seulement en 3.6) mais d'autres sont beaucoup plus mûres que celle existantes sous Linux (PF est bien plus utilisable que Netfiltter IMHO; OpenBGPD, OpenNTPD...).

        L'objectif d'OpenBSD n'est pas le même : sécurité avant tout et cet OS a l'avantage de proposer quelques fonctionnalités de sécurité en standard (ProPolice, systrace, protection W^X, StackGuard...) qui ne sont que des patchs noyax épars sur Linux (GRSec, exec-shield...).

        Chacun son choix suivant ses besoins : perso OpenBSD pour mes FW et serveurs courants (HTTP, mail...), desktop et laptop sous Linux 2.6
    • [^] # Re: Qualité en baisse

      Posté par . Évalué à 2.

      Le 2.4 a toujours été connu pour sa qualité inférieure au 2.2 . Il y a quelques années cela m'inquiétait de voir une baisse de de l'intérêt pour la correction de ces bugs (ou leur découverte) avec la venue du 2.4.

      Depuis la sortie du 2.6 les correctifs (et les audits) se succèdent .

      ++ la nouvelle politique des drivers : pas de hack dans le noyau pour supporter les drivers propriétaires, s'est suivit d'une arrivée massive de mainteneurs pour ceux-ci
      le framebuffer est passé d'uncontributeur régulier à 3, On a vu des développements important sur la gestion de l'énergie (supend 1 et 2 puis leur fusion, cpufreq) intégré dans le noyau

      Un dernier point de vue personnel sur la question du : il faut tout le temps patcher car les failles sont publiées sur les sites officiels ... le monde du piratage n'est pas sur les sites officiels .
      Si les crackers attendaient l'annonce d'une faille et son fix quelques heures après ...

      Même si je ne patch dans les minutes après l'annonce, ces avertissements instantanés permettent de réduire l'écart avec les crackers. Attendre encore quelques jours avant l'annonce officielle du fix réduit il le risque ?
      • [^] # Re: Qualité en baisse

        Posté par (page perso) . Évalué à 10.

        «Si les crackers attendaient l'annonce d'une faille et son fix quelques heures après ...»

        Tu parles ici de vrai crackers capables de coder un exploit. La majorité des attaques proviennent de scriptkiddies qui attendent justement la publication de la faille et de l'exploit pour chasser les serveurs non patchés.

        Le risque est permanent, mais la course contre la montre c'est surtout avec les scriptkiddies qu'on la fait, pas avec les vrai crackers. Eux auront toujours une longueur d'avance car ils ne font que ça alors que toi, pauvre admin, tu dois supporter les demandes, les utilisateurs, les problèmes matériels, etc....
        • [^] # Re: Qualité en baisse

          Posté par . Évalué à -2.

          on va dire que contre les crackeurs ms PEUT avoir un avantage (c' est au conditionnel PBPG), maintenant ça reste largement à démontrer . Que je sache le code de win 2000 circule non ?

          Ne me parlez pas trop de sécu sur le net avant d' avoir des exemples SIIGNIFICATIFS dans un sens ou dans l' autre.
        • [^] # Disclosure

          Posté par . Évalué à 4.

          C'est pas tout à fait exact. Beaucoup de script kiddies, et pas forcément les plus doués, ont leurs réseaux, et s'échange des exploits pour des failles qui ne sont pas encore publiées (0-day).
          Les gens qui cherchent et découvrent des vulnérabilités ne sont d'ailleurs pas tous enclins à poster leurs résultats sur des listes publiques, ou même à prévenir les développeurs. Mais un exploit finit toujours par se diffuser, à plus ou moins grande échelle, avant que la vulnérabilité ne soit officiellement publiée.
  • # Faille de secu en 2nd page ....

    Posté par . Évalué à 3.

    Ne serait-il pas plus logique de faire passer les annonces de failles de securite en 1ere page plutot qu'en 2nd ?

    Mais bon, c'est juste une remarque comme ca ... :]
    • [^] # Re: Faille de secu en 2nd page ....

      Posté par . Évalué à -1.

      T'es fou ? As-tu pensé aux pressed dissaïdor qui n'ont pas le temps de se préoccupper de toutes ces conneries de seconde page ? Il faut une annonce clair. Le LL, c'est comme pour la politique de Raffarin : IL FAUT DE LA COMMUNICATION ! Le root est proie et la faille est proche !
  • # On voit mieux la poutre dans l'oeil du voisin...

    Posté par (page perso) . Évalué à 10.

    Une chose qui me choque un peu, c'est que la plupart des gens ne se prémunissent même pas contre les "failles locales" aussi basiques que les {fork,malloc,plop,...}bombs. J'ai même l'impression qu'il n'y a pas de limites par défaut sur la plupart des distributions !
    Dans ces conditions, on relativise l'importance d'une faille permetant un dénis de service local.

    Bon, vous me direz : c'est pas qu'un DoS. Effectivement. Mais entre ça, l'usage de su, les logs publiquement accessibles et autres; j'en vient à penser que les failles du noyau sont pas le pire problème du Linuxien, point de vue sécurité.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.