Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

Posté par  . Modéré par Nÿco.
0
2
déc.
2003
Noyau
Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).

Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.

L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).

Pensez à mettre à jour vos noyaux !

NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume. Il faut souligner le travail de l'equipe Debian ainsi que celle de RedHat et de SuSE qui ont permit de déterminer l'exploit utilisé lors de la compromission des serveurs Debian et par la même occasion de rendre publique cette faille (qui n'est pas spécifique au noyau Debian)

Cette faille permettait à un programme de l'espace utilisateur d'accéder à l'espace d'adressage du noyau.
Rappelons que c'était l'élément manquant de l'audit des serveurs compromis. Cette annonce soulage aussi beaucoup de personnes qui attendaient impatiemment la découverte de cet exploit jusqu'alors inconnu.

Pour ce qui concerne les noyaux Debian, la faille a été corigée pour les sources du noyau : version 2.4.18-12 ainsi que pour l'image i386 : version 2.4.18-14 et aussi pour l'image alpha : version 2.4.18-11

Dernière précision : l'annonce ne précise pas si les versions antérieures au 2.4.18 sont vulnérables ou non à cette faille.

Aller plus loin

  • # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

    Posté par  (site web personnel) . Évalué à 10.

    Juste un mot pour dire deux choses (oulà... c contradictoire tout ca, malgré l'existance de jeux de mot... mais là je me barre en couilles ;c) :

    - le bug a été connu et corrigé bien avant l'exploit des serveurs debian, puisque cela date de septembre, juste après la sortie du 2.4.22 (ce qui explique sa vulnérabilité)

    - ce qui s'est passé montre une faiblesse de l'OSS : le bug a été connu, "annoncé" (mais pas crié sur tous les toits) et corrigé... mais juste après la sortie d'une release... donc on a attendu qqs mois et la release suivante pour avoir un noyau patché "par défaut" contre cette faille.

    Donc moi je dis bravo au Libre.... mais zut pour cette foutue faille connue depuis un moment qui n'a pas accéléré la sortie d'un nouveau noyau... pourtant cette faille était suffisament importante à mes yeux pour amployer de "grands" moyens ! L'acces au kernelspace par n'importe quel user dans le userland... ca fait mal au c** qd mm !

    allez bonne nuité
    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

      Posté par  (site web personnel) . Évalué à 7.

      oui oui, je sais... se répondre à soi-même, c pas très poli... mais je regardais le changelog du 2.4.23... et je n'ai rien trouvé en relation avec ce bug :c/

      Je n'ai trouvé que 3 interventions de Morton... donc aucune ne parle de cette faille.

      Andrew Morton:
      o make printk more robust with "null" pointers
      o sis900 skb free fix
      o [netdrvr 3c527] add MODULE_LICENSE tag

      Andrew Morton:
      o inodes_stat.nr_inodes race fix

      Andrew Morton:
      o fix possible busywait in rtc_read()
      o tty oops fix

      Je n'ai trouvé qu'un seul corrictif sur le code de brk... mais pas fait par Morton, fait par marcelo :

      <marcelo:dmt.cyclades>:
      o Fix missing part of Centrino cache detection change
      o Add TASK_SIZE check to do_brk()

      bref... j'ai besoin de lumiere dans ma lanterne :c/
      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

        Posté par  (site web personnel) . Évalué à 8.

        sur barre-point, le lien suivant est apparu dans les commentaires :

        http://linux.bkbits.net:8080/linux-2.4/diffs/mm/mmap.c@1.32?nav=cse(...)
      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

        Posté par  . Évalué à 10.

        Add TASK_SIZE check to do_brk()
        c'est ici ! cela corrige un integer overflow dans brk

        Il est à noter cependant qu'entre 2 release officielles du noyau les distribs proposent normalement des mises à jour intégrant des correctifs pour les failles venant d'être trouvées ! (sauf cette fois apparemment)
        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

          Posté par  . Évalué à -6.

          Quelqu'un a t'il un lien vers un patch pour le 2.4.22 et autres?
          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

            Posté par  (site web personnel) . Évalué à 3.

            Juste au dessus, regarde le lien donné par Vivi. Oui, ya que 2 lignes :)
          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

            Posté par  . Évalué à 1.

            Et bien, il est certain qu'il faut remercier et féliciter les équipes qui ont trouvé l'origine du problème... il est pourtant navrant d'identifier un problème qui était déjà connu depuis plusieurs semaines. On comprend qu'il est difficile de mettre à jour des serveurs dans la mesure où ils sont sollicités en permanence par le monde entier (apt-get dist-upgrade, mon amour ! ). Peut-être s'agit-il d'un manque de temps de l'équipe Debian ou d'un manque en personnel pour ce genre d'opération (faites un don !). Puisque ce n'est pas un problème spécifique à Debian, il va falloir que tout le monde y passe... J'imagine déjà M$ argumentant sur la vulnérabilité des serveurs linux, c'est le genre d'erreur qui tombe au mauvais moment. Il faut avouer que cette faille requiert à priori un sacré niveau pour l'exploiter... Pour conclure, la morale de l'histoire me direz vous ? On a tout de même un système gratuit, lequel on suppose être démuni de service après vente réel, ainsi le laisse sous-entendre les refourgueurs d' OS sur-bogués, et bien voilà quand même l'erreur corrigée par les mainteneurs du libre. Alors ce qui m'amuse en définitive, si une grosse société à plusieurs milliards de dollars ne corrige pas ses serveurs et se laisse envahir par un ver (conf. blaster.worm), comment pourrait-elle se prétendre meilleure ?
            • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

              Posté par  . Évalué à -1.

              Alors ce qui m'amuse en définitive, si une grosse société à plusieurs milliards de dollars ne corrige pas ses serveurs et se laisse envahir par un ver (conf. blaster.worm), comment pourrait-elle se prétendre meilleure ?

              Ben au hasard, le fait que les patchs pour Code Red, Nimda, Slammer, Blaster,... etaient dispo avant que le ver apparaisse.
              En passant, Blaster n'a rien fait du tout chez nous, le departement IT forcait les patchs sur les machines, et menacait de bloquer les ports des machines non patchees.
              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                Posté par  (site web personnel) . Évalué à -7.

                Alors pourquoi le patch n'était-il pas disponible pour tout le monde ?
                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                  Posté par  . Évalué à 0.

                  Il etait disponible pour tout le monde
                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                    Posté par  (site web personnel) . Évalué à 4.

                    Mais les gens sont habitués à "ne rien changer tant que ça marche" ...
                    Avec windows ils n'ont pas tout à fait tort ... un des derniers patch de Exchange (juin ?) fermait un trou de sécurité mais désactivait l'antirelayage. C'est ce qui a fait craquer mon dernier admin a vouloir utiliser exchange.
                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                      Posté par  . Évalué à -2.

                      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                        Posté par  (site web personnel) . Évalué à 2.

                        que 4 exemples :))
                        je vais faire quelques journeaux sur les absurdites de windows quand j'aurai le temps, ca ferra rire quelques personnes.

                        Maintenant mes admins font des "apt-get upgrade" sans risquer le malaise cardiaque alors qu'avec WindowsUpdate il fallait les menacer pour qui le fasse.
                        Mais c'est vrais que les mises a jour sun, hp-ux, aix, true64 donnent également des sueurs froides.

                        On peut notter ici la transparence de debian qui n'aurra aucun impact commercial ! et ne pourra que renforcer la confiance en debian
                        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                          Posté par  . Évalué à -3.

                          Fais seulement.

                          4 exemples sur le *kernel*

                          Maintenant tu rajoutes tous les autres composants de l'OS, on rigolera bien.
                          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                            Posté par  (site web personnel) . Évalué à 1.

                            Composants de l'OS ? Il faudrait en délimiter le périmètre... (on laisse les anti-trusters s'en charger ? ;-)

                            ...mais c'est sûr que Windows offre très peu d'outils et de logiciels... tout tient sur un seul CD... ce n'est pas le cas des distros Linux/BSD qui offrent aussi des alternatives à (quasiment) tous les softs qu'ils proposent... combien ? 3 à 7 CD ? ou un DVD ? (c'est vrai qu'il n'y a pas encore de distro à 2 DVD... ;-)
                      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                        Posté par  (site web personnel) . Évalué à -1.

                        Tu es quand même d'une sacré mauvaise fois.

                        Comment comparer le bug qui permet de lire un peu plus en mémoire pour certaine carte ethernet (donc fuites d'informations possible), des pb de drivers et toutes les remotes exploit de windows ? Les seuls bug important de linux sont les bugs ptrace et celui là de brk qui sont uniquement local. En combien de temps 2 ans ?

                        "La première sécurité est la liberté"

                        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                          Posté par  . Évalué à -3.

                          Arf, et si tu apprenais a lire plutot que me traiter de mauvaise foi ?
                          Je dis de lire la partie *Update* du lien, c'est pas pour rien :

                          "The kernels provided in MDKSA-2003:066-1 (2.4.21-0.24mdk) had a problem where all files created on any filesystem other than XFS, and using any kernel other than kernel-secure, would be created with mode 0666, or world writeable. The 0.24mdk kernels have been removed from the mirrors and users are encouraged to upgrade and remove those kernels from their systems to prevent accidentally booting into them."

                          On parlait des patchs qui foutent le boxon, c'est un exemple typique.
                          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                            Posté par  . Évalué à 9.

                            Franchement, les discussions du style "mon OS il est plus mieux patché que le tiens" ou "y'a moins d'exploit dans les grosse coui**** de mon windows" ... c'est pas que ça saoule, mais un peu quand même.

                            Je reçois des dizaines de rapports de sec, ils concernent solaris, windows XX, linux-kernel-XX, HP-UX, etc.
                            Je peux donc moi aussi par l'exemple, soit citer 250 failles windows, soit citer 250 failles dans gnu/linux (avec les appli, parceque même dos c'est "secure" sans net.exe ... ;-) ).

                            La force du libre est dans la securisation TRES satisfaisante / et TRANSPARENTE d'un système ouvert à tous. Celle de win ne passera (sans changement de politique) que part (ex)palladium et une forme d'atteinte aux libertés .. le probleme de paiement de licences etant pour microsoft aussi (plus?) important que quelques virus.

                            Maintenant, au niveau efficacité, on peut remarquer que moins de problèmes graves affecte l'internet "libre" que l'internet ISS/SQL/WIN .. il suffit de lire les infos de l'été.
                            Cela est en grande partie du à la diversité des systèmes libres (ce qui est une securité global - nombre de machine à polluer potentielles=moins de motivation pour le petit pirate minable - que n'aura jamais le monopole windows).

                            Pour finir, mon problème avec windows se situe plus au niveau IE/outlook-ex/outlook qui sont tout de même plus sensibles aux "blagues" que n'importe quel mozilla ... non ? moi j'ai flingué une machine XP en ouvrant un mail en utilisateur ... boum.
                            Ca agace (mais ce n'est que mon experience malheureuse). (je sais j'en rajoute :-D)
                          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                            Posté par  . Évalué à -1.

                            Sauf que on n'est pas obligé de patcher comme un malade tous les 2 jour dès qu'un "update kernel" arrive sur les serveurs!!

                            Et puis 2.4.21 c'est pas une version kernel "Debian-stable" donc c'est réservé à ceux qui veulent tester. NA. :)
                            (OK c'est un tantinet tiré par les Cheveux...)
                            • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                              Posté par  . Évalué à -2.

                              C'est vrai, t'es pas oblige de patcher.

                              Tu as la liberte de risquer le meme sort que gnu.org ou debian
                              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                Posté par  (site web personnel) . Évalué à 3.

                                Miroir ! ;-)

                                Tu sais qu'on peut utiliser les mêmes propos contre toi ?... On essaie :

                                C'est vrai, t'es pas oblige de patcher.

                                Tu as la liberte de risquer le meme sort que les milliers d'entreprises qui se sont pris tous les vers et virus cette année. C'était du Microsoft tout ça.
                                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                  Posté par  . Évalué à 4.

                                  De toute façon, le seul os qui vaille la peine c'est amiga os ;-)

                                  Sérieux, c'est quoi le délire là? ms est proprio, cool on le sait, linux c'est libre, on le sait aussi... reste quoi? kicékipatchleplusmieux? Aucun des deux amha, c'est l'utilisateur (l'admin plus précisément):
                                  - ici on a une faille linux corrigée avant et applicable au kernel.
                                  - concernant les joyeuseté de l'été, un patch existait avant... mais faut que l'utilisateur l'applique.

                                  En bref, sans dire que l'un est meilleur que l'autre (on s'en fout, une faille suffit pour foutre une réseau dans la merde, peu importe qu'il y'en ait 8000 ou 1 autres possibles).

                                  Amha, il serait plus constructif, aussi bien niveau windows que linux de chercher un moyen de rendre l'utilisateur moins ... enfin plus... enfin vous voyez ce que je veux dire ;) (on estime que 99% des attaques sont évitable, mais arrive à cause d'erreur de l'utilisateur/admin). Et concernant cela, l'avantage du logiciel libre est qu'il y'a une possibilité (faible dirons certains, et vu l'énormité de certaines structures, on peut les comprendre) de changer les choses, alors que pour le monde proprio on se retrouve a devoir faire confiance à l'économie de marché. En bref, la question que je me pose: à quand un système de mise à jour réellement automatique avec rollback simple et effiace en cas de problème (et automatique idéalement) avec un download en arrière plan efficace (pour pas stupidement saturer la bp quand on en a besoin). J'ai l'impression qu'on en est pas encore là (faut dire aussi je suis une bille en linux, mais bon un apt-get qui fout le système en l'air, genre difficilement récupéraible, pas top...).

                                  Voilà, c'est mes 2 cents, en résumé, je pense qu'un échange constructif sur "comment rendre nos systèmes plus à jour automatiquement et de façon sûre" pourrait être intéressant.
                                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                    Posté par  (site web personnel) . Évalué à 3.

                                    Je suis complètement d'accord
                                    Il faut choisir le bon outil pour la bonne opération.
                                    Et un outil çà rend service à un utilisateur, pas le contraire.
                                    Moi toutes mes machines (40 serveurs et postes de travail) sont en linux depuis 5 ans et sans aucun souci.
                                    Donc pas de prosélytisme. Chacun choisit :)
                                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                    Posté par  . Évalué à -1.

                                    tu peux eviter de melanger des choses qui n'ont pas de rapport, svp ?

                                    economie de marche/economie dirigee/mixte des deux et logiciels proprietaires/libres sont deux debats orthogonaux

                                    en l'occurence, avec les logiciels libres, tu est tout autant a la merci de l'économie de marché.

                                    si le mainteneur upstream de tel ou tel package se moque de tel ou tel bug ou a disparu dans la nature et que personne n'as repris le logiciel, tu est exactement dans la meme situation qu'un logiciel proprietaire.

                                    il arrive que l'on doive se tourner vers une alternative libre au logiciel libre que l'on utilise pour de telles raisons.



                                    tu confonds commercialisation, droits de propriete et "sympathie" des grosses structures (qu'elles soient entreprenariales, etatiques ou que sais-je d'autres) envers les individus.

                                    ce qui fait la perennite des logiciels libres, puisque l'on parle de cet avantage des logiciels libres (il y en bien evidemment beaucoup d'autre) est que la liberte de copier/modifier les sources permet au logiciel de survivre aux aleas economiques tel que faillite, fin de produit car vendu a perte, ...
                                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                      Posté par  (site web personnel) . Évalué à 3.

                                      si le mainteneur upstream de tel ou tel package se moque de tel ou tel bug ou a disparu dans la nature et que personne n'as repris le logiciel, tu est exactement dans la meme situation qu'un logiciel proprietaire.

                                      ben non ce n'est pas la mm chose...

                                      - si un mainteneur "upstream" veut pas intégrer la correction d'un bug, deux choix : soit tu patches pour ta gueule (distro, @home, @work) en ayant de préférence publier les sources sous GPL qqpart, soit tu forkes.

                                      - si un mainteneur a disparut dans la nature, là encore tu as faux. Si le projet est à l'abandon, soit tu trouves un moyen pour en récupérer le leadership, soit tu forkes...

                                      Tu vois qu'on est pas autant dans la merde avec du logiciel libre (notez le petit "L") qu'avec du soft proprio...
                                      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                        Posté par  . Évalué à -1.

                                        là encore tu as faux


                                        j'explique que ce qui fait la perennite des logiciels libres (...) est la liberte de copier/modifier les sources et tu me reponds non, c'est la disponibilites des sources....

                                        ce que je critiquais, c'etait le melange des genres (liberte(s) des utilisateurs et droits d'auteur vs type de systeme economique/politique).

                                        relis calmement avant de repondre la prochaine fois svp.
                                        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                          Posté par  (site web personnel) . Évalué à 2.

                                          Je n'ai pas parut calme ? toute mes excuses dans ce cas, je l'étais pourtant :c/

                                          J'ai relu de nouveau calmement (de nouveau aussi) ce que tu as dis, et je persiste... on n'est pas obligé de se tourner vers d'autres alternatives Libres si le mainteneur principal d'un projet a foutu le camp :c/ A moins que la phrase en italique citée plus haut ne soit pas de toi (ou soit une reformulation menant à démontrer une erreur)... auquel cas, soit, tu as raison.
                                          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                            Posté par  . Évalué à 1.

                                            bien sur.

                                            alors pourquoi tant de pilotes sont-ils en desherence ? a commencer par ide-scsi, humm ?

                                            de toute facon, ceci n'est pas ce que je soulignais; je soulignais que la ntion d'economie de marche n'avait rien a faire ici

                                            et je persiste.
                                            • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                              Posté par  . Évalué à 1.

                                              ide-scsi est en "desherence" car c'est Mal de faire un pont alors que de bons drivers IDE feraient mieux le boulot. Passer par une émulation SCSI pour graver sur un lecteur IDE est absurde. Non ?
                                              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                Posté par  . Évalué à 1.

                                                la norme ATAPI est un sous-ensemble du jeu de commandes SCSI encapsulees dans un paquet de commande ATA.

                                                c tellement ridicule de passer par la couche SCSI que les grande majorite des pilotes pour les controlleurs SATA (qui gerent egalement qq "anciens" controleurs PATA de chez intel) utilisent libata qui passe ... par la couche SCSI.

                                                c vraiment aburde, hein ?

                                                pour revenir au sujet initial, ide-scsi n'est qu'un exemple. il y a d'autres pilotes en desherence[0]; le point n'est pas de savoir pourquoi tel ou tel pilote n'est plus maintenu. l'important n'est pas de savoir si /dev/sg est une bonne interface unifiee ou pas, si tous les disques devraient etres vu de maniere identique quel que soit le bus surlequel est connecte leur controlleur ou si ide-scsi est une pile de merde.

                                                dans le cas d'ide-scsi, de nombreux utilisateurs se plaignent de son abandon. il y a aussi le mainteneur de cdrecord mais bon la il y a de la mauvaise volonte de sa part.

                                                l'important est de constater que la disponibilite des sources allie a la presence d'une demande n'est pas suffisante pour permettre la continuite d'un projet (ou ici d'un pilote). donc oui , je maintiens qu'il arrive que l'on doive se tourner vers une alternative libre au logiciel libre que l'on utilise pour de telles raisons. (ici ide-cd a la place d'ide-scsi[1])

                                                c'est une condition necessaire mais pas suffisante. il faut egalement que des gens motives et competents soient disponibles. parfois, il vaut mieux tout reecrire a cote, et passer a un autre projet (ici pilote).

                                                d'ailleurs, dans le domaine des pilotes, ide-cd vs ide-scsi n'est pas le seul exemple de competition entre pilotes due a une perte de maintenance (cf 359x vs 3c575_cb, sym53c8xx_2 vs sym53c8xx, xd vs ide-disk, ...)

                                                [0] mais il y a aussi des pilotes de controlleurs scsi qui n'ont pas ete mis a jour pour la gestion des erreurs, des pilotes de cartes son isa qui ne sont plus maintenus depuis des "decennies", ...


                                                [1] en plus on gagne l'utilisation du dma en gravure :-)
                                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                      Posté par  . Évalué à 2.

                                      economie de marche/economie dirigee/mixte des deux et logiciels proprietaires/libres sont deux debats orthogonaux

                                      Ah bon? pourquoi fais tu toi même des rapport entre les aléas économique et le logiciel libre ou proprio?

                                      Si tu penses que je sous-entendais un rapport entre libre et communisme, ce n'est pas le cas. Mais j'avoue avoir du mal à comprendre d'où tu tire cela...

                                      en l'occurence, avec les logiciels libres, tu est tout autant a la merci de l'économie de marché.

                                      Non il te reste la possibilité de le "faire toi même" ou de le faire faire... ce qui n'est pas toujours évident, comme j'ai pu le tester pratiquement, et comme je l'ai sous-entendu.

                                      tu confonds commercialisation, droits de propriete et "sympathie" des grosses structures (qu'elles soient entreprenariales, etatiques ou que sais-je d'autres) envers les individus.

                                      Ou ai-je parlé de commercialisation ou de droit de propriété?

                                      En bref, éclaire moi, je ne comprends pas ton post, tu l'as lu, tu as compris l'idée? était-ce un débat proprio/libre/économie? que penses-tu d'améliorer la sécurité en se concentrant sur les 99% des problèmes évitables, au lieu des 1% de faille inconnues?
                              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                Posté par  . Évalué à 4.

                                On pourrait aussi dire:
                                donne un seul exemple d'une faille linux , ou sendmail ou mysql ou autre, qui ait été mondialement connue et exploité et qui a mis des milliers d'entreprises par terre, en leur coutant beaucoup de ronds ....
                                Peut-être y'en a eu, je sais pas, j'en ai jamais entendu parler (pourtant dieu sait si sendmail est critiqué, mais j'ai pas souvenir qu'il se soit fait démonter comme l'a été exchange, et bizarrement c'est le plus pourri qu'est payant !)
                                Donc, si t'as des liens à fournir là dessus, des liens qui montrent qu'un linux défectueux (et pas installé par des yuriths) a entrainé la liquidation d'une société et la mise au chomage de tout son personnel, n'hésite pas donne, c'est pour élargir ma culture. Attention, je dis pas que c'est impossible, mais je veux voir.
                                Et puis, une différence importante entre les failles linux et windows: pour exploiter celle de linux, va quand même falloir que tu te lèves tôt le matin, que tu te prépares quelques litres de café et que tu ais des munitions de clopes. Pour windows, suffit juste de te rendre sur une page web ou d'ouvrir un malheureux email....
                                Mais bon, on peut se rassurer, bill a dis qu'il allait faire de la sécurité sa priorité numéro un! Peut-être qu'il va sortir une distribution linux alors...
                                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                  Posté par  . Évalué à 1.

                                  donne un seul exemple d'une faille linux , ou sendmail ou mysql ou autre, qui ait été mondialement connue et exploité et qui a mis des milliers d'entreprises par terre, en leur coutant beaucoup de ronds ....

                                  Virus qui passait par Openssl

                                  Donc, si t'as des liens à fournir là dessus, des liens qui montrent qu'un linux défectueux (et pas installé par des yuriths) a entrainé la liquidation d'une société et la mise au chomage de tout son personnel, n'hésite pas donne, c'est pour élargir ma culture. Attention, je dis pas que c'est impossible, mais je veux voir.

                                  Si t'as la meme chose pour MS, donne je veux voir aussi.

                                  Et puis, une différence importante entre les failles linux et windows: pour exploiter celle de linux, va quand même falloir que tu te lèves tôt le matin, que tu te prépares quelques litres de café et que tu ais des munitions de clopes. Pour windows, suffit juste de te rendre sur une page web ou d'ouvrir un malheureux email....

                                  Je te rassures, sur Linux aussi lire un e-mail ca suffit :

                                  http://www.sfu.ca/~siegert/linux-security/msg00107.html(...)
                                  http://www.cotse.com/mailing-lists/bugtraq/1999/0491.html(...)
                                  http://www.opennet.ru/base/exploits/1063730283_626.txt.html(...)
                                  ...
                                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                    Posté par  . Évalué à -1.

                                    Virus qui passait par OpenSSL ...
                                    Ben vas y donne moi le nom, j'sais pas je l'ai jamais vu dans le coin.
                                    En plus, franchement t'as peur de rien en donnant ces exemples là !! Mutt, pine et Fingerd, rien que ça !!! Snifff....
                                    J'vais t'en donner d'autres dans le même genre alors, tant qu'à faire dans le comique (et le ridicule): compte root sans mot de passe avec telnet ou ftp ouvert, Xchat avec DCC Send auto-accept et configuré dans ~/, les mots de passes admin envoyé en clair par mail sur msn aussi, non, pourquoi pas tant qu'on y est ??? Sérieux, t'as essayé d'être drôle là, t'as jamais cru dans les arguments que tu viens de donner ? Si ? ..... alors c'est que t'as jamais approché un manchot de ta vie, tu l'as vu de loin, de dos et par temps de brouillard! En plus il devait neiger....
                                    Bon, pour les exemples sur les faillites dues au merveilleux fonctionnements de M$ (me permet de glisser un petit "mauvaise foi au passage"), t'en faire la liste, ça va être long, alors je citerais les coupables:
                                    1999 & 2000 : BubbleBoy, IloveYou, Melissa, Joke, Resume, des milliards de $ de dégats, en temps perdu, main d'oeuvre, remise en état de fonctionnement, non, ça te dit rien ? Vraiment ?
                                    dansie.net et les formulaires permettant de prendre le controle à distance de la machine, pure divagation de ma part ?
                                    aout 99: IISv4 et "journées portes ouvertes", Goga, toujours rien ?
                                    aout 99 toujours : IIShack, me dit pas que t'es passé à coté ?
                                    2001: Les mots de passes messenger et hotmail piratables, toujours rien t'es sur ?
                                    fin juillet 2001: le kurchatov et le bug dans SQL Server, l'arsenal nucléaire américain et soviétique ? Non, t'étais pas là peut-être, en vacances sur Vénus ? (p'tit lien pour rafraichir la mémoire : http://www.cdi.org/nuclear/nukesoftware.html(...))
                                    Aoùt 2001, Wurzler, l'assureur américain, qui informe tous ses clients qui utilisent IIS5 qu'il paieront une majoration de 15%, à cause des dégats et des piratages que celui ci engendre, t'es passé à coté aussi, non ? Décidémment pas de chance...
                                    Octobre 2001, microsoft qui veut faire interdire toute diffusion d'information relative aux failles de sécurité de ses logiciels ( http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...) ), arguant du fait qu'ils n'arriveront jamais à les corriger, celui là, je suppose qu'il était écrit trop petit et que tu l'as pas vu, c'est ça ? Zut alors !!
                                    Je continue ? Non, mon but n'est pas là... Alors, mon petit "mauvaise fois" est il justifié ou non ?
                                    Va dire à ton patron que sa technique consistant à dénigrer la sécurité de linux pour vanter celle de M$, à répendre des FUD, vient de lamentablement échouer sur le site de linuxfr, qu'il va falloir qu'il te donne des arguments crédibles pour te battre, pour vendre son produit, qu'il conçoive un vrai OS en fait. Non, en fait, change de boite, ce sera carrément mieux pour toi, et beaucoup plus réaliste ! Il parait que vous allez faire des autoradios maintenant ? On se recycle un peu comme on peut....
                                    Note, j'ai absolument rien contre toi, souvent tes interventions sont pertinentes , mais là, sur ce plan là, tu devais savoir d'avance que tu allais te prendre de sévères retour ?
                                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                      Posté par  . Évalué à 3.

                                      Virus qui passait par OpenSSL ...
                                      Ben vas y donne moi le nom, j'sais pas je l'ai jamais vu dans le coin.


                                      Va voir par toi meme http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=(...)

                                      En plus, franchement t'as peur de rien en donnant ces exemples là !! Mutt, pine et Fingerd, rien que ça !!! Snifff....

                                      Faut savoir, je croyais que c'etait pas possible de se faire entuber en lisant un e-mail sous Linux ?
                                      T'as change d'avis ? Ou plutot tu ne sais pas de quoi tu parles ?

                                      J'vais t'en donner d'autres dans le même genre alors, tant qu'à faire dans le comique (et le ridicule): compte root sans mot de passe avec telnet ou ftp ouvert, Xchat avec DCC Send auto-accept et configuré dans ~/, les mots de passes admin envoyé en clair par mail sur msn aussi, non, pourquoi pas tant qu'on y est ??? Sérieux, t'as essayé d'être drôle là, t'as jamais cru dans les arguments que tu viens de donner ? Si ? ..... alors c'est que t'as jamais approché un manchot de ta vie, tu l'as vu de loin, de dos et par temps de brouillard! En plus il devait neiger....

                                      Pourquoi ? C'est etre idiot que de lire ses e-mails avec Mutt ou Pine ? Il y a quoi de different par rapport a lire ses e-mails avec Outlook ?
                                      Tu me parles de mauvaise foi, faudrait te regarder dans la glace.


                                      C'est con que tu fasses pas le meme genre de liste pour Linux et consorts, parce que t'arriverais au meme resultat.

                                      Un trou de securite sur Windows ou Linux, c'est le meme topo.

                                      Qu'ensuite des millions de personnes sous Windows soient touchees et pas sous Linux car il y a des dizaines de millions de gens utilisant Windows et pas Linux, ca n'a rien a voir, l'erreur a la base est exactement la meme chez Windows et chez Linux.

                                      Bref, ta liste elle correspond a quoi ? Elle ne fait que montrer que des gens n'updatent par leurs softs, qu'il y a des trous dans des softs Microsoft, comme partout ailleurs, et que quand un soft est hyper repandu, ca fait bcp de gens touches.
                                      Ta liste ne signifie absolument rien quand au fait que MS est pire que les autres, car n'importe qui d'autre a la place de MS(sur 95% des desktops, 50% des serveurs) se retrouverait avec le meme resultat.

                                      Quand a
                                      Octobre 2001, microsoft qui veut faire interdire toute diffusion d'information relative aux failles de sécurité de ses logiciels ( http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...)) ), arguant du fait qu'ils n'arriveront jamais à les corriger, celui là, je suppose qu'il était écrit trop petit et que tu l'as pas vu, c'est ça ? Zut alors !!

                                      Faudrait que t'apprennes a lire.
                                      Ce qu'il demande c'est de retenir les infos de l'exploit jusqu'a ce que le patche sorte plutot que le sortir tout de suite.
                                      Il ne parle pas de garder un silence total sur les failles.
                                      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                        Posté par  . Évalué à 1.

                                        >Va voir par toi meme http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=(...))

                                        C'est un vers, pas un virus. Et me dit pas que y'a pas de différence, y'en a une et elle est énorme. Enfin du moins sous linux :-))

                                        > Pourquoi ? C'est etre idiot que de lire ses e-mails avec Mutt ou Pine ? Il y a quoi de different par rapport a lire ses e-mails avec Outlook ?
                                        AMHA, oui, mais ça n'engage que moi. La différence ? Windows n'est livré qu'avec outlook express, la moindre distrib a au moins une quinzaine de client mail. Donc l'utilisateur a le choix du logiciel qu'il va utiliser pour lire ses messages. Après, s'il choisit des truc pas libre et pas sécurisé, ça reste son problème, et tant pis pour lui, mais au moins au départ il a le choix ! Sous Outlook, un petit mail avec un exe ou une page html volontairement mal codée, et bing au revoir...
                                        Envoie moi autant d'exe que tu veux et autant de ces pages html, vas-y te gène pas, à part me faire rire, ça me fera pas grand chose! Il va s'en passer du temps avant que t'arrives à modifier ma base de registre

                                        >C'est con que tu fasses pas le meme genre de liste pour Linux et consorts, parce que t'arriverais au meme resultat.
                                        Suis pas certain, moi je l'ai fait pour windows, je te laisse volontiers me sortir la liste pour linux. En même temps, je te recommande la lecture du rapport "Internet et Entreprise, mirages et opportunités", commandé par le ministère de l'Economie, des Finances et de l'industrie, avec le concours du Conseil Général des Mines et le conseil Général des Technologies de l'Information, rapport rédigé par Jean Michel Yolin, Ingénieur Général des Mines. http://www.cgm.org/rapports/yolin/mirage2002.PDF(...)
                                        Certes, tu pourras toujours me dire que c'est pas objectif et qu'ils ont du touché des dessous de table de linus lui-même, pourquoi pas, tant qu'on est dans la désinformation...


                                        >Elle ne fait que montrer que des gens n'updatent par leurs softs, qu'il y a des trous dans des softs Microsoft, comme partout ailleurs, et que quand un soft est hyper repandu, ca fait bcp de gens touches.
                                        Ben tiens, c'est la faute des gens... C'est vrai ces cons là, ils achètent un système d'exploitation à 1000 balles, pas complètement fini, et ils prennent même pas l'antivirus à 1000 balles qui va avec ! Et y'a même des idiots pour prendre un pack office word+excel+outlook à 2500 balles et qui vont même pas sur le net pour appliquer le SP1 ou le SP2 c'est selon.... Tant pis pour eux, office 2003 se chargera de la destruction de leurs documents. Mais qu'est ce qu'on croit là ? Qu'avec 4000 balles de softs on est correctement protégé et opérationnel ? faut pas délirer non plus, vous prendrez bien madame un petit firewall (planté mais fo pa le dire) pour la somme de 1500 balles ?
                                        Et puis, c'est vrai que le DSL est tellement répandu en France, que les mises à jours via windows update sont hyper-aisées, n'est ce pas ? Quel con l'utilisateur de ne pas savoir que la première chose à faire quand on connecte son windows au net est d'aller sur update. Et c'est tellement marrant de redémarrer 15 fois sa bécane en une heure, et pour le néophite de faire les bons choix parmi toutes ces mises à jours. Car Windows s'adresse aussi au néophite, n'est ce pas ?
                                        Tes produits, je les connais par coeur, je les ai vendu pendant 5 ans, chez un gros assembleur du sud. Puisque mes innocentes victimes me pardonner...
                                        Je les ai aussi réinstallé pendant 5 ans, sur les bécanes des clients parce que ça arrétait pas de planter! Et bravo pour le support en ligne sur les produits comme NT4 server ou 2000 server :"nous n'offrons de support technique qu'aux entreprises ayant un technicien MCE". Donc forcément les entreprises se rabattent sur l'assembleur. Merci pour lui. J'ai fait aussi tous ces séminaires à 2 balles, et le discours sur la stabilité et la sécurité je le connais par coeur.

                                        Au fait, la faille béante RPC, vous en êtes où de sa correction ? Parce que ça fait quand même un bail que vous la trainez celle là....

                                        >Ce qu'il demande c'est de retenir les infos de l'exploit jusqu'a ce que le patche sorte plutot que le sortir tout de suite.
                                        Il ne parle pas de garder un silence total sur les failles.

                                        Personne n'aura vu le méchant sous entendu... C'est du politiquement correct là ?

                                        Mais supposons même dans un total délire que linux soit aussi planté (!) que windows. Ben reste quand même une différence: y'en a un qui m'aura couté 5000 balles supplémentaires pour commencer à utiliser de façon convenable mon PC, l'autre y m'aura rien couté. Qu'un OS et des logiciels libres et gratos plantent sur ma machine, me perdent mes données, mes documents et toutes les choses précieuses que j'ai dessus(ça m'est jamais arrivé en 5 ans), j'aurai les boules, certes. Mais quand je débourse une telle somme en espèrant avoir un système stable et qu'il s'avère que c'est une m**** sans nom, instable, friande d'écran bleu, et sans garanti, excuse moi mais là y'a franchement de quoi les avoir à l'envers. En plus, j'ai même pas le droit de le réinstaller sur une autre machine,si je viens à en changer, vu que c'est un OEM...(elle est pas mal celle là, non ?)

                                        Enfin, je sais bien que tu vas argumenter sur d'autre chose, mais là, je me lasse un peu, et de toute façon, c'est peine perdu vu que ton attitude se conforme au mot d'ordre de M$: dénigrer linux sur la sécurité. Tu fais bien ton travail et je pense pas être le seul à l'avoir remarqué. Alors défoule toi bien :-)
                                        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                          Posté par  . Évalué à 0.

                                          laa c'est fini, prend un mouchoir, ne t'enerve plus, le méchant monsieur est parti.

                                          -1
                                        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                          Posté par  . Évalué à 0.

                                          AMHA, oui, mais ça n'engage que moi. La différence ? Windows n'est livré qu'avec outlook express, la moindre distrib a au moins une quinzaine de client mail. Donc l'utilisateur a le choix du logiciel qu'il va utiliser pour lire ses messages. Après, s'il choisit des truc pas libre et pas sécurisé, ça reste son problème, et tant pis pour lui, mais au moins au départ il a le choix ! Sous Outlook, un petit mail avec un exe ou une page html volontairement mal codée, et bing au revoir...

                                          C'est marrant, parce que sous Windows aussi t'as le choix, tiens moi par exemple, j'utilises pas Outlook a la maison.

                                          Et puis, c'est vrai que le DSL est tellement répandu en France, que les mises à jours via windows update sont hyper-aisées, n'est ce pas ? Quel con l'utilisateur de ne pas savoir que la première chose à faire quand on connecte son windows au net est d'aller sur update. Et c'est tellement marrant de redémarrer 15 fois sa bécane en une heure, et pour le néophite de faire les bons choix parmi toutes ces mises à jours. Car Windows s'adresse aussi au néophite, n'est ce pas ?

                                          Ah c'est con, parce que Windows Update t'as pas besoin de savoir qu'il faut y aller, Windows y va tout seul et t'avertit quand il y a des updates. D'autre part, pas besoin de 15 reboots non plus.

                                          T'es sur que tu connais Windows ?

                                          Tes produits, je les connais par coeur, je les ai vendu pendant 5 ans, chez un gros assembleur du sud. Puisque mes innocentes victimes me pardonner...
                                          Je les ai aussi réinstallé pendant 5 ans, sur les bécanes des clients parce que ça arrétait pas de planter! Et bravo pour le support en ligne sur les produits comme NT4 server ou 2000 server


                                          Si toi tu connais nos produits par coeur, tu le montres tres tres mal.

                                          Au fait, la faille béante RPC, vous en êtes où de sa correction ? Parce que ça fait quand même un bail que vous la trainez celle là....

                                          Laquelle ?

                                          Ben reste quand même une différence: y'en a un qui m'aura couté 5000 balles supplémentaires pour commencer à utiliser de façon convenable mon PC, l'autre y m'aura rien couté. Qu'un OS et des logiciels libres et gratos plantent sur ma machine, me perdent mes données, mes documents et toutes les choses précieuses que j'ai dessus(ça m'est jamais arrivé en 5 ans), j'aurai les boules, certes. Mais quand je débourse une telle somme en espèrant avoir un système stable et qu'il s'avère que c'est une m**** sans nom, instable, friande d'écran bleu, et sans garanti, excuse moi mais là y'a franchement de quoi les avoir à l'envers

                                          C'est marrant ta description de Windows, on sent vraiment le gars qui connait Windows.

                                          peine perdu vu que ton attitude se conforme au mot d'ordre de M$: dénigrer linux sur la sécurite

                                          C'est marrant, tu me montres ou j'ai dit que Linux etait pire que Windows ?
                                          Ah oui bien sur, tu ne vas pas y arriver.
                                          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                            Posté par  . Évalué à 0.

                                            C'est marrant, parce que sous Windows aussi t'as le choix, tiens moi par exemple, j'utilises pas Outlook a la maison.


                                            ne soit pas de mauvaise fois, il a explicitement ecrit: «a différence ? Windows n'est livré qu'avec outlook express, la moindre distrib a au moins une quinzaine de client mail. Donc l'utilisateur a le choix du logiciel qu'il va utiliser pour lire ses messages.»
                                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                    Posté par  . Évalué à 2.

                                    « Je te rassures, sur Linux aussi lire un e-mail ca suffit : »

                                    Ca aurait été plus impressionnant si ta liste n'avait concerné que du logiciel libre...
                                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                      Posté par  . Évalué à 0.

                                      Tu sais comme moi que le jour ou Linux sera repandu sur les desktops, les gens utiliseront le client mail qui leur plait en se foutant totalement de la licence, regarder la licence n'avait donc ici aucune importance.

                                      Le point etant simplement de montrer que l'OS Linux(ou GNU/Linux pour ceux qui y tiennent) n'est pas plus protege de ce type de problemes que Windows.

                                      Ce n'est pas une histoire de libre ou pas, c'est une histoire de conception d'OS et d'applications tournant sur un OS donne, et le resultat tel que montre est que Windows et Linux sont identiques sur ces points, memes risques, memes resultats.
                                      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                        Posté par  . Évalué à 2.

                                        « Tu sais comme moi que le jour ou Linux sera repandu sur les desktops, les gens utiliseront le client mail qui leur plait en se foutant totalement de la licence, regarder la licence n'avait donc ici aucune importance. »

                                        Ah, l'utilisateur grand public ira s'installer Pine, qui n'est pas dans sa distrib pour des problèmes de licence, alors que son installation par défaut lui aura mis un beau client graphique libre, édition "Luce et Henri-friendly" ? Voila une intéressante prédiction.

                                        « Le point etant simplement de montrer que l'OS Linux(ou GNU/Linux pour ceux qui y tiennent) n'est pas plus protege de ce type de problemes que Windows. »

                                        Le point n'est pas seulement là, mais tu aimes bien simplifier de la manière qui t'arrange.

                                        « Ce n'est pas une histoire de libre ou pas, c'est une histoire de conception d'OS et d'applications tournant sur un OS donne, et le resultat tel que montre est que Windows et Linux sont identiques sur ces points, memes risques, memes resultats. »

                                        Et tu oublies la moitié du problème qui concerne les logiciels effectivement utilisés, et qui recoivent le plus d'attention. Je ne dis pas que tu as tort, mais tes exemples ne sont pas pertinents (des utilisateurs de Mutt et autres logiciels en console qui ne sont pas au courant qu'il faut patcher ? -- des exemples avec du logiciel desktop/grand public auraient été plus impressionnants, voila tout ce que je disais).
                              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                Posté par  (site web personnel) . Évalué à 0.

                                > C'est vrai, t'es pas oblige de patcher.
                                > Tu as la liberte de risquer le meme sort que gnu.org ou debian

                                C'est vrai qu'avec une faille locale, je suis mort de peur.
                                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                  Posté par  . Évalué à 1.

                                  Tu me créé un compte sur ta box stp ? :-)
                                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                    Posté par  (site web personnel) . Évalué à 2.

                                    > Tu me créé un compte sur ta box stp ? :-)

                                    Ben non, justement, eh.
                                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                      Posté par  . Évalué à 1.

                                      Tu utilises un des trous de securite remotes qui ne donnent qu'un acces limite (nobody avec Apache, etc...) et hop, tu deviens root sur la machine avec le trou local.
                                      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                        Posté par  (site web personnel) . Évalué à 0.

                                        C'est vrai que c'est vraiment pas secure Linux hein. Faut juste utiliser 2 exploits successifs pour passer root sur la machine avec le trou local. Et après tu vas nous dire que c'est comparable avec Blaster ? Cette question tient aussi pour les gens qui ont moinssé mon précédent commentaire.
                                        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                          Posté par  . Évalué à 2.

                                          J'ai jamais dit que c'etait comparable a Blaster, simplement croire que parce que la faille est uniquement locale alors il n'y a pas besoin de patcher est idiot, et c'est de ca dont on parlait.
                                          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                            Posté par  (site web personnel) . Évalué à 3.

                                            Eh bien moi, ce que je dis, c'est qu'un utilisateur lambda qui n'a pas Apache sur sa machine ou autre serveur-like (parce que de toute façon il n'en a rien à foutre) et qui est seul et unique utilisateur dessus, il n'a pas un besoin impérieux de patcher cette machine. Contrairement à l'utilisateur lambda sous Windows pour qui c'est complètement indispensable.

                                            C'est ça, la différence.
                                            • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                              Posté par  . Évalué à 0.

                                              Ah ?

                                              Et quand il y a une faille dans Mozilla, Evolution, Mutt, etc... ?

                                              cf. plus haut pour voir que oui, il y en a, et resultat, si tu installes pas ces patchs, tu passes d'une faille limitee a ton user a une faille atteignant le systeme entier.
                                              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                Posté par  (site web personnel) . Évalué à 3.

                                                Mais oui, il y en a. Jamais je ne l'ai nié. Mais quand il y a une faille dans un logiciel Adobe, est-ce qu'on accuse Microsoft, nous ? C'est très facile de ta part de clamer "haha, mais y'a des failles dans Evolution et Mutt !", alors que ce sont des logiciels complètement indépendants de l'OS (parce que oui, contrairement à ce que ta boîte voudrait faire croire, un browser web, un lecteur multimedia ou même un gestionnaire de fichiers, ça _doit_ être indépendant de l'OS).

                                                De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).
                                                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                  Posté par  . Évalué à 0.

                                                  Mais quand il y a une faille dans un logiciel Adobe, est-ce qu'on accuse Microsoft, nous ? C'est très facile de ta part de clamer "haha, mais y'a des failles dans Evolution et Mutt !", alors que ce sont des logiciels complètement indépendants de l'OS (parce que oui, contrairement à ce que ta boîte voudrait faire croire, un browser web, un lecteur multimedia ou même un gestionnaire de fichiers, ça _doit_ être indépendant de l'OS).

                                                  Ah ? Et j'accuses l'OS ou moi ?

                                                  Tout ce que je dis, c'est que Linux et Windows n'ont aucune difference au niveau de la protection contre ce genre de problemes, rien d'autres.

                                                  D'autre part quel est l'interet de savoir si les softs sont independants de l'OS ou pas ?
                                                  La question est : tel OS est-il plus protege que l'autre contre ce type d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.

                                                  De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).

                                                  http://www.cert.org/advisories/CA-2000-17.html(...)

                                                  "The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions."

                                                  Voila je t'en ai trouve un, dans un service demarre par defaut sur plusieurs distributions comme dit plus haut, et le plus drole est que le service est le meme type de service que pour Blaster : RPC.
                                                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                    Posté par  (site web personnel) . Évalué à 3.

                                                    > D'autre part quel est l'interet de savoir si les softs sont independants de l'OS ou pas ?

                                                    Parce qu'un soft indépendant de l'OS, quand il est troué et qu'on le sait troué depuis des années, on peut le virer sans difficulté pour le remplacer par un autre moins troué ?

                                                    > La question est : tel OS est-il plus protege que l'autre contre ce type
                                                    > d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.

                                                    Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.

                                                    > Voila je t'en ai trouve un, dans un service demarre par defaut sur
                                                    > plusieurs distributions comme dit plus haut, et le plus drole est que
                                                    > le service est le meme type de service que pour Blaster : RPC.

                                                    Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.
                                                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                      Posté par  . Évalué à -1.

                                                      Parce qu'un soft indépendant de l'OS, quand il est troué et qu'on le sait troué depuis des années, on peut le virer sans difficulté pour le remplacer par un autre moins troué ?

                                                      Tu m'expliques alors comment font les les gens qui utilisent Eudora ou Mozilla sous Windows ?
                                                      Magie noire ?

                                                      Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.

                                                      Et la reponse est fausse.
                                                      1) Il n'est pas plus complique de hacker un Linux ou un Windows troue
                                                      2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux
                                                      3) Propager un trou c'est le meme topo sur Linux et Windows, quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL

                                                      Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.

                                                      On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque il utilisait Redhat ou Mandrake, certainement pas Debian.
                                                      C'etait sur un service demarre par defaut, donc tous les utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin d'installer NFS, le service etait deja la, et demarre par defaut.
                                                      N'importe qui aurait pu ecrire un ver qui se propage par cette porte d'entree.

                                                      Bref, la seule difference avec Blaster, c'est que qq'un a ecrit Blaster, alors que personne n'a pris la peine d'ecrire un ver pour la faille sous Linux (vu que tres peu de gens utilisent Linux).
                                                      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                        Posté par  (site web personnel) . Évalué à 2.

                                                        > Tu m'expliques alors comment font les les gens qui utilisent Eudora
                                                        > ou Mozilla sous Windows ?
                                                        > Magie noire ?

                                                        Tu m'expliques comment désinstaller Internet Explorer et Windows Media Player facilement sous Windows ? Parce que bon, quitte à utiliser un autre soft, autant récupèrer l'espace disque encombré par les autres, hein ? Ah ben non, tu peux pas.

                                                        > Et la reponse est fausse.
                                                        > 1) Il n'est pas plus complique de hacker un Linux ou un Windows troue

                                                        Ah ça, c'est clair qu'exploiter la faille du do_brk() c'est à la portée du premier venu. Non mais tu te relis des fois ?

                                                        > 2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux

                                                        Je ne dis pas le contraire. Après, manifestement, il y en a de plus faciles à exploiter que d'autres.

                                                        > 3) Propager un trou c'est le meme topo sur Linux et Windows,
                                                        > quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL

                                                        Si tu parles de celui-ci : http://www.linuxsecurity.com/articles/security_sources_article-5699(...) il faut Apache. Allo ? Ça fait combien de fois que je t'en réclame un qui se propage de la même façon que Blaster, c'est à dire _sans_ serveur sur la machine ?

                                                        > On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque
                                                        > il utilisait Redhat ou Mandrake, certainement pas Debian.

                                                        Et pourquoi pas ? C'est quoi tes sources ?

                                                        > C'etait sur un service demarre par defaut, donc tous les
                                                        > utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin
                                                        > d'installer NFS, le service etait deja la, et demarre par defaut.

                                                        Eh non, perdu, c'est un service qui vient avec NFS même sur une RH ou une Mdk ou une SuSE, et NFS l'utilisateur lambda n'en a vraiment strictement rien à foutre.

                                                        > N'importe qui aurait pu ecrire un ver qui se propage par cette
                                                        > porte d'entree.

                                                        Je note ton utilisation du conditionnel. Ah ben oui, ça change tout. P'tet ben que ça aurait marché pareil que Blaster si ça avait existé, et pis p'tet ben que non.

                                                        >Bref, la seule difference avec Blaster, c'est que qq'un a ecrit
                                                        > Blaster, alors que personne n'a pris la peine d'ecrire un ver pour
                                                        >la faille sous Linux (vu que tres peu de gens utilisent Linux).

                                                        Ha ha ha, elle est bien bonne. Bon, non seulement tu réponds à coté de la plaque mais en plus tu en profites pour rajouter les conneries habituelles entendues mille fois. Moi qui avais coutume de penser que tu te faisais moinsser uniquement pour délit d'opinion, je constate que finalement niveau mauvaise foi et ignorance tu fais aussi fort que la plus intégriste des moules qui traîne ici-bas. Félicitations.
                                                        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                          Posté par  . Évalué à -1.

                                                          Tu m'expliques comment désinstaller Internet Explorer et Windows Media Player facilement sous Windows ? Parce que bon, quitte à utiliser un autre soft, autant récupèrer l'espace disque encombré par les autres, hein ? Ah ben non, tu peux pas.

                                                          Et ? La n'est pas la question, la question est d'utiliser ou pas d'autres softs, avoir 2 softs du meme type installes n'est pas le probleme.

                                                          Ah ça, c'est clair qu'exploiter la faille du do_brk() c'est à la portée du premier venu. Non mais tu te relis des fois ?

                                                          Ah, et tu crois qu'exploiter un buffer overflow sous Windows est plus simple ? T'as deja essaye ?

                                                          Si tu parles de celui-ci : http://www.linuxsecurity.com/articles/security_sources_article-5699(...)) il faut Apache. Allo ? Ça fait combien de fois que je t'en réclame un qui se propage de la même façon que Blaster, c'est à dire _sans_ serveur sur la machine ?

                                                          Je parles de n'importe quel trou de securite remote, le trou par les RPC compris.
                                                          Un ver ce n'est rien d'autre qu'un exploit automatise, rien de miraculeux la-dedans, tu peux faire la meme chose sur n'importe quelle plateforme.

                                                          Et pourquoi pas ? C'est quoi tes sources ?

                                                          Ce trou etait en 2000, va donc jeter un oeil sur la facilite d'utilisation de Debian par rapport a RH et Mandrake a l'epoque, tu comprendras tout seul.

                                                          Eh non, perdu, c'est un service qui vient avec NFS même sur une RH ou une Mdk ou une SuSE, et NFS l'utilisateur lambda n'en a vraiment strictement rien à foutre.

                                                          Bon on va t'aider vu que t'as du mal a lire.

                                                          http://www.cert.org/advisories/CA-2000-17.html(...)
                                                          The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions

                                                          Je te rappelles que c'etait en l'an 2000, pas en 2003

                                                          e note ton utilisation du conditionnel. Ah ben oui, ça change tout. P'tet ben que ça aurait marché pareil que Blaster si ça avait existé, et pis p'tet ben que non.

                                                          Il n'y a pas de peut-etre, la question est: aurait-il ete possible d'ecrire un ver par ce trou de securite, et la reponse est clairement : Oui.
                                                          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                            Posté par  (site web personnel) . Évalué à 1.

                                                            > Et ? La n'est pas la question, la question est d'utiliser ou pas
                                                            > d'autres softs, avoir 2 softs du meme type installes n'est pas le
                                                            > probleme.

                                                            Arf. Surtout quand celui qu'on peut pas virer est complètement troué et peut servir pour un exploit, hein ? Ah ben oui, sous Linux c'est critique le do_brk(), suffit qu'une personne utilise une autre faille pour accèder à un compte et ça y est, c'est foutu, on va subir le même sort que Debian ! Mais sous Windows non, voyons, pas de problème, on peut laisser traîner en toute confiance des applis qui ont sû démontrer au fil des années leur propension notoire à se faire h4X3r. Félicitations, en quelques posts tu as réussi à perdre toute crédibilité en te contredisant toi-même.

                                                            > Ah, et tu crois qu'exploiter un buffer overflow sous Windows est plus
                                                            > simple ? T'as deja essaye ?

                                                            Ah, parce que c'est compliqué de se bouffer MSBlast ? On allume sa machine et on l'attrape, c'est pas magnifique ça ? Je vais faire comme toi avec ta super faille rpc.statd, là : et si les auteurs avaient mis un rootkit à l'intérieur, au lieu de simplement faire rebooter la machine ?

                                                            > Je parles de n'importe quel trou de securite remote, le trou par les
                                                            > RPC compris.
                                                            > Un ver ce n'est rien d'autre qu'un exploit automatise, rien de
                                                            > miraculeux la-dedans, tu peux faire la meme chose sur n'importe
                                                            > quelle plateforme.

                                                            Tu parles beaucoup mais tu ne montres pas grand chose. J'attends encore que tu me trouves la chose qui se propage de la même façon que MSBlast sous Linux.

                                                            > Ce trou etait en 2000, va donc jeter un oeil sur la facilite
                                                            > d'utilisation de Debian par rapport a RH et Mandrake a l'epoque,
                                                            > tu comprendras tout seul.

                                                            Encore des paroles en l'air. Des faits monsieur pBpG, des faits.

                                                            > Je te rappelles que c'etait en l'an 2000, pas en 2003

                                                            Et en 2000, l'utilisateur lambda n'avait pas plus besoin de NFS qu'il ne l'a maintenant. Lors de l'installation du système, comme par magie, pour un desktop, NFS n'était pas installé par défaut. Toi comprendre ?

                                                            > Il n'y a pas de peut-etre, la question est: aurait-il ete possible
                                                            > d'ecrire un ver par ce trou de securite, et la reponse est
                                                            > clairement : Oui.

                                                            Ah, et les méchants pirates ne l'ont pas fait parce que Linux c'est bien et que cracker du Windows c'est plus glorieux. J'ai bon ?
                                                            • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                              Posté par  . Évalué à -1.

                                                              Arf. Surtout quand celui qu'on peut pas virer est complètement troué et peut servir pour un exploit, hein ? Ah ben oui, sous Linux c'est critique le do_brk(), suffit qu'une personne utilise une autre faille pour accèder à un compte et ça y est, c'est foutu, on va subir le même sort que Debian ! Mais sous Windows non, voyons, pas de problème, on peut laisser traîner en toute confiance des applis qui ont sû démontrer au fil des années leur propension notoire à se faire h4X3r. Félicitations, en quelques posts tu as réussi à perdre toute crédibilité en te contredisant toi-même.

                                                              1) do_brk te cree une elevation de privilege car c'est un system call, donc t'as acces a tout immediatement, par n'importe quel buffer overflow en appelant ce system call
                                                              2) Outlook/IE ne te donnent pas d'elevation de privilege quand tu les hacke, ils te donnent acces a l'user meme, rien d'autre
                                                              Outlook/IE peuvent etre installes, tu n'arriverais jamais a leur faire executer quoi que ce soit si tu ne les lances pas.

                                                              Donc OUI, tu peux laisser trainer IE/Outlook, si tu ne les utilises pas tu ne coures aucun risque, de meme si tu ne demarres pas OpenSSH, tu ne cours aucun risque par lui.
                                                              C'est a se demander si tu reflechis avant d'ecrire.

                                                              Ah, parce que c'est compliqué de se bouffer MSBlast ? On allume sa machine et on l'attrape, c'est pas magnifique ça ? Je vais faire comme toi avec ta super faille rpc.statd, là : et si les auteurs avaient mis un rootkit à l'intérieur, au lieu de simplement faire rebooter la machine ?

                                                              Et ? Ca dit quoi sur la complexite de hacker un Windows ou un Linux ? RIEN ! Ca veut juste dire que qq'un a pris la peine d'ecrire Blaster, et que personne n'a pris la peine de l'ecrire pour Linux.
                                                              Vas-y, dis moi TECHNIQUEMENT en quoi un Windows est plus facile a hacker, vas y, explique moi les raisons techniques que je rigoles.

                                                              Tu parles beaucoup mais tu ne montres pas grand chose. J'attends encore que tu me trouves la chose qui se propage de la même façon que MSBlast sous Linux.

                                                              J'ai pas besoin, MSBlast ne fait qu'une chose : tirer parti d'un buffer overflow pour s'introduire sur une machine et ensuite executer d'autres instructions(scanner le reseau, recommencer), tu peux faire de meme sous Linux, lancer un process qui scanne un reseau c'est pas plus dur que lancer un shell
                                                              Si tu refuses d'accepter la realite technique, tant pis pour toi.

                                                              Et en 2000, l'utilisateur lambda n'avait pas plus besoin de NFS qu'il ne l'a maintenant. Lors de l'installation du système, comme par magie, pour un desktop, NFS n'était pas installé par défaut. Toi comprendre ?

                                                              FAUX, il etait installe par defaut

                                                              http://www.linuxsecurity.com/advisories/suse_advisory-614.html(...)

                                                              SuSE default package: yes

                                                              C'est toi qui refuse la realite mon cher.

                                                              Ah, et les méchants pirates ne l'ont pas fait parce que Linux c'est bien et que cracker du Windows c'est plus glorieux. J'ai bon ?

                                                              Ils ne l'ont pas fait car en 2000 Linux etait inexistant.
                                                              Prouves que c'etait techniquement pas faisable, qu'on rigole.

                                                              Bref mon cher, tu as exactement 0 arguments.
                                                              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                                Posté par  (site web personnel) . Évalué à 1.

                                                                > Outlook/IE ne te donnent pas d'elevation de privilege quand tu les
                                                                > hacke, ils te donnent acces a l'user meme, rien d'autre
                                                                > Outlook/IE peuvent etre installes, tu n'arriverais jamais a leur faire
                                                                > executer quoi que ce soit si tu ne les lances pas.

                                                                Et ? Une fois qu'on a eu accès à la machine sur laquelle ils sont et que la personne en face a pas pu les virer, qu'est ce qui empêche de les lancer ? Vas-y, dis ?

                                                                > Et ? Ca dit quoi sur la complexite de hacker un Windows ou un Linux ?
                                                                > RIEN ! Ca veut juste dire que qq'un a pris la peine d'ecrire Blaster, et
                                                                > que personne n'a pris la peine de l'ecrire pour Linux.

                                                                C'est quand même bizarre que des gens prennent la peine de se faire les serveurs de Debian ou de Gentoo et que personne ne se fatigue à coder un Blaster-like. Moi je sais pas, crier au complot comme d'hab en hurlant que c'est normal, que ça viendra quand Linux aura plus de users, j'arrète pas de l'entendre. Mais en attendant dans les faits on voit quoi ? Rien.

                                                                > Vas-y, dis moi TECHNIQUEMENT en quoi un Windows est plus facile
                                                                > a hacker, vas y, explique moi les raisons techniques que je rigoles.

                                                                Mais si TECHNIQUEMENT c'est aussi facile, POURQUOI on en voit pas sous Linux des MSBlast ? POURQUOI ? Ça fait 12 ans que le système existe, il doit bien y en avoir des trucs du même genre ! Nan ?

                                                                > FAUX, il etait installe par defaut
                                                                > http://www.linuxsecurity.com/advisories/suse_advisory-614.html(...(...))

                                                                En effet, my mistake. Sur SuSE. A la rigueur, là, on peut reprendre l'argument que tu avais utilisé pour Debian : c'était quoi, en 2000, la proportion de SuSE par rapport aux autres ?

                                                                > Ils ne l'ont pas fait car en 2000 Linux etait inexistant.
                                                                > Prouves que c'etait techniquement pas faisable, qu'on rigole.

                                                                Et donc, si on en a toujours pas vu de nos jours, c'est parce que Linux est toujours inexistant, c'est ça ?
                                                                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                                                  Posté par  . Évalué à 1.

                                                                  Et ? Une fois qu'on a eu accès à la machine sur laquelle ils sont et que la personne en face a pas pu les virer, qu'est ce qui empêche de les lancer ? Vas-y, dis ?

                                                                  Tu gagnerais quoi a les lancer ? Tu peux browser le web et lire des e-mails avec, super, tu peux pas gagner d'elevation de privileges avec.
                                                                  Pour etre clair : Si tu accedes a un compte user sous Windows et que tu lances IE/Outlook pour faire xy avec un de leur trous de securite t'iras nulle part, ils tournent avec les droits de l'user.

                                                                  C'est quand même bizarre que des gens prennent la peine de se faire les serveurs de Debian ou de Gentoo et que personne ne se fatigue à coder un Blaster-like.

                                                                  En 2000 personne n'attaquait Debian et Gentoo car Linux etait inexistant, aujourd'hui ca arrive. Pourtant il y avait tout autant de trous dans Linux en 2000 qu'aujourd'hui, voire plus.

                                                                  Mais si TECHNIQUEMENT c'est aussi facile, POURQUOI on en voit pas sous Linux des MSBlast ? POURQUOI ? Ça fait 12 ans que le système existe, il doit bien y en avoir des trucs du même genre ! Nan ?

                                                                  Oui, il y a OpenSSL qui passe par un autre trou.
                                                                  Le truc etant que Linux, meme apres 12 ans, c'est meme pas 2% des systemes dans le monde, alors que Windows c'est 95%.
                                                                  Tu lances un truc du genre, tu touches tres tres peu de machines.
                                                                  Techniquement il y a 0 differences, meme pas 1, meme pas 0.5, il y en a 0.

                                                                  En effet, my mistake. Sur SuSE. A la rigueur, là, on peut reprendre l'argument que tu avais utilisé pour Debian : c'était quoi, en 2000, la proportion de SuSE par rapport aux autres ?

                                                                  Perso en 2000, tous les gens autour de moi avaient soit RH, soit Suse soit Mandrake. Debian etait reserve a une tres petite elite.
                                                                  Et Suse n'etait evidemment pas la seule distrib a l'avoir par defaut.

                                                                  Et donc, si on en a toujours pas vu de nos jours, c'est parce que Linux est toujours inexistant, c'est ça ?

                                                                  Le ver OpenSSL est la pour prouver que Linux commence a interesser les pirates, ca vient gentiment.
                                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                                  Posté par  (site web personnel) . Évalué à 0.

                                  J'espere que tu seras jamais admin... Suffit d'une petite faille dans n'importe lequel des programmes que tu utilises tous les jours, et booom ! Quand on voit tous les trojans qui circulaient dans de simple scripts configure l'annee derniere, ou les diverses failles de apache et compagnie, bah...
                          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                            Posté par  . Évalué à 1.

                            Mouais, si je me souviens bien c'est une grosse connerie de Mandrake. Un gars s'en est aperçu,
                            et le paquet a été vite fait viré puis corrigé.

                            Je suppose que ça ne peut pas arriver chez vous (process, assurance qualité, gnagnagna),
                            mais si par extraordinaire cela se produisait, hypothèse folle j'en conviens, comment un utilisateur
                            (j'inclus les admins chevronnés) pourrait il s'apercevoir que les fichiers créés après l'application
                            d'un fix(pack) sont world-writable ? Comment pourrait il rapporter le problème, et serait il écouté ?
                            • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                              Posté par  . Évalué à 1.

                              Je suppose que ça ne peut pas arriver chez vous (process, assurance qualité, gnagnagna),

                              Si ca peut arriver, c'etait d'ailleurs l'objet de la discussion, que ca arrivait chez nous. Je voulais juste montrer a notre cher ami qu'on etait loin d'etre les seuls.

                              mais si par extraordinaire cela se produisait, hypothèse folle j'en conviens, comment un utilisateur (j'inclus les admins chevronnés) pourrait il s'apercevoir que les fichiers créés après l'application d'un fix(pack) sont world-writable ? Comment pourrait il rapporter le problème, et serait il écouté ?

                              Comment ? Ben en regardant sa machine, tu crois que chez Mandrake ils s'en sont rendus compte comment ?
                              Plus de la moitie des bugs qu'on fixe sont reportes par les utilisateurs.
                      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                        Posté par  . Évalué à -1.

                        Ecoute, je ne doute pas que la plupart de tes arguments sont honnêtes. Seulement depuis 4 ans que je suis sous Linux et 3 ans sur le net 24h/24 je n'ai jamais vu le bout d'un virus ni même la moindre intrusion alors que je ne protège pas particulièrement ma machine. Les utilisateurs de windows, pour peu qu'ils fassent de l'irc sur un serveur qui ne crypte pas les hosts, ont une cinquantaine d'attaques par jour et ceux qui se font hacker ne sont pas rares. Sans parler des virus mais bon, ce n'est pas le sujet du débat.
                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                    Posté par  (site web personnel) . Évalué à 2.

                    comme pour les failles non corrigées de IE ?
              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                Posté par  . Évalué à -1.

                hez nous le departement IT forcait les patchs sur les machines

                C'est beau de voir la démocratie Américaine en action.

                Pasbill, raconte nous encore des belles histoires de chez toi!
                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                  Posté par  . Évalué à 0.

                  Je te rassures, ces choses la arrivent partout, encore heureux d'ailleurs :+)
                  • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                    Posté par  . Évalué à 3.

                    Comment voulez vous assurer un débat constructif en vous acharnant à coup de - sur toute personne qui defend (et avec repartie - ne vous en deplaise ) le point de vue inverse de celui communement admis sur ce forum ???
                    c'est idiot, on ne voit plus les commentaires de pbpg et d'autres, qui sont souvent la base de discussions plutôt intéressantes.

                    pardon mais ça m'enerve.

                    ---> []
                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                      Posté par  (site web personnel) . Évalué à -2.

                      Je suis tout à fait d'accord avec toi. Il faut relativiser: certains commentaires non affichés ne sont que des remarques amusantes, mais parfois ils cachent des idées permettant un débat. Néanmois cette idées et vite moinser et le débat qui aurait pu naître passe à la trappe, car cest soulant d'ouvrir une nouvelle fenêtre.

                      Enfin moi ce que j'en dis...
                      Et j'admets que ca serait difficile de mettre en place une autre solution que celle-ci, et je n'ai pas l'idée lumineuse qui pourrait annuler ce léger problème.

                      Christophe.
                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                      Posté par  (site web personnel) . Évalué à 2.

                      Laisse tomber, depuis l'apparition des points, c'est tellement n'importe quoi ici que j'ai arrêté de poster... Depuis j'ai meme plus le droit de voter. Bah tant mieux, j'irai pas perdre mon temps ici alors !

                      (je sens que je vais encore me faire "moinser"; mais bon ca changera pas mon avis de vieux con).
                    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                      Posté par  . Évalué à 2.

                      Comment voulez vous assurer un débat constructif en vous acharnant à coup de - sur toute personne qui defend (et avec repartie - ne vous en deplaise ) le point de vue inverse de celui communement admis sur ce forum ???

                      Tu as tout compris.

                      Un debat constructif ca ne les interesse pas. Des qu'ils voient un commentaire qui ne va pas dans le sens qui leur plait, ils essaient de le cacher car ca pourrait remettre en cause leurs prejuges.
                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                  Posté par  (site web personnel) . Évalué à 1.

                  Quel rapport ? Selon toi, le réseau d'une entreprise doit être l'anarchie sous prétexte de démocratie ? (ou alors c'est de l'humour bien naze)
                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                  Posté par  . Évalué à -1.

                  et hop un lieu commun de plus. que quelque chose ne plaise pas et c'est de l'americanisation!!! est-on vraiment obliger, des que quelque chose nous deplait, de lui accoller le qualitatif "americain" ?

                  tout ce qui va mal sur cette planete est-il de la seule responsabilite des americains (en vrac, la malbouffe, la misere, les dictatures, la misere culturelle[1] ?

                  pour moi, il y a un probleme quand les gens ne sont pas capables de comprendre que repeter des lieux communs du ce type ne vaut pas mieux que ce que l'on disait sur les juifs il y a un siecle (desole pour le point godwin).

                  c sur que c plus populaire de taper sur le plus fort, ca plait tout de suite plus et tant pis si dans tous les domaines, on propage l'idee qu'etre americain releve de plus en plus d'une tare.

                  je trouve alarmant que personne ne reagisse a ce type de derive.

                  quand a la democratie, on arrete pas de se gargariser a longeur de journee de termes tels que "patrie des droits de l'homme", "patrie des lumieres", "respect du droit international", ...

                  c'est ignorer pour les premiers que 1) les concepts de democratie et de republique ne sont pas superposes (cf platon vs aristote) et 2) la democratie n'est pas une invention francaise (cf revolution us, provinces-unies 150 avant, habeas corpus et carta magna des siecles avant, ...)

                  pour le second, notre attitude n'est pas meilleure que celle des americains (quid de l'accord prealable de l'onu aux interventions francaises dans le monde ?) voire pire:s'afficher avec poutine, boucher tchetchene pour le respect du droit international et contre le droit d'ingerence que l'on defendait a peine qq annees plus tot, mepriser/rejeter ceux qui ne sont pas d'accord avec nous dans l'ue, ...)


                  [1] l'inculture: une autre facon de mepriser la plebe ou l'Autre ?
              • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                Posté par  (site web personnel) . Évalué à 4.

                Pour blaster, ya au moins 3 variantes en circulation... Et la les patchs sont apparus a peu pres en meme temps que les variantes... j'ai un pote qui s'est fait avoir alors qu'il avait deja patché une premiere fois...
                • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

                  Posté par  . Évalué à 3.

                  Ca n'a rien d'étonnant.
                  Il suffit de lire bugtraq pour voir qu'à plusieurs reprises Microsoft a dans ses patches préféré empêcher l'exploit de marcher que corriger réellement la faille.

                  Un autre message de bugtraq racontait que Microsoft était apparement volontairement très laxiste après avoir appliqué les patches de facon à afficher systématiquement You are Safe !! dans Windows Update.

                  Je ne sais pas si c'est critiquable en soi, la sécurité est aussi une affaire de psychologie après tout.
            • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

              Posté par  . Évalué à 2.

              (faites un don !)

              moi je veux bien mais où ? le seul endroit où j'ai vu qu'on pouvait faire un don, c'est aupres de la fsf aux usa. j'ai pas de cartes internationales moi :/
              il faudrait que j'envoie un cheque
              ça serait bien qu'il y ait un point de chute en europe quand même
        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

          Posté par  (site web personnel) . Évalué à 2.

          oui oui, j'avais compris le merdier :cb C'est aussi pour ca que j'ai rajouté le changelog de marcelo... Cela dit, je pige pas pkoi le DSA dit qu'il s'agit d'un patch de Morton... :c/

          Rendons à César ce qui appartient à César !! ;c)
      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

        Posté par  (site web personnel) . Évalué à 3.

        L'annonce dit que morton a trouvé le probleme, pas que c'est lui qui a "commité" le patch.
  • # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

    Posté par  (site web personnel) . Évalué à 8.

    L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui viens de paraître).
    Celle de Mandrake est sortie aussi : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA(...)
    Elle précise : The Mandrake Linux 9.2 kernels (2.4.22) are not vulnerable to this problem as the fix for it is already present in those kernels. (mdk rox :)
  • # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

    Posté par  . Évalué à 8.

    Juste pour pointer vers le thread qui a lieu actuellement sur LWN en dessous de l'annonce Debian, et qui débute avec le post "Drawback of stable kernel development" qui soulève les questions suivantes: kernel.org ne devrait-il pas mieux communiquer sur la sécurité des versions stables (sans avoir à lire LKML)? Communiquer sur la sécurité doit-il incomber aux seuls distributeurs? Quid des gens qui utilisent un kernel Vanilla? Faut-il gérer les releases comme la branche 2.2.x ou de nouvelles versions stables étaient mises en lignes à chaque découverte d'une faille importante?

    http://lwn.net/Articles/60772/(...)

    Un post qui résume bien la discussion

    You're confusing reality with good practice. It's true that if you want to know about security problems in the current stable kernel, you have to read lkml. The reason is that none of the kernel release managers seem to care about security*. Through the 2.2 series, security issues tended to prompt new kernel releases in fairly short order; this theory of "if you care about security, read lkml or run a kernel released by someone who gives a damn" is recent and wrong. Vanilla kernels are kernels in their own right; they're not just a bunch of code which is provided to vendors solely as a starting point for a real system. More than that, they're the only kernels backed by Linus and company; no one cares about vendor kernels except for one vendor and its user base. And so, the end result of the security apathy of Alan and the others is that the most recent official release of Linux 2.4 contained a local root exploit for three months. Does anyone really believe this to be acceptable?

    * The most prominent recent example: Alan's fix to the ptrace bug broke a number of other things, but once the code was written no one was particularly interested in fixing it.


    NB: Je ne suis pas responsable des propos ci-dessus... Ils ont simplement le mérite de bien résumer le thread... Ne pas me moinsser pour eux quoi ;-)
    • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

      Posté par  . Évalué à 5.

      La question que je me pose est "est-ce que Andrew Morton ou Marcelo avaient conscience que ce "bug" était potentiellement exploitable" ? Si la réponse est non, c'est pas surprenant que ce fix soit plus ou moins passé inaperçu.
      • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

        Posté par  . Évalué à 1.

        Bah disont qu'un "bug" qui permet l'accès à l'espace mémoire noyeau sur un simple appel système brk() (a prioris l'"integer overflow" est facile à produire), ca ressemble clairement à une faille locale exploitable pour n'importe qui.
        A moins qu'ils n'aient trouvés dans le code que l'absence d'une vérification, et qu'ils n'aient pas vérifiés ce qu'il aurait pu se passer...
        • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

          Posté par  . Évalué à 1.

          >A moins qu'ils n'aient trouvés dans le code que l'absence d'une vérification, et qu'ils n'aient pas vérifiés ce qu'il aurait pu se passer...

          Oui, c'est ça que je voulais dire, est-ce qu'ils avaient conscience que le bug en question pouvait potentiellement donner accés à tout l'espace d'adressage du noyau.
          • [^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

            Posté par  . Évalué à 1.

            Si ça se trouve, c'est le fait qu'il aient corrigé ce problème sans même signaler son impact potentiel (en l'ignorant ou pas) qui a pu donner à quelqu'un l'idée d'exploiter le problème...

            En d'autres termes, ils ont mis le doigt sur la faille sans l'annoncer en tant que faille. Idéal pour quelqu'un désirant exploiter une telle faille...
  • # Reprenons.

    Posté par  (site web personnel) . Évalué à 10.

    Bon, essayons de résumer tout ça.

    Un bug est corrigé dans le noyau. Il lui correspond une entrée de changelog anodine, et il n'apparaît à personne que ce bug était un trou de sécurité.

    2 mois plus tard, quelqu'un pirate 3 serveurs Debian en moins de 2 heures, et un quatrième le lendemain, avec des techniques que je ne qualifierais pas de débutant, sachant que de nombreux administrateurs n'auraient même pas remarqué l'intrusion. Le tout en utilisant un exploit assez sophistiqué utilisant le bug cité précédemment.

    Une faille comme ça ne se découvre pas par hasard. Cela signifie qu'une ou plusieurs personnes ont soigneusement épluché les changelogs du noyau pour chercher une petite bête de ce genre. Un travail de fourmi. Ensuite, l'exploit a été utilisé sur des machines symboliques, avec probablement un important travail de planification.

    Je ne suis pas spécialement amateur des théories conspiratistes, j'ai même souvent tendance à leur rire au nez, mais vous reconnaîtrez que tout ceci leur donne du poids. Bien sûr, tout est possible, mais on ne peut exclure le financement et le support par une organisation, quelle qu'elle soit.
    • [^] # Re: Reprenons.

      Posté par  . Évalué à 0.

      <ConspirationOfDaWorld>

      C'est peut etre Microsoft qui a payé un groupe de Djeun's Hak3rZ R3bellz trop fort et qui prépare sa réponse-sécurité face à Gnu/Linux lors d'un futur salon au USA??

      Talaaa.... le mystere demeure...... :-))

      </ConspirationOfDaWorld>
      • [^] # Re: Reprenons.

        Posté par  . Évalué à 0.

        Nan! c'est pBpG qui a h4ck3s les serveurs Debian pour donner du poids à son argumentation sur LinuxFR ;)
      • [^] # Pas de quoi rire

        Posté par  . Évalué à 4.

        T'en rigoles mais je ne vois rien qu'il puisse invalider cette hypothèse.

        Et pourquoi pas ?

        Questions morales ? On a d'autres exemples d'activités requiriant une morale similaire de la part de cette boite.

        Questions financières ? On se doute bien que ce n'est pas un problème.

        Questions de mobiles ? On peut en trouver une bonne centaine au bas mot. En particulier, une annonce récente de la part de la boite en question d'attaquer GNU/Linux sur son aspect 'sécurité'.

        Bref, je ne vois rien de risible dans tout ceci.

        Pour autant, je ne clamerais pas qu'il y a un complot, je n'en sais rien, je n'ai pas d'éléments permettant de faire cette affirmation. Mais je me contente de la conserver comme une hypothèse valable.
        • [^] # Re: Pas de quoi rire

          Posté par  . Évalué à 3.

          C'est comme le "MS derrère SCO" : des personnes pas spécialement intéressées par Linux (mais plutot par des questions de droit) voyaient cette explication comme la plus plausible tellement ce que faisait SCO était indéfendable. Il n'y a pas à défendre cette hypothèse plus que ça, puisqu'il n'y a pas de preuve. Mais sans preuve du contraire, et comme ce n'est pas complètement extravagant, ça reste "envisageable", sans plus.
    • [^] # Re: Reprenons.

      Posté par  (site web personnel) . Évalué à 4.

      ... Je ne vois pas pourquoi tout le monde veut absolument voir une organisation qui en veut à Linux. C'est peut-être simplement un pirate surdoué qui, au lieu de choisir Windows, a choisi Linux, point final.
      Faut pas croire que dès qu'un malheur arrive au libre (diffamation de la part de SCO, etc...), c'est financé par quelque multinationale dont Microsoft est actionnaire.

      Moi, je pense que c'est le projet FreeBSD, qui voit d'un mauvais oeil la distribution Debian/FreeBSD :-D
      -> [www.tusors.com]
      • [^] # Re: Reprenons.

        Posté par  (site web personnel) . Évalué à -1.

        arf, remplacé le "tout le monde" par certaine personne... j'étais énervé quand j'ai écris ça :-D
      • [^] # Re: Reprenons.

        Posté par  . Évalué à 6.

        C'est « peut-être », bien sur, c'est « peut-être » : on ne sait rien de précis.

        Quoi qu'il en soit, JJB souligne bien ce qui parait logique : pour détecter ce type de failles, il faut avoir du temps... et dans notre société, qui dit du temps dit de l'argent.

        Ca peut très bien être le fait du romantique cracker, portrait dressé par le cinéma et les revues.

        Cela ne serait pas choquant pour autant que cela soit une opération commanditée par une compagnie (on pointe Microsoft, cela pourrait être une autre). En quoi cela serait choquant ?

        Y'a du fric en jeu.

        Qui est encore assez naif pour croire que les multinationales/transnationales sont si honnêtes avec les affaires de gros sous ? Ca vous suffit pas de voir des poubelles ambulantes servir de tanker et s'échouer tout les ans, ou pratiquer un « dégazage » régulier en pleine mer, il vous faut plus d'exemples pour ne pas prendre pour de la paranoia l'idée que le crime profite peut-être à quelqu'un ?

        Le fait qu'il y ait une compagnie hostile à GNU/Linux par ailleurs ne change rien à l'affaire : il peut y avoir des failles dans des composants de GNU/Linux comme ailleurs. Le fait qu'une boite puisse désirer prouver cela, c'est pas surprenant, puisque ça attaque directement l'idéologie opensource plaçant le logiciel libre comme forcément supérieur techniquement.

        Par ailleurs, je suis bien placé pour savoir que de nombreux serveurs relativement importants du logiciel libre ont été visé en exploitant ce bug. Un peu trop à mon gout pour que cela soit un pur hasard, l'action d'un seul homme.

        Donc, personnellement, je ne ris pas à l'idée que cela puisse être financé par quelqu'un y ayant un intérêt... Il ne s'agit pas d'une thèse de la conspiration à trois sous : je ne prétend pas que tout serait parfait si le « conspirateur » était éliminé.
        • [^] # Re: Reprenons.

          Posté par  . Évalué à 3.

          Fais gaffe, des hommes en noir vont bientot frapper a ta porte.

          Et ils vont te livrer a d'autres qui vont te mettre unejolie chemise sans bouton et avec les manches qui s'accrochent dans le dos.

          Ca t'évitera de dire n'importe quoi, c'est pour ton bien.
    • [^] # Re: Reprenons.

      Posté par  . Évalué à 3.

      Mouais.
      Tu sais un pirate agit pour la gloire, et des fois, ils y en a même qui sont très forts.
      Faut pas voir le complot partout.
      • [^] # Re: Reprenons.

        Posté par  . Évalué à -3.

        Hacker, pas pirate. Et il n'agit pas pour la gloire (la tu confond avec les scripts kiddies), mais plutôt pour son plaisir personnel.
        • [^] # Re: Reprenons.

          Posté par  . Évalué à 4.

          Justement non.
          un hacker, ça peut être un developpeur constructif et pas forcement un bandit de grand chemin/ado attardé en manque de reconnaisance.
          m'enfin bon. c'était pas le propos.
      • [^] # Re: Reprenons.

        Posté par  (site web personnel) . Évalué à 2.

        En général, le jeune r3b3773 qui s'adonne à des actes de piratage pour la gloire choisit des cibles d'un profil particulier : une grosse entreprise capitaliste, un candidat potentiel aux Big Brother awards, etc. bref des personnes (morales) qu'il trouve détestables. Pour s'attaquer à Debian, il faut avoir une sérieuse dent contre Linux et le logiciel libre. Y a comme un truc qui ne colle pas...
        Également, qui dit agir pour la gloire dit se choisir une cible très en vue, connue d'un large public. Vous connaissez beaucoup de non-geeks (même informaticiens) (outre les victimes de votre lobbying acharné ;) pour qui "Debian" évoque quelque chose de précis ?
        Donc la thèse du valeureux pirate isolé en quête de renommée ne me séduit pas trop.
        • [^] # Re: Reprenons.

          Posté par  (site web personnel) . Évalué à 2.

          Perso, je me sentirai le meilleur craker en cassant le serveur de Debian qu'un serveur de n'importe quelle société que je déteste : trop simple de casser mes ennemis, autant montrer a mes potes que je peux casser leur serveur ;-)
        • [^] # Re: Reprenons.

          Posté par  (site web personnel) . Évalué à 1.

          Pour s'attaquer à Debian, il faut avoir une sérieuse dent contre Linux et le logiciel libre. Y a comme un truc qui ne colle pas...

          Ben tiens, Debian n'aurait que des amis parmis les hackers qui font ca pour la "gloire" ?

          Imaginons un mec qui en avait marre de l'anciennté de la version stable, qui a pas réussi a faire avancer les choses, et qui s'est tellement énervé qu'il leur en veux maintenant ?
          Un RMS qui leur en veux parce que c'est debian et Linux qui ont la gloire et non pas GNU/Hurd ? (heu, en fait non, c'est aussi eux les distribs Hurd).

          Ou bien un mec qui n'aime pas le leader de debian et se vange sur debian pour des raisons personnelles inconnus ? Ou autre ?

          Bref, c'est pas totalement a exclure, meme si debian n'a effectivement pas le profil-type de la société détestée....
    • [^] # Re: Reprenons.

      Posté par  (site web personnel) . Évalué à 3.

      et il n'apparaît à personne que ce bug était un trou de sécurité

      Dès le départ il a été possible d'imaginer des exploits il me semble... un bufferoverflow est toujours extremement dangereux sur x86 et assimilé (je précise ca à cause de GMsoft et ses FOUTUS HPPA !!!! ;c)

      Bref, pour le reste il me semble que tu aies raison... par contre, les petits vicieux qui épluchent les changelogs, ca court la planete !!! sinon, on se ferait pas chier à patché tout le temps nos systemes ;c)

      Cela dit, je me souviens d'un MISC présentant les risques d'un cyberterrorisme mieux organisé qu'actuellement........
    • [^] # Re: Reprenons.

      Posté par  . Évalué à 2.

      j'ai pas vraiment suivi l'histoire (enfin de loin) mais je me pose une question :
      quand les serveurs Debian ont été compromis ? est-ce qu'on le sait au moins ? parce qu'on l'a découvert il y a deux semaines, mais les serveurs ont peut-être été compromis il y a 2 mois, juste avant que l'équipe de Debian patch ses noyaux contre cette faille : on est sur qu'ils n'ont pas patché leur kernel ?
      parce qu'une fois les droits root obtenu via cette faille, ils (les méchants) installent leur rootkit, et apres ils s'en foutent un peu que la faille soit corrigé ou pas puisque la suite se passe via suckit...
      merci pour les précisions à venir :)
    • [^] # Re: Reprenons.

      Posté par  . Évalué à -2.

      C'est tout simplement un groupe de hackers, il n'y a pas de conspiration la dessous...
      • [^] # Re: Reprenons.

        Posté par  (site web personnel) . Évalué à 4.

        CRAKERS, non ?

        ça m'énerve d'avoir l'impression d'être un méchant pirate quand je dis que je suis un hacker... alors que tout ce que je fais moi c'est codé des logiciel libre.
        Il me semble pas que les hackers originels des labos d'IA du MIT était des pirates.
        • [^] # Re: Reprenons.

          Posté par  . Évalué à 1.

          Le terme hacker est tout simplement ambigue (definition et usage courant), pour moi il designe aussi bien le hacker securite que le hacker programmeur.
          exemple de definition:

          http://www.unusualresearch.com/hacker/cud112.htm(...)

          Cracker (comme dans safe-cracker) est lui aussi d'apres la defintion de hyperdictionary c'est une personne qui casse une securite.
          Dans l'usage internet que j'ai vu du terme cracker est restreint au cassage de protection logiciel (DVD, licence, DRM, ... etc)

          pour moi ca reste un hacker (qui a cracker la securite des serveurs debian)

          et c'est pas la peine de crier comme ca, la definition n'etant pas satisfaisante dans les deux cas.

          .2
        • [^] # Re: Reprenons.

          Posté par  . Évalué à 3.

          Ben quand tu code t'es un codeur... C'est comme si j'allais dire que je suis cuisinier quand je compile des kernels... :-)
      • [^] # Re: Reprenons.

        Posté par  . Évalué à 2.

        Je serais curieux de connaitre les éléments qui te permettent d'affirmer ceci.
        • [^] # Re: Reprenons.

          Posté par  . Évalué à -2.

          Je serais curieux de connaitre les élements qui permettent d'affirmer le contraire...
          • [^] # Re: Reprenons.

            Posté par  . Évalué à 4.

            Tu as écris : « C'est tout simplement un groupe de hackers, il n'y a pas de conspiration la dessous.. »

            Rien apparement ne te permet de l'affirmer : tu n'as donc pas à l'affirmer ; c'est ce que je sous-entendais.

            Je n'ai pas affirmé le contraire, ta réponse est donc hors-propos.
    • [^] # Re: Reprenons.

      Posté par  (site web personnel) . Évalué à 3.

      > Un bug est corrigé dans le noyau. Il lui correspond une entrée de changelog
      > anodine, et il n'apparaît à personne que ce bug était un trou de sécurité.

      Si, c'etait clairement annoncé comme un fix de vulnerabilité potentielle. Je crois meme l'avoir vu passer sur bugtraq. Toutefois je suis pas sur que tout le monde a realisé que c'etait exploitable...
  • # Mise à jour pour Mandrake

    Posté par  (site web personnel) . Évalué à 3.

    Les correctifs sont disponibles chez Mandrake depuis hier : http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA(...)
    A noter que la version 9.2 n'est pas vulnérable à ce problème, car il a été précédement patché :
    <extrait>
    The Mandrake Linux 9.2 kernels are not vulnerable to this problem as the fix for it is already present in those kernels.
    </extrait>
  • # Et Debian/Sparc ?

    Posté par  . Évalué à 1.

    Dans l'annonce Debian ils ne parlent pas de l'architecture sparc.

    Est ce que quelqu'un sait pourquoi ? (pas vulnérable ? attendre demain ? me recompiler moi même un noyau ?)
    • [^] # Re: Et Debian/Sparc ?

      Posté par  . Évalué à 3.

      Dans le dernier message sur debian-announce : « It is also believed that Sparc and PA-RISC kernels are not vulnerable since user and kernel addresses are stored
      in different address spaces on these architectures. »
      • [^] # Re: Et Debian/Sparc ?

        Posté par  . Évalué à 1.

        Ah oui. J'avais pas vu.

        Merci.
        • [^] # Re: Et Debian/Sparc ?

          Posté par  (site web personnel) . Évalué à 1.

          D'ailleurs, l'archive (master) n'a pas été compromise pour cette raison: c'est une Sparc !
          • [^] # Re: Et Debian/Sparc ?

            Posté par  . Évalué à 3.

            D'ailleurs, l'archive (master) n'a pas été compromise pour cette raison: c'est une Sparc !

            Mais si une seule des machines d'un réseau est compromise, il n'y a peut être pas besoin d'avoir un "exploit" sparc pour obtenir des userid/password permettant d'intervenir sur l'archive.

            Quand tu as réussi a entrer dans une citadelle, peut importe que chaque porte soit cadenassée si tu as accés aux clés :-(
  • # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

    Posté par  (site web personnel) . Évalué à 1.

    Il n'y a que sur l'advisory Debian qu'il est explicitement mentionne "integer overflow", les autres parlent de faille de type "bound checking". C'est meme confirme si on se fie a ce message sur la full disclosure: http://lists.netsys.com/pipermail/full-disclosure/2003-December/014(...) .
    Quid?

    khorben

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.