I 4lr34dY 0\/\/nZ 98576492 b0><3ns. Th4nX D3b14n!!!111 :
588
(14.7 %)
Total :
4002 votes
La liste des options proposées est volontairement limitée : tout l’intérêt (ou son absence) de ce type de sondage réside dans le fait de forcer les participants à faire un choix.
Les réponses multiples sont interdites pour les mêmes raisons.
Il est donc inutile de se plaindre au sujet du faible nombre de réponses proposées ou de l’impossibilité de choisir plusieurs réponses.
76,78 % des personnes sondées estiment que ces sondages sont ineptes.
- ok ca fait deux ans qu'elle existe et on ne l'avait pas vu avant
- en meme temps j'ai envie de dire qu'une faille de secu meme tres grave n'a aucun effet tant que PERSONNE ne l'a vu. Le vilain pirate qui veux rentré sur ma machine n'arrivera pas s'il ne CONNAIT ou ne DECOUVRE aucune faille. Et cela meme si mon OS en est truffé.
Alors oui c'est plus dure de trouver des failles dans un système si celuis la n'en a pas je te l'accorde. Mais mon commentaire avait comme but de comparer avec un certain OS proprio qui lui est blindé de failles CONNUES sans pour autant faire quoi que ce soit pour les corriger ( enfin certaines en tout cas)
en meme temps j'ai envie de dire qu'une faille de secu meme tres grave n'a aucun effet tant que PERSONNE ne l'a vu
Tu fais une apologie du logiciel proprio ? Les pirates ne voient pas le code, donc ils n'ont pas connaissances des éventuelles failles ? Intéressant...
Les pirates ne voient pas le code, donc ils n'ont pas connaissances des éventuelles failles
J'ai jamais dis ca : j'ai dis qu'une faille, meme grave, non détecté n'a pas de grosses conséquences et ce que les sources soit ouvertes ou fermées
Je vois pas ou tu vois que je fait l'apologie d'un soft proprio. Tu fait de l'interprétation un peu hâtive avec mon post je trouve.
Un logiciel qui a son code fermé n'empeche pas de trouver des failles et de la meme manière c'est pas parce qu'un logiciel a ses sources ouvertes que la détection de failles est plus facile, la preuve .... 2ans pour celle la.
Mais mon commentaire avait comme but de comparer avec un certain OS proprio qui lui est blindé de failles CONNUES sans pour autant faire quoi que ce soit pour les corriger ( enfin certaines en tout cas)
Is this a security vulnerability that requires Microsoft to issue a security update?
Upon completion of this investigation, Microsoft will take the appropriate action to help protect our customers. This may include providing a security update through our security update release process.
Solution de contournement pour une faille connue, pas encore de correction.
Qui affecte les hébergeurs de sites mutualisés (un peu comme la dernière faille du kernel).
Oui enfin, en deux ans, les crackers (individus malintentionnés ayant de superbes gonzesses et travaillant pour le gouvernement américain quand ils sont dans la matrice) du monde n'ont pas tiré partie d'une faille dans un système libre au code disponible, et le jour ou on s'en rend compte, c'est corrigé et eux ne peuvent plus en tirer partie...
Et puis bon, debian a dérapé sur ce coup la, mais d'un autre coté, a quoi compare-t-on? à un système d'exploitation utilisé lui aussi sur systèmes critique (parfois), dont le code est un secret mais dont les innombrables failles critiques ont offert un terrain propice a des milliers de malwares !
> et le jour ou on s'en rend compte, c'est corrigé et eux ne peuvent plus en tirer partie...
Ouais, tout le monde a pas forcément déjà mis à jour, et ya pas une histoire comme quoi va falloir jeter à la poubelle un bon nombre de clefs, certificats...?
quelqu'un qui intercepte une communication HTTPS ou SSH, qui l'enregistre, maintenant il est en mesure de la déchiffrer, donc selon moi, on peut en tirer parti de cette faille ...
Bon il faut tout de même qu'il ait enregistré l'initialisation de la communication, et vu tout le trafic chiffré qui passe, il faut également qu'il ait bien ciblé l'échange (tout n'est pas important dans ce qui est chiffré).
Oui enfin, en deux ans, les crackers (individus malintentionnés ayant de superbes gonzesses et travaillant pour le gouvernement américain quand ils sont dans la matrice) du monde n'ont pas tiré partie d'une faille dans un système libre au code disponible
Ah ? Comment le sais-tu ?
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
Par hasard, on dirait pas "je suis touché", et pas "je suis impacté" (ou encore "je suis inpacté" pour ceux qui croient qu'OpenSSL est un "module" du système "Linux")? Ou encore affecté...
J'imagine bien la discussion: "- hey toi, tu as été impacté par la tempête en 99?", ou encore "- tu me files ton sandwich? - tu peux toujours t'impacter".
Et elle est où l'option "J'étais affecté mais j'ai déjà corrigé"?
Cette histoire pose deux ou trois questions parmis lesquelles:
-Est-il possible, maintenant que cette faille est connue et corrigée, de savoir si elle a été exploitée?
-Comment?
Il est possible que personne n'ai cherché dans les sources Debian une faille qui ne se trouve pas dans le logiciel original, mais désormais les "méchants" vont certainement se pencher avec attention sur les sources des patches Debian et sur ce plan là la perte de réputation est sans doute plus grave encore que la faille elle même. Pour un amateur de Debian c'est triste.
Cependant, je ne suis pas convaincu que cet événement ne reste sans réponse au sein de l'organisation Debian. D'ailleurs, cette mésaventure va certainement secouer l'ensemble des projets libre, afin d'être plus attentif à l'intégration de patches internes.
Mon serveur et ma copine ont été à jour dans les 12h qui suivent la sortie du correctif :)
J'espère qu'elle a pas trop été "impactée" (on ne se méfie jamais assez des failles 0-dayz) ;-)
Ceux qui se contentent d'un apt-get upgrade sans régénérer leurs clefs resteront vulnérables... un beau foutoir pour ceux qui doivent faire régénérer des certificats ssl... et certainement des brouettes d'admins qui ne prendront pas le temps de le faire. Bref, une baisse qualitative de la sécurité sur le web.
# ayé tout neuf
Posté par cram51 . Évalué à 1.
rien que pour ca : VIVE LE LIBRE!!!!!!!!!!!!!!!!!!!!!!!!!
Merci a tous ceux qui on permis de découvrir la faille et aussi a tous ceux qui l'on corrigé
[^] # sitot découverte 2 ans après lol
Posté par Old Geek . Évalué à 7.
[^] # Re: sitot découverte 2 ans après lol
Posté par cram51 . Évalué à 0.
- ok ca fait deux ans qu'elle existe et on ne l'avait pas vu avant
- en meme temps j'ai envie de dire qu'une faille de secu meme tres grave n'a aucun effet tant que PERSONNE ne l'a vu. Le vilain pirate qui veux rentré sur ma machine n'arrivera pas s'il ne CONNAIT ou ne DECOUVRE aucune faille. Et cela meme si mon OS en est truffé.
Alors oui c'est plus dure de trouver des failles dans un système si celuis la n'en a pas je te l'accorde. Mais mon commentaire avait comme but de comparer avec un certain OS proprio qui lui est blindé de failles CONNUES sans pour autant faire quoi que ce soit pour les corriger ( enfin certaines en tout cas)
D'ou le sitot trouver sitot fermer
et je relance mon VIVE LE LIBRE !!!!!!!!!!!!!!!!
;)
[^] # Re: sitot découverte 2 ans après lol
Posté par Teppic System (site web personnel) . Évalué à 1.
Tu fais une apologie du logiciel proprio ? Les pirates ne voient pas le code, donc ils n'ont pas connaissances des éventuelles failles ? Intéressant...
[^] # Re: sitot découverte 2 ans après lol
Posté par Émilien Tlapale . Évalué à 8.
[^] # Re: sitot découverte 2 ans après lol
Posté par Teppic System (site web personnel) . Évalué à 3.
[^] # Re: sitot découverte 2 ans après lol
Posté par cram51 . Évalué à 3.
J'ai jamais dis ca : j'ai dis qu'une faille, meme grave, non détecté n'a pas de grosses conséquences et ce que les sources soit ouvertes ou fermées
Je vois pas ou tu vois que je fait l'apologie d'un soft proprio. Tu fait de l'interprétation un peu hâtive avec mon post je trouve.
Un logiciel qui a son code fermé n'empeche pas de trouver des failles et de la meme manière c'est pas parce qu'un logiciel a ses sources ouvertes que la détection de failles est plus facile, la preuve .... 2ans pour celle la.
[^] # Re: sitot découverte 2 ans après lol
Posté par pasBill pasGates . Évalué à 1.
Quelles failles ? T'as un lien ?
[^] # Re: sitot découverte 2 ans après lol
Posté par Earered . Évalué à 4.
C'est plus les pratiques de l'entreprise que l'OS:
http://www.microsoft.com/technet/security/advisory/951306.ms(...)
Is this a security vulnerability that requires Microsoft to issue a security update?
Upon completion of this investigation, Microsoft will take the appropriate action to help protect our customers. This may include providing a security update through our security update release process.
Solution de contournement pour une faille connue, pas encore de correction.
Qui affecte les hébergeurs de sites mutualisés (un peu comme la dernière faille du kernel).
[^] # Re: sitot découverte 2 ans après lol
Posté par ianux (site web personnel, Mastodon) . Évalué à 2.
Quelles failles ? T'as un lien ?Rhooo, tout de suite, tu te sens visé...
[^] # Re: ayé tout neuf
Posté par meuble2001 . Évalué à 2.
[^] # Re: ayé tout neuf
Posté par Brioche4012 (site web personnel) . Évalué à 2.
Et puis bon, debian a dérapé sur ce coup la, mais d'un autre coté, a quoi compare-t-on? à un système d'exploitation utilisé lui aussi sur systèmes critique (parfois), dont le code est un secret mais dont les innombrables failles critiques ont offert un terrain propice a des milliers de malwares !
[^] # Re: ayé tout neuf
Posté par PenPen . Évalué à 3.
Ouais, tout le monde a pas forcément déjà mis à jour, et ya pas une histoire comme quoi va falloir jeter à la poubelle un bon nombre de clefs, certificats...?
[^] # Re: ayé tout neuf
Posté par thedidouille . Évalué à 3.
quelqu'un qui intercepte une communication HTTPS ou SSH, qui l'enregistre, maintenant il est en mesure de la déchiffrer, donc selon moi, on peut en tirer parti de cette faille ...
Je me trompe ?
[^] # Re: ayé tout neuf
Posté par khivapia . Évalué à 3.
Bon il faut tout de même qu'il ait enregistré l'initialisation de la communication, et vu tout le trafic chiffré qui passe, il faut également qu'il ait bien ciblé l'échange (tout n'est pas important dans ce qui est chiffré).
[^] # Re: ayé tout neuf
Posté par 2PetitsVerres . Évalué à 3.
Ah ? Comment le sais-tu ?
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: ayé tout neuf
Posté par oldbaldbot . Évalué à 4.
Faut pas etre si naif ...
# N'utilisant plus Debian ou dérivés...
Posté par Unixfix le Gaulois . Évalué à -10.
Mais à cause de ces amateurs je vais devoir avoir une blacklist de leur clés bidons.
Le plus grave dans cette affaire, c'est qu'elle restera sans conséquence . Debian n'a pas les moyens humains d'assurer un semblant de sécurité.
[^] # Re: N'utilisant plus Debian ou dérivés...
Posté par micool . Évalué à 0.
# Vocabulaire
Posté par smc . Évalué à 10.
J'imagine bien la discussion: "- hey toi, tu as été impacté par la tempête en 99?", ou encore "- tu me files ton sandwich? - tu peux toujours t'impacter".
Et elle est où l'option "J'étais affecté mais j'ai déjà corrigé"?
PS: on écrit b0><3nz avec un Z.
[^] # Re: Vocabulaire
Posté par Christophe Morvan (site web personnel) . Évalué à 2.
Bien d'accord...
En plus je ne comprend pas le choix sur https... puisqu'en définitive un des premier système affecté par la faille est openssh !
Et que c'est un impact très large aussi (en particulier pour les clés "host").
[^] # Re: Vocabulaire
Posté par Signez (site web personnel) . Évalué à 0.
La réputation du lectorat de PC INpact est-elle si négative qu'elle transparaît même ainsi sur LinuxFR ? Oo
# C'est ennuyeux
Posté par Nitchevo (site web personnel) . Évalué à 4.
-Est-il possible, maintenant que cette faille est connue et corrigée, de savoir si elle a été exploitée?
-Comment?
Il est possible que personne n'ai cherché dans les sources Debian une faille qui ne se trouve pas dans le logiciel original, mais désormais les "méchants" vont certainement se pencher avec attention sur les sources des patches Debian et sur ce plan là la perte de réputation est sans doute plus grave encore que la faille elle même. Pour un amateur de Debian c'est triste.
[^] # Re: C'est ennuyeux
Posté par LupusMic (site web personnel, Mastodon) . Évalué à 1.
# Debian-security
Posté par Yoann Katchourine (site web personnel) . Évalué à 0.
Mon serveur et ma copine ont été à jour dans les 12h qui suivent la sortie du correctif :)
Merci à l'équipe Debian qui réagis vraiment vite !!!
[^] # Re: Debian-security
Posté par Perthmâd (site web personnel) . Évalué à 10.
J'ai beau chercher sur la doc debian, cette architecture n'est mentionnée nulle part !
[^] # Re: Debian-security
Posté par goernil . Évalué à 3.
Tu as installé une debian sur ta copine ?
Debian fait mieux que NetBsd, même ça ils ne le font pas.
[^] # Re: Debian-security
Posté par Serge Hartmann (site web personnel) . Évalué à 6.
Oui : pour qu'elle sache enfin faire le café.
[^] # Re: Debian-security
Posté par Ash_Crow (site web personnel) . Évalué à 6.
[^] # Re: Debian-security
Posté par ianux (site web personnel, Mastodon) . Évalué à 1.
Mon serveur et ma copine ont été à jour dans les 12h qui suivent la sortie du correctif :)J'espère qu'elle a pas trop été "impactée" (on ne se méfie jamais assez des failles 0-dayz) ;-)
# Temoignages?
Posté par bob le homard . Évalué à -1.
Moi je dois bien avouer que je n'ai pas réagi tout de suite et pourtant je n'ai pas constaté de problème à ce niveau là.
En tout cas, on peut dire que cette découverte a fait du bruit
;o)
# Un question
Posté par pierre_80 (site web personnel) . Évalué à 1.
[^] # Re: Un question
Posté par Katyucha (site web personnel) . Évalué à 1.
Pas les RH-like ...
[^] # Re: Un question
Posté par Earered . Évalué à 3.
Donc une clé générer sur debian/xandros/mepis/ubuntu/knoppix et utilisée sur fedora/redhat/CentOS sera affecté (i.e. connue).
Si aucune clés utiliser sur les machines (debian ou autres) n'a été générer avec la version OpenSSL de debian, alors il n'y a pas de problèmes.
i.e. il faut connaître la politique de gestion (génération, révocation) des clés.
# Patcher, c'est bien, changer ses clefs, c'est mieux...
Posté par ragoutoutou . Évalué à 4.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.