Faille de sécurité sur Netscape / Mozilla

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
2
mai
2002
Mozilla
Le problème affecte la fonction XMLHttpRequest. Cette faille permet de voir le contenu d'un fichier, et même de lister les répertoires de l'utilisateur. Cela affecte Netscape >6.1 et Mozilla entre 0.9.7 et 0.9.9 puisque la fonction n'est plus prise en compte avec la RC 1 de Mozilla.
L'article critique également le dysfonctionnement (manque de réactivité) du système de tracking de bug de Netscape.
Cette faille a été confirmée par les développeurs de Mozilla.

Aller plus loin

  • # Relatif le danger, attention ...

    Posté par  . Évalué à 10.

    La faille est toute relative : ca permet l'accès au fichiers dans Mozilla. Comme c'est explique sur les pages liees, c'est dangereux car il est possible de placer le contenu d'un fichier dans une variable javascript, et alors de l'envoyer a un serveur exterieur.
    La faille ainsi que la demonstration decrite parle seulement de lire les fichiers, est beaucoup moins grave, car ca ne fait qu'afficher le contenu d'un fichier local par mozilla, qui est de toute facon capable de le faire tout seul si on lui donne une url du type file://
    • [^] # Re: Relatif le danger, attention ...

      Posté par  . Évalué à 10.

      J'ai lu cet article qui n'est qu'une traduction du thread sur bugtrack qui date de quelques jours.

      Il se trouve que l'inventeur du bug (si on prend la terminologie valable aussi pour les inventeurs de trésors), a signale le probleme a Netscape et que Netscape a apparement pas daigne repondre.
      NB: l'inventeur n'avait pas ouvert de bug dans bugzilla par contre, mais Netscape aurait pu le lui demander.

      Malgre ce que tu dis, le bug est sérieux et d'autant plus triste que tout le monde est tombe sur le dos de microsoft a propos DU MEME PROBLEME. Aujourd'hui IE est corrige de ce point de vue, et pas netscape 6 ni le futur mozilla 1.0 (la rc1 n'est pas vulnerable car le composant XMLHttpRequest ne fonctionne pas du tout :-))
      • [^] # Re: Relatif le danger, attention ...

        Posté par  . Évalué à 10.

        Je pense tout de même qu'ils devraient se résoudre à corriger de telles failles mis à grand jour, surtout pour une release aussi importante que mozilla 1.0
      • [^] # Re: Relatif le danger, attention ...

        Posté par  . Évalué à 10.

        J'ai lu (ce qui veut dire ce que ca veut dire) sur MozillaZine que justement la faille a ete corrige dans le nightly d'hier... Donc tout va bien.

        Le gars a crache sur NEtscape seulement parce qu'il voulait 1000 $ comme promis. C'est vrai que bugzilla est la pour quelque chose ...
      • [^] # Re: Relatif le danger, attention ...

        Posté par  . Évalué à 10.

        Petite correction en ce qui concerne Mozilla. Le bug a été ouvert dans Bugzilla le 29 avril (soit la veille du communiqué de presse des inventeurs du bug, cela étant probablement dû aux fuseaux horaires). Le bug a été corrigé moins de 24h après l'ouverture du bug... Donc dire que Mozilla n'est pas "corrigé de ce point de vue" est une légère entorse à la réalité. Pour plus d'infos, voir le bug sur bugzilla : http://bugzilla.mozilla.org/show_bug.cgi?id=141061(...)

        Par contre, il est vrai que les inventeurs de ce bug n'ont malheureusement pas pris la peine d'informer directement Mozilla lorsqu'ils l'ont découvert. :-(
        • [^] # Re: Relatif le danger, attention ...

          Posté par  . Évalué à 10.

          oui le bug a ete ouvert dans mozilla suite aux remarques que les inventeurs du bug se sont vu opposer quand ils ont publie sur bugtrack.

          je crois meme que ce ne sont pas eux qui ont ouvert le bug mais un gentil lecteur de bugtrack.

          Comme cela est dit plus haut, les inventeurs du bug reprochent surtout a Netscape d'avoir fait le mort pour ne pas avoir a distribuer les 1000$ promis ...

          pas tres cool avec les utilisateurs ...
    • [^] # Re: Relatif le danger, attention ...

      Posté par  . Évalué à 10.

      Raison de plus de pas surfer en root. C'est des coups à se faire piquer son /etc/shadow ou chap-secrets en moins de deux.
      • [^] # Re: Relatif le danger, attention ...

        Posté par  . Évalué à -1.

        J'espère que personne ne fait ça (je parle de surfer en root ! Pour piquer le "/etc/shadow" ou le "chap-secret", chacun fait ce qu'il veut... ou plutôt,ce qu'il peut... :-)

        Quand j'ai commencé avec Linux, je me logguais toujours en root. Un jour que je faisais du ménage dans mon système de fichiers, j'ai utilisé la commande 'rm -rf *', au mauvais endroit....

        Je vous jure que j'ai pleuré d'avoir perdu tous mes fichiers qui résidaient sur les partitions Zindozs qui étaient montées !!!

        Donc un conseil qui tombe sous le sens : Logguez-vous en simple "user", quitte à faire un "su" quand y a besoin !
        • [^] # Re: Relatif le danger, attention ...

          Posté par  (Mastodon) . Évalué à 2.

          J'ai un ami a qu'il est arrivé la même chose, heureusement, on a fait un Ctrl-C tout de suite, il n'y avais qu'une centaine de fichier effacés. Un petit undelete sous dos a presque remis tout en place. Il fallait juste ce souvenir du premier caractère de chaque fichier... pas toujours facile.
  • # Autre lien

    Posté par  (site web personnel) . Évalué à 10.

    Voir aussi http://jscript.dk/unpatched/(...) , qui parle des failles IE non corrigées pour l'instant, et aussi de la faille Netscape/Mozilla, en critiquant aussi le comportement de Netscape.
  • # c'est quoi ce délire ?

    Posté par  . Évalué à 10.

    ok il y a un bug dans Mozilla... mais pourquoi ces braves gens ne l'ont-ils pas signalé dans Bugzilla ????

    et ils ne manquent pas d'air lorsqu'ils conseillent d'utiliser "un navigateur moins buggué"... leur site expose en effet une sympathique liste de bugs non corrigés d'Internet Explorer ? http://sec.greymagic.com/adv/(...)

    ça sent les mecs qui se font de la pub à pas cher sur le dos d'un projet ouvert auquel il ne participent même pas !

    modérateur, svp, dénoncez-nous cette tartuferie :-]

    --
    Hervé
    • [^] # Re: c'est quoi ce délire ?

      Posté par  . Évalué à -10.

      Ils n'ont pas dit d'utiliser IE, ils ont dis d'utiliser un navigateur moins bugué.

      <troll>
      Ca veux dire qu'il faut utiliser konqueror ...
      </troll>
    • [^] # Re: c'est quoi ce délire ?

      Posté par  . Évalué à 10.

      ça sent les mecs qui se font de la pub à pas cher sur le dos d'un projet ouvert auquel il ne participent même pas !

      ouais, bof.
      Sur bugtrack les types disent bien qu'ils voulaient entrer en contact avec Netscape pour toucher leur 1000$. Comme les developpeurs de mozilla sont en grande partie TOUJOURS des employes de Netscape, le chemin vers bugzilla aurait pu etre fait en interne...

      La bonne question c'est plutot: pourquoi netscape n'a pas daigné répondre / ni avertir les developpeurs ???
      • [^] # Re: il vaut quand meme mieux laisser une trace

        Posté par  . Évalué à 10.

        chemin vers bugzilla aurait pu etre fait en interne

        En theorie, pourquoi pas.
        En pratique, et sur un projet ouvert, c'est quand meme sympa de laisser une trace! Et bugzilla est la pour ca, en plus de son utilisation de base qui est de permettre de rapporter facilement des descriptifs de bugs.

        Le bonjour chez vous,
        Yves
      • [^] # Re: c'est quoi ce délire ?

        Posté par  . Évalué à 10.

        Je suis peut-être une grosse feignasse/enflure, mais moi, si je recevais sur mon email un bugreport, alors que y'a marqué en GROS sur le site de mozilla comment les reporter, que y'a même un formulaire "light", etc, j'aurais tendance à me dire que le gars qui fait le bugreport est un gros boulet pas foutu de remplir un formulaire (quelques milliers de personnes sont déjà arrivés à remplir plus de 120 000 bugs quand même :)

        (-1, tout ça)
  • # Securite ??

    Posté par  . Évalué à -4.

    HS (je previens de suite :-)

    En parlant securite, pourquoi en faisant https://ip.publique.a.moi:1080(...) il me dit:
    Access to the port number given has been disabled for security reasons.

    C'est "builtin" ou parametrable par le prefs.js ou autre ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.