Noyau Linux, 3xpl01t r00t & DoS

Posté par  . Édité par Benoît Sibaud. Modéré par orebokech.
Étiquettes :
0
19
oct.
2001
Noyau
Un déni de service et un exploit root viennent d'être publiés.

Cela concerne les noyaux de la série 2.2.x x <= 19 et 2.4x x <= 9.
Le noyau 2.4.12 est OK.
Plus de détails dans le lien.

Note du modérateur: Les distributions commencent déjà à sortir des mises à jour, cf. liens supplémentaires.

Aller plus loin

  • # Ce sont des exploits locaux

    Posté par  . Évalué à 10.

    Aussi bien le DoS que le root exploit, il faut être utilisateur de la machine (je pense a toutes les machines linux installées dans les écoles, qui sont en train de subir les derniers outrages par des sale gosses :) ). Bon, ca fera l'occasion d'updater.

    le 2.4.12, il est propre comme noyau ? ca s'est calmé les problèmes qu'il y avait eut à l'époque des 3.4.10 / 2.4.11 ?

    • [^] # Re: Ce sont des exploits locaux

      Posté par  . Évalué à 10.

      Le 2.4.12 est mieux, mais il vaut peut-être mieux attendre le 2.4.13 AMHA. Pendant ce temps... killall -9 sshd ;)

      A propos, quand on dit que le 2.4.x, x <= 9 a des problèmes de DOS, ça me fait marrer, parce que ces noyaux avaient des VM tellement mauvaises qu'ils se DOSaient tout seuls...

      • [^] # Re: Ce sont des exploits locaux

        Posté par  . Évalué à 2.

        by R
        Le 2.4.11 avait un gros problème de sécurité.
        Dans le 2.4.10; il y avait un problème avec les symlinks.
        Le patch correctif dans le 2.4.11 devant corriger le problème était encore pire que le mal initial.

        Ce qui ce passait c'est que lors de la création d'un lien sur un fichier il pouvait arriver que l'inode du lien soit le même que le fichier d'origine. Ce qui aurait pu provoquer de sérieux dégats.

        Pour l'histoire, le 2.4.12 contient lui aussi un problème (parport) dont le patch est sortie 3 minutes après l'annonce du 2.4.12.

        Enfin, une bonne nouvelle, Linus en a profité pour ouvrir la branche 2.5.x.

        !!!!

        • [^] # Re: Ce sont des exploits locaux

          Posté par  . Évalué à 10.

          Correctif: ce n'est pas lors de la création d'un lien sur un fichier, mais lors de la création d'un fichier via un lien.

          En gros le problème survenait si tu fais un truc du genre:

          mkdir tmp
          cd tmp
          ln -s foo bar
          touch bar


          C'est à dire si tu as un lien (bar) qui pointe sur un fichier n'existant pas (foo) et que tu fais un open() avec O_CREAT sur le symlink.... Un cas qui arrive extrèmement rarement, sauf dans YAST 2 (qui fait cela sur /dev/mouse).

        • [^] # Re: Ce sont des exploits locaux

          Posté par  . Évalué à -2.

          [...]
          > Enfin, une bonne nouvelle, Linus en a profité pour ouvrir la branche 2.5.x.

          Elle doit être terriblement bien cachée parce
          que pour l'instant on ne voit rien sur kernel.org.

          --
          Ueimor

    • [^] # Re: Ce sont des exploits locaux

      Posté par  (site web personnel) . Évalué à -9.

      Perso je suis revenu a un 2.4.7 et mon AMD me dit merci, wait and see 2.4.13 ...

    • [^] # Re: Ce sont des exploits locaux

      Posté par  . Évalué à 6.

      ca s'est calmé les problèmes qu'il y avait eut à l'époque des 3.4.10 / 2.4.11 ?

      IPOT est beaucoup plus répandu que je ne le pensais ! ;)

    • [^] # Re: Ce sont des exploits locaux

      Posté par  . Évalué à -10.

      Hop ! Rien à voir, mais juste un mot pour dire que mon vote te fait franchir la barre des 1000 XPs.

      J'assiste donc en direct au sacre d'un "ABBE".

      Félicitations.

    • [^] # Re: Ce sont des exploits locaux

      Posté par  . Évalué à -9.

      non mais on attend tes patchs puisque tu as l'air si malin.

  • # Evidemment

    Posté par  (site web personnel) . Évalué à -10.

    C'est vraiment la merde tous ces trous de sécurité !
    A quand un OS entièrement Java(tm) ?
    Aller -1.

    • [^] # Re: Evidemment

      Posté par  (Mastodon) . Évalué à -5.

      A quand un OS entièrement Java(tm) ?

      Laisse le temps à Ingrid d'apprendre la Java(r)(c)...


      --
      tTh, hop -1 !

    • [^] # Re: Evidemment

      Posté par  . Évalué à -2.

      C'est pas Sun qui voulait faire un Solaris en java?

      • [^] # Re: Evidemment

        Posté par  . Évalué à -5.

        Mon dieu, deja que solaris est surnommé slowlaris !

        • [^] # Re: Evidemment

          Posté par  . Évalué à -2.

          Mon dieu, deja que solaris est surnommé slowlaris !

          Ce surnom désigne en fait la version PC de Solaris, par Solaris sur sparc. Et c'est plutot à propos d'anciennes versions, apparemment ça s'est bien amélioré...

          • [^] # Re: Evidemment

            Posté par  . Évalué à 2.

            Si tu parles de Solaris 8, ça reste bien Slowlaris.
            Dans l'endroit où je travaille, les PC sont sous Solaris 8,
            ce qui nous laisse le temps de faire des pauses café entre
            deux 'ls' et des sorties à la campagne en attendant que
            Netscape se lance. Bon j'exagère un tout petit peu, mais
            c'est presque ça. Franchement rien de mieux que Linux sur
            une station de travail de type PC.

            • [^] # Re: Evidemment

              Posté par  . Évalué à -1.

              ok, en tous cas "Slowlaris", ça reste pour les PC, parce que l'ai j'en ai un sur Sun et c'est vraiment très rapide.

              • [^] # Re: Evidemment

                Posté par  . Évalué à -2.

                Clair. Chez nous, on a également des stations Ultra 5, et Solaris
                y est rapide.

                • [^] # Re: Evidemment

                  Posté par  . Évalué à 1.

                  Je confirme : Solaris sur x86, C'est une Mauvaise Idée (TM).

      • [^] # Re: Evidemment

        Posté par  . Évalué à -1.

        Ca s'appellai JavaOS c'était dans l'optique d'un proc capable d'exécuter du bytecode

    • [^] # Re: Evidemment

      Posté par  (site web personnel) . Évalué à -2.

      C'est clair que avec un OS java(r)(tm)(c), tout serait tellement lent que les script kiddies n'auraient pas la patience d'exploiter les nombreux trous de sécurité... (bon -1 aussi)

  • # Utilisateurs de Debian : pas de root exploit

    Posté par  . Évalué à -10.

    lu sur BugTraQ :
    "II. Root compromise by ptrace(3)
    In order for this flaw to be exploitable, /usr/bin/newgrp must be setuid root and world-executable."

    Que ce soit sous Woody ou sous Potato :

    $ ls -l /usr/bin/newgrp
    -rwsr-xr-x 1 root root 19132 Aug 22 18:33 /usr/bin/newgrp

    Il n'y a donc à priori pas de problème de ce côté. Mais restons vigilants ...

    • [^] # Re: Utilisateurs de Debian : pas de root exploit

      Posté par  . Évalué à 10.

      $ ls -l /usr/bin/newgrp
      -rwsr-xr-x 1 root root 19132 Aug 22 18:33 /usr/bin/newgrp

      le s en 4ème position veut dire: setuid root
      le x en 10ème position veut dire world-executable.

      Donc, c'est exploitable sous Debian non?

      • [^] # Re: Utilisateurs de Debian : pas de root exploit

        Posté par  . Évalué à -1.

        Ouh-là. La Honte.

        Tiens, mériterait que je m'auto-flagelle en public.

        Bon, fatigué moi. Allez, hop, une aspirine et au lit.

        Merci de scorer en négatif mon message précédent, pour la peine !


        Leto, pour qui décidément ce n'est pas la semaine ...

      • [^] # Re: Utilisateurs de Debian : pas de root exploit

        Posté par  (site web personnel) . Évalué à -3.

        L'exploit ne fonctionne pas en effet sous Debian. Ce qui ne signifie pas que Debian n'est pas vulnérable à cette faille (par une autre exploit par ex.).
        Si qq en à une ?

      • [^] # Re: Utilisateurs de Debian : pas de root exploit

        Posté par  . Évalué à -3.

        Ayant lu dans la bugtrack que :
        /usr/bin/newgrp must be
        setuid root and world-executable.

        j'ai fait un truc super compliqué pour avoir ca :
        ll /usr/bin/newgrp
        -rws--x--- 1 root root 5460 avr 8 2001 /usr/bin/newgrp

        j'ai reflechi hyper longtamps :)
        est-ce que comme ca je ne crains rien ?
        et surtout qu'est ce que cela pourrait empecher
        de faire aux user ?
        je ne connaissais meme pas cette cmde, donc je me
        suis fait un ti RTFM et d'après ce que j'y ai
        compris les user ne pourront pas changer de goupe ?
        bé ... euh ... ouais je préfère en fait :)
        je suis en 2.4.9...

    • [^] # Re:pas de root exploit -> Debian rouleZ

      Posté par  . Évalué à -10.

      . .

    • [^] # Re: Utilisateurs de Debian : pas de root exploit

      Posté par  . Évalué à -2.

      Les utilisateurs de Debian, ils roulaizent grave, jusque dans la lecture de leur ls...

  • # Heu...

    Posté par  (site web personnel) . Évalué à 7.

    Et quid du 2.0.x ???

    Par ce que là, ça fait quand même beaucoup de noyaux à ne pas utiliser... tous les 2.2.x (car il n'y en a que 19) et dans les 2.4.x, il ne reste que le 10, le 11 et le 12 qu'il ne faut pas utiliser pour les problèmes que l'on connait (voir un autre post plus haut).

    Donc, on peut utiliser quelle version ?

    • [^] # Re: Heu...

      Posté par  . Évalué à 8.

      Il y a des patches pour le 2.2.19, donc tu peux utiliser le 2.2.19 patché.

      Sinon d'après la news bugtrack, les 2.0.x ne sont pas affectés

    • [^] # Des patches, des patches oui mais...

      Posté par  . Évalué à 4.

      Euh oui, je n'ai pas pu m'empêcher pour le titre...

      Sérieusement tu peux utiliser le 2.2.19 avec les patches parus sur bugtrak et publiés par Linus himself.
      Sinon utilise le 2.4.12 avec le patch pour corriger le pb du parport. Ou bien utilise les patches ac (le dernier est le ac-3 je crois) qui règlent ce pb et ajoutent qques modifs. cf :
      ftp://ftp.kernel.org/pub/linux/kernel/people/alan/linux-2.4/2.4.12(...)


      Exemple : tu fais un copier/coller de la sortie du diff en fin de l'article de bugtrack dans le fichier ah_je_me_sens_mieux (par exemple).
      Tu places ce fichier dans /usr/src (ou dans le rép. parent du rép dans lequel tu as les sources de ton noyal).
      ensuite tu tapes :
      patch -p0 < ah_je_me_sens_mieux
      Et tu recompiles ta kernelle.
      Même chose avec les ac-x !

    • [^] # Re: quelle version utiliser

      Posté par  . Évalué à -1.

      Donc, on peut utiliser quelle version ?

      3.0 bien entendu, d'OpenBSD.

      --
      Même pas honte.

      • [^] # Re: quelle version utiliser

        Posté par  . Évalué à 5.

        Sans vouloir lancer^K rentrer dans un troll, un certains nombres de 'race conditions' (pouvant mener à des exploits) ont été couvert il y a pas si longtemps dans OpenBSD (une news est même passée sur DLFP je crois).

        Tout ça pour dire qu'aucun OS n'est parfait ni exempt de bugs...

      • [^] # Re: quelle version utiliser

        Posté par  . Évalué à -8.

        il ne faut pas utiliser *BSD . Si la GPL a été mise au point c'est pas pour les chiens.

        • [^] # Re: quelle version utiliser

          Posté par  . Évalué à -1.

          Note au passage : la GPL t'empêche de redistribuer un programme GPL sous une licence autre que le GPL. Donc la GPL est restrictive (dans ce sens).
          A l'opposé, la license BSD ne présente aucune restriction de ce genre.
          Evidemment, le débat des licences reste une question d'opinion / de gout, largement influencée par une part non négligeable de subjectivité (dans certains cas) et surtout ca dépend de ce que veux (ou ne veux pas) permettre à d'autres de faire avec ton logiciel.

          Par contre, il ne fait aucun doute que ta réponse est largement immature.

          • [^] # Re: quelle version utiliser

            Posté par  . Évalué à 4.

            Note au passage : la GPL t'empêche de redistribuer un programme GPL sous une licence autre que le GPL.

            Evidemment, puisqu'un programme devrait etre indissociable de sa licence. La GPL est la meilleure licence pour du logiciel libre, et la BSD est la meilleure pour du code libre. Et il y a une nuance entre les deux.

            Donc la GPL est restrictive (dans ce sens).

            Ce n'est pas une restriction. Le logiciel c'est le logiciel, ce n'est pas son code.
            Et tu oublies un peu vite que la BSD est plus "restrictive" que la GPL sur le copyright. Au moins la GPL souhaite que les logiciels n'appartiennent à personne. Avec la BSD tu dois conserver les notices de copyright.

            A l'opposé, la license BSD ne présente aucune restriction de ce genre.

            Eh bien si, je n'ai pas le droit d'omettre les notices de copyright d'un code BSD, meme si la licence que je souhaite utiliser ne me l'impose pas, comme par exemple la GPL.

            • [^] # Re: quelle version utiliser

              Posté par  . Évalué à 1.

              « demment, puisqu'un programme devrait etre indissociable de sa licence. »

              faux.
              ex : un logiciel dans domaine publique est dissociable de sa licence.

              « La GPL est la meilleure licence pour du logiciel libre, et la BSD est la meilleure pour du code libre. Et il y a une nuance entre les deux. »

              qu'est-ce qu'un logiciel sinon du code ?

              « Ce n'est pas une restriction. Le logiciel c'est le logiciel, ce n'est pas son code. »

              qu'est-ce qu'un logiciel sinon du code ?

              la GPL est restrictive, ce n'est pas un problème, c'est même un avantage. On ne peut se lier à des bibliothèques GPL lorsqu'on fait du propriétaire, ça incite à faire du libre dans le cas de bibliothèque qui proprose des choses qui n'ont pas d'équivalent en bibliothèque propriétaire.
              Lorsque les bibliothèques libres ne propose rien de plus que des équivalent propriétaire, alors il peut être sensé d'utiliser la Lesser GPL pour inciter les gens à utiliser celle-ci.

              ( plus de détails à http://www.gnu.org/philosophy/why-not-lgpl.fr.html(...) )

              Concernant la licence BSD, celle généralement utilisée est la BSD modifié qui n'a plus l'obligation de la clause publicitaire.

              ( plus de détails à
              http://www.gnu.org/philosophy/license-list.fr.html(...) )

              • [^] # Re: quelle version utiliser

                Posté par  (site web personnel) . Évalué à 3.

                > qu'est-ce qu'un logiciel sinon du code ?
                Il songeait peut-être à :
                * la documentation ?
                * les données éventuelles ?
                (* les dongles ?)

                <aparté>
                Ne pas dissocier doc et code me paraît important sachant que les développeurs aiment bien coder mais pas documenter, avec tous les problèmes que cela pose par la suite. Il n'y aurait pas/moins besoin de http://linuxdoc.org(...) (et http://traduc.org(...) du coup) si les codeurs se préoccupaient plus de la doc. Il y aurait moins de pages de man, de pages info, etc obsolètes.
                </aparté>

                • [^] # Re: quelle version utiliser

                  Posté par  . Évalué à 2.

                  Il songeait peut-être à :
                  * la documentation ?
                  * les données éventuelles ?
                  (* les dongles ?)

                  non ce n'est pas ça, mais logiciel et code (libres) sont différents.

                  Les 4 règles du logiciel libre, appliquées à un logiciel, donnent de manière évidente la GPL, avec sa prétendue restriction

                  Les même libertés appliquées au code uniquement, donnent par exemple la BSD.

                  Simplement parce que le logiciel est une entité en soi, que c'est de lui qu'on parle dans le logiciel libre. Donc si on le modifie, c'est une modification du logiciel initial (donc en gardant sa licence). Il ne s'agit pas de le désosser pour en récupérer des morceaux et faire autre chose (relire les 4 libertés), mais de le modifier. Dans la licence BSD c'est par contre le code qu'on souhaite laisser à tout le monde, et donc en se débarassant des contraintes de licence.

                  Code et logiciel ne sont la meme chose que physiquement, pas dans leurs définitions ni ce qu'ils représentent.

              • [^] # Re: quelle version utiliser

                Posté par  . Évalué à 2.

                > « demment, puisqu'un programme devrait etre
                > indissociable de sa licence. »

                > faux.

                Apprends à lire. "Devrait" c'est du conditionnel, je ne l'ai pas employé pour rien.
                Et le dp est évidemment un cas particulier puisque précisémment on se débarasse de la notion de propriété.

                > qu'est-ce qu'un logiciel sinon du code ?

                Quelque chose qui répond à une spécification. En cela il n'est pas possible de le morceler. C'est une entité en soi. Le code est la source d'un logiciel, dont on peut extraire uniquement certaines parties.

                > qu'est-ce qu'un logiciel sinon du code ?

                Réponse ci-dessus. C'est pourtant trivial.

                [snip]

                Ton paragraphe et ton "plus de détails..." sur les intérets de la GPL sont connus de tout le monde et totalement HS dans cette discussion. C'est la chasse aux XP ? Idem pour ce qui concerne la BSD, ou alors ce n'est pas à moi que tu voulais répondre.

  • # votez pour moi !!!

    Posté par  (site web personnel) . Évalué à -10.

    je suis collectionneur d'XP, alors...
    VOTEZ POUR MOI !!! [+]
    merci :-)

    • [^] # Re: votez pour moi !!!

      Posté par  . Évalué à -8.

      Bien joué, t'as quand même gagné 4 XP avec ce post. C'est pas négligeable.

      • [^] # Re: votez pour moi !!!

        Posté par  . Évalué à -1.

        Ben oui il y a une vingtaine de gros cons qui sont passés par ici et qui ont voté [+].
        le jour ou les gens comprendront que [+] signifie "ce message a un rapport avec la news et est interessant, vous devriez le lire" ca ira peut etre mieux...

        • [^] # Re: votez pour moi !!!

          Posté par  . Évalué à 2.

          Oui, mais bon, il a aussi un désavantage, c'est de ne pas aider les débutants. Pour preuve, regardez les XP des personnes uii postent. je pense que les personnes qui n'ont pas beaucoup d'XP ne postent pas de peur de les perdre, ou postent en annonyme. Mais elles ont autant le droit de voter que les autres.

          Ou peut etre qu'ils ont peur de se trouver ridicules a coté du nombre d'XP énorme de certains d'entre vous. Dans tous les cas je trouve ca dommage.

          N'empeche que le systeme est assez bien fait, voire tres bien fait. En effet, le post plus haut n'a ni gagné, ni perdu d'XP (j'étais sur la tribune au moment de ce post, donc je connais l'histoire). les personnes qui auraient été la bas a ce moment auraient compris. J'ai voté [+] pour lui, et ca n'a rien changé, le post est masqué, c'est le principal.

          il aurait pu passer un commentaire plus intelligent c'est vrai.

          je ne vote jamais pour annonyme, ni [-]. D'autres qui ont plus de votes que moi s'en chargent tres bien. Je réserve mes votes pour les personnes qui ont moins d'XP que moi, et uniquement [+]. Même si le post de la personne qui a moins que moi est inninteressant. La plupart du temps il est scoré a -3 voire -4, donc rajouter un [+] a la personnes a des chances de faire monter son XP, sans pour autant que son post soit affiché en entier. Exception faite pour un commentaire particuliairement interessant, ou un commentaire contesté d'un avis que je partage.

          je n'invite pas tout le monde a faire comme moi. c'est juste ma manière de voter.

          Voila comment je fait, et si ca vous plais pas, tant pis. en tout cas, pour votre affichage, ca ne change rien, et ca donne des XP a ceux qui n'en ont pas beaucoup.

          Pas évident de ne pas avoir beaucoup d'XP sur linuxfr.

          -1 car c'est pas le sujet de la niouze

          • [^] # Re: votez pour moi !!!

            Posté par  . Évalué à 0.

            > Oui, mais bon, il a aussi un désavantage, c'est de ne pas aider les débutants. Pour preuve, regardez les XP des personnes uii postent. je pense que les personnes qui n'ont pas beaucoup d'XP ne postent pas de peur de les perdre, ou postent en annonyme. Mais elles ont autant le droit de voter que les autres.

            Juste.

            Pour ma part, je ne poste jamais en anonyme et je vote rarement. Donc je me fout complètement de mon nombre d'XP. Du moment que je peux donner mon avis c'est OK.

            Donc, si çà vous démange, n'hésite pas à cliquer sur [-].

            Et là je fais exprès de ne pas me scoré -1.

          • [^] # Re: votez pour moi !!!

            Posté par  . Évalué à 3.

            Le problème avec ton utilisation des votes est qu'il ne permet pas de faire ressortir les commentaires interressants.
            En pratique, on voit régulièrement des commentaires interressants scorés - parceque bcp de personnes ne sont pas de son avis. Alors que d'autres sont scorés + alors qu'ils n'apportent pas grand chose (on voit souvent des paraphrases d'un post pour y répondre).

            Bon -1 parceque c'est HS aussi

          • [^] # Re: votez pour moi !!!

            Posté par  (site web personnel) . Évalué à 7.

            L'XP n'est pas sensée être un but en soi.
            Elle vient toute seule si tu te connectes tous les jours et que tu postes des commentaires non débiles de temps en temps. L'idée est que les gens qui savent ecrire un commentaire interessant sont plus capables de juger si un commentaire est interessant que les gens que ca amuse d'ecrire prout dans les commentaires. Il est donc normal qu'ils aient plus le droit de voter.

            Ensuite le score d'un commentaire sert à trouver rapidement ceux qui sont intéressants parmi les centaines de commentaires. Si tu votes [+] pour un commentaire inintéressant ca pousse les gens à le lire c'est donc très con comme comportement.

            ca donne des XP a ceux qui n'en ont pas beaucoup
            Peut etre ne meritent t'ils pas d'en avoir plus, surtout si leurs commentaires sont scorés à -3 ou -4 ! Je trouve personnelement que l'XP augmente deja trop vite et ne diminue pas assez quand on se prend des [-].

            -1 parce que ça n'a rien a faire ici mais je pense qu'il faudrait faire passer une news d'appel à discussion sur le sujet.

    • [^] # Re: votez pour moi !!!

      Posté par  . Évalué à -2.

      Bravo -25 tu viens de perdre à peu près la moitié des points que tu avais !!!!

      • [^] # Re: votez pour moi !!!

        Posté par  . Évalué à -2.

        C'est t'es pas venu à l'idée que c'était une chasse aux gros cons. Remarque tu es loin d'être le seul à ne pas avoir compris, ca ne console pas je sais mais au moins tu ne te sens pas seul.

    • [^] # Re: votez pour moi !!!

      Posté par  (site web personnel) . Évalué à -1.

      Bon, daccord, j'ai bien compris la leçon,
      je ne polluerais plus avec des messages débiles.
      et pour faire pénitence, je score à -1

      p.s: votez pour moi !!
      ;-)

  • # Une impression de 'Déjà vu'...

    Posté par  . Évalué à 10.

    Il y avait déjà eu une alerte pour un exploit local d'un ptrace sur un exécutable 'suid root' il y a quelque temps. Les 2.4 (et le 2.2.19) y étaient, à l'époque, insensibles.
    Quelle est la différence entre les deux 'exploit' ? je ne suis pas expert en sécurité, mais j'aimerais bien comprendre...

  • # Patches

    Posté par  . Évalué à 10.

    Profitons-en pour rappeler l'existence de patches pour linux afin d'en renforcer la securite:
    LIDS (2.4 et 2.2): http://www.lids.org(...)
    OpenWall (2.2): http://www.openwall.com/linux(...)

    • [^] # Re: Patches

      Posté par  . Évalué à 6.

      sans oublier grsecurity http://www.grsecurity.net/(...)

    • [^] # Re: Patches

      Posté par  . Évalué à 5.

      Heu... LIDS et OpenWall c'est pas proteger la machine d'attaque, mais par contre ca ne fait rien si la personne à un acces physique à la machine, vaut donc mieux patcher le noyau avec les correctifs.

      • [^] # Re: Patches

        Posté par  . Évalué à 6.

        Bien entendu, il vaut mieux patcher avec les correctifs du kernel, neanmoins de maniere preventive les patches comme LIDS, Openwall et GrSecurity permettent de limiter parfois les degats. Je pense que la protection de la pile d'execution et le renforcement des systemes de fichiers concernent les machines accessibles physiquement, enfin, ca depend ce que tu appelles acces physique a la machine (ca n'empeche pas les DOS a la batte de base-ball)

  • # Securite basique d'une machine

    Posté par  (site web personnel) . Évalué à 2.

    Je rappelle quand meme qu'il existe un bon moyen, facile et pas cher, de securiser l'immense majorite des machines : n'avoir aucun serveur et aucun port ouvert. C'est d'ailleurs comme ca que la plupart des distros sont installees (meme en mode neuneu). Apres l'install, il suffit d'installer nmap, de faire un "nmap localhost" pour verifier que rien n'a ete fait dans notre dos, et hop.

    Je me demande bien comment les mechants hackers font pour hacker une machine qui n'a aucun serveur et aucun port ouvert (la machine typique chez soi pour faire du net occasionel avec un modem).

    • [^] # Re: Securite basique d'une machine

      Posté par  . Évalué à 10.

      Sauf que ici, il s'aagit plutot de problemes concernant la machine multi utilisateurs, avec des droits, des dossiers sensibles, etc, etc....

      Meme si tu n'as *AUCUN* service ouvert, un super firewall de la mort qui tue et que de toutes fafcons t'as debranché la carte réseau, n'importe quel utilisateur local peut (au choix) +- figer la machine ou avoir un acces root....


      Pas cool....


      A +

      VANHU.

      • [^] # Re: Securite basique d'une machine

        Posté par  (site web personnel) . Évalué à 10.

        Je ne connais pas de moyen d'avoir une machine multi-utilisateurs fonctionnelle pour une tache comme le developpement, et insensibles aux DoS.

        Un DoS tres simple est un tres simple programme qui fait des fork et des malloc rapides et brutaux. Une machine qui possede beaucoup de swap (genre les serveurs) freeze en beaute, et est irrecuperable. Apparemment quand t'as pas, ou pas trop de swap tu peux reussir a reprendre la main mais c'est chaud. La seule maniere de lutter contre ca, a priori, est d'utiliser ulimit (man bash / search ulimit), mais si tu fais cela tu peux dire au revoir au developpement pour lequel tu as besoin de plusieurs centaines de Mo de memoire pour compiler certains logiciels, par exemple du C++ avec des template en -O3.

        Apres quelques tests j'avais trouve que les limites suivantes permettaient de ne pas se faire niquer par un DoS a base de fork et malloc mais bien sur tu peux plus rien faire en utilisateur normal.

        # (/etc/services) fuck them all except root and me
        if [ "$UID" != "0" ] && [ "$UID" != "576" ]; then
        ulimit -t 1
        ulimit -u 5
        ulimit -v 5000
        ulimit -s 1000
        ulimit -n 15
        ulimit -f 1000
        ulimit -d 1000
        ulimit -l 1000
        ulimit -m 500
        echo "Consult your ulimit before any work on this host :-)"
        fi

        • [^] # Re: Securite basique d'une machine

          Posté par  . Évalué à 10.

          Ca y est! On a trouvé la véritable identité du BOFH!

        • [^] # Re: Securite basique d'une machine

          Posté par  . Évalué à 2.

          Sous FBSD, je pense à /etc/login.conf (login classes) et en particulier aux flags suivants :
          maxproc : Maximum number of processes.
          memoryuse : Maximum of core memory use size limit.

          Enfin, c'est juste une suggestion...

        • [^] # Re: Securite basique d'une machine

          Posté par  . Évalué à 8.

          Sous Linux (Debian woody/sid en tout cas, je ne suis pas sur pour les autres, mais je pense que c'est pareil), il y a un fichier /etc/security/limits.conf où l'on peut fixer ce genre de limites une fois pour toutes

          • [^] # Re: Securite basique d'une machine

            Posté par  (site web personnel) . Évalué à 4.

            Existe en potato aussi.

            #<domain> <type> <item> <value>
            #
            #Where:
            #<domain> can be:
            # - an user name
            # - a group name, with @group syntax
            # - the wildcard *, for default entry
            #
            #<type> can have the two values:
            # - "soft" for enforcing the soft limits
            # - "hard" for enforcing hard limits
            #
            #<item> can be one of the following:
            # - core - limits the core file size (KB)
            # - data - max data size (KB)
            # - fsize - maximum filesize (KB)
            # - memlock - max locked-in-memory address space (KB)
            # - nofile - max number of open files
            # - rss - max resident set size (KB)
            # - stack - max stack size (KB)
            # - cpu - max CPU time (MIN)
            # - nproc - max number of processes
            # - as - address space limit
            # - maxlogins - max number of logins for this user
            # - priority - the priority to run user process with

            • [^] # Re: Securite basique d'une machine

              Posté par  . Évalué à 1.

              Mouais, mais (sauf horreur de ma part) c'est des limitations mises en place par ulimit, donc qui s'appliquent à chaque process (pour la memoire/la taille de pile/etc...), et non a chaque utilisateur.

              Du coup, c'est beaucoup moins utilisable en production !!


              A +

              VANHU.

              • [^] # Re: Securite basique d'une machine

                Posté par  . Évalué à 2.

                > c'est des limitations mises en place par ulimit, donc qui s'appliquent à chaque process

                C'est vrai pour la plupart des limites (mémoire, temps cpu) mais pas pour d'autres (nombre de processus simultanés et nombre maximal de login).

                Par contre il faut voir que c'est géré par PAM, et donc il faut que le module pam_limits.so soit chargé. Voir les fichiers /etc/pam.d/* (sur ma Debian Sid il était bien chargé pour ssh mais pas pour su...)

    • [^] # Re: Securite basique d'une machine

      Posté par  (site web personnel, Mastodon) . Évalué à -6.

      Installation mode "neuneu" chez Mandrake, ca m'étonne un peu qu'aucun serveur ne soit installé et qu'il n'y ait pas une chiée de ports ouverts. Enfin, j'avoue dire ca gratuitement sans avoir testé une Mandrake. Mais bon, connaissant leur politique de simplification pour l'utilisateur lambda ...

      • [^] # Re: Securite basique d'une machine

        Posté par  (site web personnel) . Évalué à 3.

        Le mieux serait donc que tu essaies avant de parler dans le vide...

        • [^] # Re: Securite basique d'une machine

          Posté par  . Évalué à 7.

          Mon port 6000 (X) est ouvert avec une mdk 8 installée en secure, mais sans lancer bastille derriere (donc, comme tu le dit, installée par defaut).

          • [^] # Re: Securite basique d'une machine

            Posté par  (site web personnel) . Évalué à 1.

            Ca pose quel probleme ? Je suis pas expert X mais a priori il me semble que c'est necessaire pour que les clients X puissent demarrer (e.g. se connecter au serveur local). Il y a la Xauthority par derriere.

            • [^] # Re: Securite basique d'une machine

              Posté par  . Évalué à 6.

              Si tu veux, mais il est beaucoup plus sûr, à mon avis, de fermer le port plutôt que de faire "confiance" à une authentification dans laquelle tu pourrais te retrouver avec des exploits genre buffer overflow ou autres trucs sympathiques.

              • [^] # Re: Securite basique d'une machine

                Posté par  . Évalué à 7.

                D'autant plus qu'XFree possede un parametre --nolisten qui lui permet de ne pas se mettre en ecoute réseau, il n'est donc accessible que par les applications locales (display=:0)

                • [^] # Re: Securite basique d'une machine

                  Posté par  . Évalué à 5.

                  Ce qui est l'installation par défaut sur Debian (à partir de woody).
                  Et pour utiliser des applications à distance ? bin, ssh...

                  • [^] # Re: Securite basique d'une machine

                    Posté par  . Évalué à 10.

                    SSH le fait tout seul comme un grand le X fw;
                    en gros, il setup un "faux" serveur X (DISPLAY=":10" iirc), puis il tunellise tout ca vers ton serveur X a toi tout seul en -nolisten

                    C ptet des conneries, mais c de toute façon a peu près ca ..

                    • [^] # Re: Securite basique d'une machine

                      Posté par  . Évalué à 8.

                      En gros, il forwarde le port 6010 de la machine sur laquelle il se connecte au port 6000 de la tienne par forwarding de port.
                      A ça, il ajoute une configuration d'authentification (via xauth), ce qui empêche toute autre connection au port sans une clé.

                      PS: ah, au fait, ssh, c'est interdit en France...

            • [^] # Re: Securite basique d'une machine

              Posté par  . Évalué à -2.

              Ca pose quel probleme ? Je suis pas expert X mais a priori il me semble que c'est necessaire pour que les clients X puissent demarrer (e.g. se connecter au serveur local). Il y a la Xauthority par derriere.

              Le mieux serait donc que tu essaies avant de parler dans le vide...

    • [^] # Re: Securite basique d'une machine

      Posté par  . Évalué à 10.

      Je vois pas trop l'intérêt de lancer nmap sur localhost, mais il a peut-être des fonctionnalités que je ne connaît pas. Ceci dit pour connnaitre les ports ouverts sur sa bécane, un simple
      $ netstat -tl
      suffit.

      • [^] # Re: Securite basique d'une machine

        Posté par  . Évalué à 10.

        perso, je préfère :

        # netstat -atup

        t : TCP, u : UDP, p : affiche le PID qui bind le port, a : affiche toutes les sockets ouvertes (les LISTEN et les non-listen).

      • [^] # Re: Securite basique d'une machine

        Posté par  . Évalué à 4.

        nmap a moins de chances d'avoir été patché que netstat au cas où ta machine a été hackée et un rootkit installé. Donc ça te donne des infos si par exemple les ports de netstat -tln ne correspondent pas aux ports donnés par nmap.

  • # une autre raison de ne pas utiliser le 2.4.10

    Posté par  . Évalué à 10.

    Sur les 2.4.10 standard et certains -ac , la machine peut etre rebootee en lancant l'appli vmlinux en tant que _simple_ utilisateur.

    (vmlinux est le binaire que l'on trouve apres compilation du noyau dans /usr/src/linux/...)

    [source:
    lkml vers le 2/10/2001 un mail de Carles Pina i Estany <is08139@salleURL.edu>]

    URL: http://www.salleurl.edu/~is08139/hang.html(...)

    Reste donc a upgrader en 2.4.12...

    • [^] # Re: une autre raison de ne pas utiliser le 2.4.10

      Posté par  . Évalué à 8.

      Je te remercie, ca m'est arrivé l'autre jour et je trouvais ca drolement chelou sans trouver aucun site qui en parlais. J'allais faire un rapport mais si ca a été corrigé...

      PS : oui je sais il faut être sacrément tordu pour vouloir executer vmlinuz mais bon c'est la preuve qu'un trou de sécurité, aussi caché soit-il sera toujours trouvé (Vive les LL)

  • # "*BSD roulaize grave" ???

    Posté par  . Évalué à 10.

    Il n'a pas dut lire l'article de BUGTRAQ parce qu'il y a un passage qui dit :
    "... Do you remember the exploit against *BSD procfs, published in January 2000 [URL]. This one is very similar ...". Alors ton Dept. est legerement mal approprié a la situation ... sinon je t'en veux pas et pour la peine je te laisse me scorer a -100 ... vas y ça te fera du bien.

    • [^] # Re: "*BSD roulaize grave" ???

      Posté par  . Évalué à -3.

      Ouais il aurait du mettre OpenBSD roulaize ;)

      • [^] # Re: "*BSD roulaize grave" ???

        Posté par  . Évalué à 2.

        Ca c'est sûr, parce que pour IPTables/Netfilter il y a encore du boulot:
        http://neworder.box.sk/showme.php3?id=5739(...)

        :-))

        Pour les gens pressé, voici le patch:

        --- linux-2.4.9/net/ipv4/netfilter/ipt_mac.c Tue Oct 2 18:50:56 2001
        +++ linux-2.4.9-ipt_mac-fix/net/ipv4/netfilter/ipt_mac.c Tue Oct 2
        19:32:20 2001
        @@ -20,7 +20,7 @@

        /* Is mac pointer valid? */
        return (skb->mac.raw >= skb->head
        - && skb->mac.raw < skb->head + skb->len - ETH_HLEN
        + && (skb->mac.raw + ETH_HLEN) <= skb->data
        /* If so, compare... */
        && ((memcmp(skb->mac.ethernet->h_source, info->srcaddr, ETH_ALEN)
        == 0) ^ info->invert));

    • [^] # Re: "*BSD roulaize grave" ???

      Posté par  . Évalué à -1.

      Sauf que par défaut, sur un *BSD, procfs n'est pas monté.

      Merci d'avoir joué :-))

      • [^] # Re: "*BSD roulaize grave" ???

        Posté par  . Évalué à -2.

        De toute façon c'est moi qu'ait la plus grosse...
        Merci d'arrêter de comparer vos sexes messieurs

  • # Marche pas :-/

    Posté par  . Évalué à 0.

    Ne perdant jamais l'occasion de faire suer l'administrateur de mon ecole, je me suis precipité sur le script utilisant les simlinks.. rien à dire: ca marche bien.. machine vautrée comme une grosse otarie bourrée à la biere...
    Donc le 2.2.16 d'une Slackware 7.1 est bien vulnérable.
    Par contre, sur un kernel 2.4.4, le root-shell-exploit renvoi comme erreur "attached" ce qui constitue formellement d'apres les sources, une erreur du script. Est-ce que reelement tous les noyaux <= 2.4.9 sont vulnérable..?

    • [^] # Re: Marche pas :-/

      Posté par  . Évalué à 1.

      pareil j'ai pas reussi a le tester
      est ce que tu as bien fais:
      #objdump -h /usr/bin/newgrp | grep .bss
      pour recuperer la valeur du define?

      • [^] # Re: Marche pas :-/

        Posté par  . Évalué à 2.

        Non, je n'ai pas touché la valeur par defaut parceque à vrai dire je ne sais pas par quoi la remplacer :)

        • [^] # Re: Marche pas :-/

          Posté par  (site web personnel) . Évalué à -1.

          Le dessinateur a malencontreusement commis des erreurs en reproduisant l'image originale. Aide Deubeuliou^WMalabar à les retrouver...

          Plus sérieusement, le programme marche à merveille si on a compris son fonctionnement, qui est expliqué en détail sur bugtraq. Tu as sûrement déjà décelé ta petite confusion entre perror("attach") et fprintf(stderr, "attached\n"). Ce message signifie que la primitive ptrace() a réussi à s'attacher au processus cible. Si le "bash#" n'apparait pas, c'est que l'erreur est après (dans le temps, pas forcément dans le source).
          Et je confirme, la debian est bel et bien vulnérable à cette attaque (kernel 2.2.7).

          Et hop, -1 pour la vanne qui n'est pas forcément de bon goût pour tout le monde :-P

    • [^] # Re: Marche pas :-/

      Posté par  . Évalué à 2.

      ça c'est du beau script kiddie nourri au grain !

    • [^] # Re: Marche pas :-/ [OT]

      Posté par  . Évalué à -1.

      [...] machine vautrée comme une grosse otarie bourrée à la biere...

      Oublie pas le (C) quand tu écris des choses comme ça, voyons :)

      • [^] # Re: Marche pas :-/ [OT]

        Posté par  . Évalué à 1.

        Il est vrai, autant pour moi, rendons a cesar ce qui lui appartient, cette expression est bien sur tiré de la fausse pub des Nuls que tout le monde aura reconnu: "Le Gamelle Trophy".

  • # Répeonse à votre article.

    Posté par  . Évalué à -10.

    Monsieur,

    dans votre dernière livraison vous consacrez plusieurs pages et votre couverture à un article intitulé « Lire le Coran ».
    Permettez-moi de m’interroger.

    Ne pensez-vous pas à votre corps défendant être instrumentalisés par nos ennemis ? Ceux-ci cherchent entre autre, comme vous le savez, à ré-islamiser nos immigrés et à répandre leur idéologie auprès des Européens.
    Avez-vous titré « Lire le Capital » pendant la répression du printemps de Prague ? Ou « Lire Das Kampf » au matin de la nuit de cristal ? Je ne pense pas.
    De plus conscients des menaces terroristes, votre critique de l’islam ne peut être que nul. Pour votre sécurité, vous en êtes réduit à vous censurer vous-même.

    La connaissance des cultures étrangères est toujours distrayante, et s’il ne faut pas bien sur confondre Islam et terroristes. Mais les temps ne sont plus à la distraction.

    Veuillez agréer, etc...

    • [^] # Re: Répeonse à votre article.

      Posté par  . Évalué à 2.

      La drogue, ce fléau planétaire...

      • [^] # Re: Répeonse à votre article.

        Posté par  (site web personnel) . Évalué à -2.

        Que pensez vous de faire disparaitre un commentaire et son thread dès qu'il passe sous un certain score (-10) par exemple ?
        Parce que bon, parfois il y en a qui se croient sur telerama.fr et qui lisent Minute.

        • [^] # Re: Répeonse à votre article.

          Posté par  . Évalué à 0.

          Je comprends ta réaction mais ça ne me parait pas acceptable de supprimer automatiquement des posts. Par contre ajouter un seuil de visibilité à -4*$NORM par exemple, pourquoi pas...

          • [^] # Re: Répeonse à votre article.

            Posté par  (site web personnel) . Évalué à 1.

            faut faire gaffe parcequ'avec les trolls actuels on va atteindre $NORM = -1 et -4 * -1 = 4 donc ca virerait les commentaires avec moins de 4 donc tous les commentaires à leur apparition.

            bon -1 pour faire baisser $NORM :)

        • [^] # Re: Répeonse à votre article.

          Posté par  . Évalué à 2.

          1) je ne vois pas où est le rapport avec télérama
          2) non à la censure. Que des gens trouve un message ininteressant et vote contre, soit. Que dix personnes puissent censurer, faire disparaitre des messages, non, j'y suis formellement opposé !




          moins important, concernant le message de départ
          pourquoi ne pourrais-ton pas lire le           capital et mein (das ??) kampf en certaines occasions ? Lire un ouvrage ne signifie pas adherer à son contenu et aux conséquences de certaines lectures qui en sont faites (dans le cas du second, on peut parler d'application de cette lecture).
          Aussi, qui sont « nos ennemis » ?
          Un texte, si je puis me permettre, débile qui n'a effectivement pas du tout sa place ici.

          Néanmoins, ce n'est pas une raison pour mettre en place des systèmes autoritaristes.

          • [^] # Re: Répeonse à votre article.

            Posté par  . Évalué à 1.

            je ne vois pas où est le rapport avec télérama

            Ce mec réagissait au dernier numéro de Télérama qui a fait un dossier sur le Coran.

            Le Coran a autant de passages intolérants ou violents que la Bible ou d'autres livres religieux.
            En France à une époque l'Eglise était très puissante, et c'était pas mal non plus.

          • [^] # Re: Répeonse à votre article.

            Posté par  (site web personnel) . Évalué à 3.

            Bon sang, mais ouvre les yeux, arrete de te laisser influencer par la propagande actuelle (bouh, les méchants il s osnt très méchants).
            Le posteur anonyme (honte à lui), tiens un idscours que nos amis Megret et Le Pen ne renierais pas.
            Alors, Yeupou, fait un peu attention à ce que tu lis et analyse :
            "Ceux-ci cherchent entre autre, comme vous le savez, à ré-islamiser nos immigrés et à répandre leur idéologie auprès des Européens."
            Si ça c'est pas tiré de Minute (journal du FN je précise), je me fais moine.
            Bref, Yeupou apprend à débusquer l'extrémisme de droite (et tous les autres), c'est plus important que de débusquer le Troll. Il y a quand meme des commentaires qui, bien qu'il y ait un avertissement sur la non-responsabilité des commentaires de Linuxfr, méritent vraiment de disparaitre de la surface de la terre.

            • [^] # Re: Répeonse à votre article.

              Posté par  . Évalué à 4.

              Te fatigues pas. Yeupou a en général de très bonnes idées, il les exprime, mais dans les fils des discussions il poste avant de réfléchir.

              Alors il dit des choses justes dans le contexte que lui s'imagine (contexte déclenché par la vue de quelques mots du post auquel il répond), mais en étant en fait HS, ou trop à coté de la plaque.

              Moi je le regrette vraiment parce que je partage pas mal de ses idées, mais il les massacre en faisant ça. Non seulement il se fait passer pour un extrémiste refusant de réflechir (il réfute violemment un post qu'il a mal compris plutot que de demander des explications dans un premier temps) mais en plus ses idées passent elles aussi pour extrémistes.

              Là il a raison, mais s'y prend comme un pied. Quand il défend RMS aussi, sauf que les memes idées paraissent intéressantes/pertinentes dans un discours de RMS, mais extrémistes quand c'est lui qui essaie d'en parler dans ses posts.

    • [^] # Re: Répeonse à votre article.

      Posté par  . Évalué à 7.

      NEW YORK, 18 oct (AFP) - Lutte anti-terroriste

      Le président des USA nous a demandé de nous unir pour une cause commune.

      Etant donné que les intégristes musulmans s'opposent à la consommation
      d'alcool et considèrent que voir une femme nue autre que sa femme est un
      peché, lundi à 12h heure locale, toutes les femmes sont appelées à
      sortir en courant nues dans la rue, et tous les hommes, à les suivre,
      bière à la main.
      Ceci devrait nous aider à détecter les terroristes parmi nous.

      Les Etats Unis vous remercient de vos efforts.

      • [^] # Re: Réponse à votre article.

        Posté par  (site web personnel) . Évalué à -1.

        Dommage qu'il fasse un peu froid en cette période de l'année, cela dissuadera pas mal de femmmes.
        Sinon ce serait une bonne initiative :-)

      • [^] # Re: Répeonse à votre article.

        Posté par  . Évalué à 2.

        Je propose que les hommes fassent de même pour montrer leur se^H^H soutien aux femmes. Et qui sait, ça pourrait faire remonter le taux de natalité et payer les retraites.
        Qu'ils sont forts ces politiques !

  • # hm ?

    Posté par  . Évalué à -10.

    $ uname -sr
    FreeBSD 4.4-RELEASE

    Bon amusement, les linuxiens.

    • [^] # Re: hm ?

      Posté par  . Évalué à 10.

      c:\windows\system32> uname -sr
      aucune commande ou ficher de ce nom
      c:\windows\system32>

      Mouais, mais ca n'empeche pas les proble

    • [^] # Re: hm ?

      Posté par  . Évalué à 1.

      c est bizarre , lorsque j ai installé
      freebsd ca c est mis a sentir une odeur
      noséabonde sortant d un peripherique qui
      roulaize : http://www.osmooze.com/osmooze/fr/produits/padusb/default.html(...)

      vaut mieux un bon exploit que l odeur du caca (c)(tm)($$$)

      • [^] # Re: hm ?

        Posté par  . Évalué à 2.

        excellent.
        uname -sr
        Linux 2.4.12-3mdk
        Super, j'ai pas de problèmes :)
        Nan, en fait ma remarque est presque aussi conne
        que duchmole avec son FreeBSD mal odorant :)
        excellent le lien vers osmooze (surtout la photo
        sur le site , ils ont l'air heureux les deux
        "vip" travaillants pour la gloire de la grande
        Amérique qui s'est faite livrée des terrorismes
        au 80eme et au 94 eme étage de certaines ex-tours)

  • # fun toy

    Posté par  . Évalué à -5.

    % uname -a
    OpenBSD templeball 2.9 GENERIC#0 i386

    soyons sérieux, linux c'est pour s'amuser, BSD c'est pour travailler.

    • [^] # Re: fun toy

      Posté par  . Évalué à -1.

      qu'est ce que tu fou sur un site de news linux alors ?
      Retourne travailler sur ton bsd


      Y m'enervent avec leur bsd ....

      • [^] # Re: fun toy

        Posté par  . Évalué à -2.

        Ah BSD, les El33tes à 1 euro qui veulent la jouer
        pro :) y sont drôles.Pas sérieux mais drôles.
        La majorité des utilisateurs sont des "ingénieurs informaticiens", c'est pour dire (cf la super musique). M'enfin, dans un environnement professionnel, *BSD fait bien marrer.

        • [^] # Re: fun toy

          Posté par  . Évalué à -3.

          M'enfin, dans un environnement professionnel, *BSD fait bien marrer.
          Et avec Linux, tout le monde est mort de rire.

          • [^] # Re: fun toy

            Posté par  . Évalué à -2.

            tient un pauv' con de BSD user ...
            tu ne devrais pas aller sur bsd(sux)fr.org plutôt?

  • # Bugtraq, pas bugtrack

    Posté par  . Évalué à 5.

    bugtraq, ca s'écrit avec un 'q', et pas bugtrack :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.