et confiait lui vote site web en le mettant sous IIS le plus secure des serveurs web. Enfin un demi million de site foutu en lair a cause d'une faille de IIS non patche qui dit mieux?
C'est rigolo ca doit etre le fait de la popularite de IIS par rapport a Apache qui fait que ce genre de probleme n'arrive qu'avec les logiciel de cette boite!
Journal Faites confiance a Microsoft
25
avr.
2008
# Des liens !
Posté par Benjamin Lannoy . Évalué à 10.
[^] # Re: Des liens !
Posté par modr123 . Évalué à 5.
mais de la a dire que c'est ça
m'enfin l'essentiel des serveurs iss etant du webparking ça genera pas
dredi tout est permis
[^] # Re: Des liens !
Posté par Elephant (site web personnel) . Évalué à 7.
Tous ensemble : IIS SS ! IIS SS !
[^] # Re: Des liens !
Posté par B16F4RV4RD1N . Évalué à 4.
"There's another round of mass SQL injections going on which has infected hundreds of thousands of websites.
Performing a Google search results in over 510,000 modified pages."
cool :)
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Des liens !
Posté par GCN (site web personnel) . Évalué à 6.
[^] # Re: Des liens !
Posté par petit_bibi . Évalué à 6.
Ah non, il y a déjà trop de déchets par la-bas.
http://www.futura-sciences.com/fr/sinformer/actualites/news/(...)
Et pourquoi pas à Naples tant nous y sommes !
[^] # Re: Des liens !
Posté par B16F4RV4RD1N . Évalué à 2.
pas forcément.
faites une recherche à "script src=http://www.nihaorr1.com"
http://www.google.com/search?hl=en&q=%22script+src%3Dhtt(...)
il y a 10 minutes, j'avais 300 000 réponses (contre 500 000 dans la nouvelle), maintenant c'est passé à 32 000.
J'ai vu genre des banques, offices de tourismes, agences de voyages ou compagnies aérienne. En allant sur la page, il n'y a plus trace de cela sur bcp d'entre eux, on dirait que cela été corrigé avec des mises à jour. J'ai l'impression que google a déjà réindexé bcp de pages qui n'ont plus ce problème.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Des liens !
Posté par abramov_MS . Évalué à 3.
naturellement c'est du /. :)
http://it.slashdot.org/it/08/04/25/1358234.shtml
http://blog.washingtonpost.com/securityfix/2008/04/hundreds_(...)
c'est vendredi alors bon il faut bien commencer le we avec une bonne tranche de rigolade non? :)
# Mes yeux !!!!
Posté par nonas . Évalué à 10.
C'est pourtant pas compliqué :
"Confiez" ça sonne comme un "é" pas comme un "ait"
[^] # Re: Mes yeux !!!!
Posté par libre Cuauhtémoc . Évalué à 4.
[^] # Re: Mes yeux !!!!
Posté par jms . Évalué à 3.
"Papaaaa ? C'est quoi cette bouteille de lé ?"
:-)
[^] # Re: Mes yeux !!!!
Posté par libre Cuauhtémoc . Évalué à 4.
[^] # Re: Mes yeux !!!!
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Mais c'est pas possible de faire des fautes aussi enormes ! Tu es dyslexique ou quoi !
[^] # Re: Mes yeux !!!!
Posté par windu.2b . Évalué à 8.
FATAL: Module humour not found.
:-/
[^] # Re: Mes yeux !!!!
Posté par Dr BG . Évalué à 5.
[^] # Re: Mes yeux !!!!
Posté par windu.2b . Évalué à 2.
Comme quoi, on n'est pas toujours prophète en son pays !
Mais bon, tous ceux qui m'ont plussé devaient penser comme moi, je suppose (mais non, je vous balance pas !)...
[Mode "je me rattrape aux branches"]
Et puis de toute façon, j'ai fait une commande en root, ça prouve bien que ça ne pouvait que m'être adressé ! Je n'ai quand même pas un accès root à ton cerveau (si ?).
:-p
[/Mode "je me rattrape aux branches"]
[^] # Re: Mes yeux !!!!
Posté par abramov_MS . Évalué à 1.
[^] # Re: Mes yeux !!!!
Posté par Axel R. (site web personnel) . Évalué à 5.
[^] # Re: Mes yeux !!!!
Posté par IsNotGood . Évalué à 2.
# Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à -8.
http://www.zone-h.org/content/view/14928/30/
Webserver defaced
Year 2005 Year 2006 Year 2007
Apache 308.281 486.294 319.439
IIS/6.0 72.338 180.926 113.935
IIS/5.0 99.616 66.304 23.664
319000 contre 136000
Un ratio bien plus eleve que le ratio Apache / IIS
Tu es un veritable champion mon cher Albert
[^] # Re: Toujours le meme amas de conneries
Posté par jeffcom . Évalué à -7.
Ce commentaire est-il pertinent ou inutile ?
mais
Cet utilisateur est-il pertinent ou inutile ?
~~>[]
[^] # Re: Toujours le meme amas de conneries
Posté par Snarky . Évalué à 10.
On parle de sécurité des serveurs. Et toi tu nous parle de sites défacé....
Sache que la quasi-totalité des défacages sont dûs à des failles dans le codes des sites et pas aux serveurs !!! Donc c'est pas comparable.
Je me suis fait défacé mon site y'a pas longtemps... Et AUCUN rapport avec la sécurité du serveur. Juste une petite faille dans mon code php.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 0.
Bref, les chiffres en absolus ne veulent rien dire, mais le ratio lui signifie qqe chose.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 7.
Donc j'en conclus qu'Apache est plus utilisé.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Toujours le meme amas de conneries
Posté par libre Cuauhtémoc . Évalué à 3.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à -2.
a) Est plus attaque
b) A plus de sites defaces
c) A plus de vulnerabilites reportees
[^] # Re: Toujours le meme amas de conneries
Posté par libre Cuauhtémoc . Évalué à 4.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 2.
IIS 6 http://secunia.com/product/1438/?task=advisories
5 vulnerabilites, 1 niveau 4, 2 niveau 3, toutes patchees
Apache 2.x http://secunia.com/product/73/?task=advisories
37 vulnerabilites, 2 niveau 4, 10 niveau 3, 4 non patchees (ce qui ne veut rien dire, car ces 4 ne sont pas des vuln. reellement importantes)
[^] # Re: Toujours le meme amas de conneries
Posté par libre Cuauhtémoc . Évalué à 1.
[^] # Re: Toujours le meme amas de conneries
Posté par WH (site web personnel) . Évalué à 4.
[^] # Re: Toujours le meme amas de conneries
Posté par suJeSelS . Évalué à 9.
C'est normal, c'est un logiciel libre, donc il y a plus de gens qui le testent, auditent le code, etc... donc il y a beaucoup plus de rapport de sécurité, un plus grand nombre de ses failles sont trouvées, et il en devient donc plus fiable.
[^] # Re: Toujours le meme amas de conneries
Posté par modr123 . Évalué à 5.
on ne connait pas la nature des sites un site pro se fera moins defacés qu'un site d'amateur
moi j'en conclut juste que les amateurs sont sur-representé dans les sites defacés et que les amateurs utilisent plus apache que iis
[^] # Re: Toujours le meme amas de conneries
Posté par flagos . Évalué à 2.
"Therefore the attacks migrated as well, as Linux is now the most attacked operating system with 1.485.280 defacements against 815.119 in Windows systems (numbers calculated from 2000)."
C'est dû à la faille critique du noyau d'il y a quelques mois que des admins un peu feignasses n'auraient pas patchés ou le problème est plus grave ?
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 2.
Les sites GNU/Linux sont souvent des petits sites pas toujours très bien maintenu. Il y a évidemment des sites plus "professionnels", mais la proportion de ses derniers pour Linux doit être plus faible que pour Windows.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Toujours le meme amas de conneries
Posté par windu.2b . Évalué à 5.
Si j'en crois l'ami Wikipédia, IIS n'existe pas pour Nunux !
Du coup, c'est peut-être ça la sécurité ultime : un serveur Web incompatible avec un OS de serveurs !
Accroche-toi pour réussir à faire du défaçage... Mouwahahaha
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Toujours le meme amas de conneries
Posté par inico (site web personnel) . Évalué à 6.
Bon, qui a une vieille version de PWS/IIS (c'est la même chose niveau binaire) pour Windows NT 4 que je teste ?
[^] # Re: Toujours le meme amas de conneries
Posté par abramov_MS . Évalué à 5.
Pour une distrib linux classique (desole j'ai pris ubuntu 6.10 donc pas une LTS mais vous pouvez en prendre une autre):
http://secunia.com/product/12470/?task=statistics
et Vista:
http://secunia.com/product/13223/?task=statistics
Je trouve assez rigolo de voir que des failles sont non corriges (et je me moque du degre de vulnerabilite, une faille c'est une faille) pour cet OS qui coute excessivement cher et qui a un support en proportion inverse a son prix. De l'autre cote on voit que toutes les failles de ubuntu sont corrige. Au passage cela ne sert a rien de dire que ubuntu a eu 200 failles et Vista seulement 30 vu que dans les failles ubuntu il y a des trucs tel que gnumeric, poppler, unzip etc de compris. Je ne regardais pas le type de faille mais juste la facon donc c'etait traite pas chaque vendeur ou fournisseur.
Et donc comme deja dit je trouve tres instructif de voir que le prix est inversement proportionnel a la qualite du support!
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à -7.
Genial, en fait tout ce qui t'interesse c'est de compter, sans regarder la substance. Que la faille n'en soit pas vraiment une n'est qu'un detail.
Bref, tes posts sont toujours aussi interessants et constructifs.
En passant, Ubuntu inclut Firefox ? Parce que http://secunia.com/product/12434/
marrant, ils ont des failles non patchees aussi, et c'est tout a fait normal.
Et donc comme deja dit je trouve tres instructif de voir que le prix est inversement proportionnel a la qualite du support!
Vraiment, tes piques pourraves on s'en fout, tu ne fais que renforcer ton image de guignol avec ton comportement de gamin ecervele.
[^] # Re: Toujours le meme amas de conneries
Posté par Charles-Victor DUCOLLET . Évalué à 6.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 4.
Non, ce n'est pas normal.
Mais c'est mieux que IE 7 :-)
Pour Firefox : 17 %
IE 7 : 33 %
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à -1.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 2.
Non, ce n'est pas normal, c'est explicable.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.
Si tu arrives en retard à un rendez-vous, tu vas trouver ça normal car personne arrive à l'heure à tous ses rendez-vous ?
Désolé, mais pas moi.
> juger une vuln. et decide si et quand elle doit etre corrigee.
Juger une vulnérabilité, la corriger (et de suite s'il y a pas de vulnérabilité plus grave), et decide si et quand elle doitpeut être diffusée.
Elle doit être corrigée.
Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.
On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 2.
Peut-être que chez MS avoir des trous de sécurité est normal, mais chez les autres on ne trouve pas ça normal.
T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...
Le problème est pour les projets qui ont fréquement des failles de sécurité. Ce qui est le cas de Firefox par exemple (plus de 100 failles par an). Dans ce cas il n'y a pas une mise à jours par faille, mais une mise à jours pour un ensemble de faille. Sinon on aurait une mise à jours tous les 3 jours. Les failles sont groupées par exemple pour la dernière quinzaine. Si une faille est importante, on ne cherche pas à les grouper mais à sortir au plus vite la mise à jour avec le correctif afin d'avoir le nombre de jour de risque le plus faible possible.
Rien a voir _du tout_
Tu jettes un oeil a FireFox 2.0 : http://secunia.com/product/12434/?task=advisories
Tu remarqueras que certaines failles non corrigees datent de 2006. Ils ont pas attendu le prochain patch pour les corriger, ils ont deja decide qu'elles ne seraient pas corrigees car pas importantes du tout.
Tu vas jeter un oeil a Apache 2.0x : http://secunia.com/product/73/
et tu verras exactement la meme chose, il y a des vuln. de 2004, 2005 et 2006 qui n'ont pas ete corrigees, tout simplement car elles ont ete evaluees, et ne representent pas de reel danger.
Serieusement, c'est mon boulot, c'est leur boulot, ont fait tous cela pour une bonne raison.
On peut trouver ce processus "normal". Mais le fais qu'on corrige des failles prouve bien qu'avoir une faille de sécurité n'est pas normal.
Ca oui, mais faut faire la difference entre un rapport sur secunia.com et une vrai faille, c'est pas toujours la meme chose...
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 4.
Bullshit.
Où tu as vu cette décision ?
> http://secunia.com/product/12434/?task=advisories
(4 out of 23) are marked as Unpatched
Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Dans les 4 qui restent :
* http://secunia.com/advisories/27907/
Fin 2007, pas de bugzilla chez Mozilla (ou ce n'est pas renseigné).
* http://secunia.com/advisories/25481/
Deux rapports de bug chez mozilla (dont un corrigé), donc mozilla y travaille. Donc Mozilla n'a pas décidé de ne pas les corriger.
* http://secunia.com/advisories/24153/
Pas de bugzilla chez Mozilla (ou ce n'est pas renseigné).
* http://secunia.com/advisories/23046/
Un rapport de bug chez mozilla, le bug est corrigé. On peut voir qu'il y a eu une grosse activité pour corrigé cette faille, il n'a pas été décidé de l'ignorer.
Bref, il y a deux failles dont on ne sait pas s'il y a une activité ou non, ou s'ils sont ignorés ou non.
Je n'ai pas vu Mozilla dire "faille normale, on laisse filer".
Mais merci de nous apprendre que MS se torche le cul de certains faille de sécurité.
> http://secunia.com/product/73/
Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 0.
Où tu as vu cette décision ?
Oh je sais pas, dans le fait que des soi-disant vuln. on ete reporte il y a maintenant plus de 2 ans et rien n'a ete fait au hasard ?
Donc il n'y en a que 4...
Si c'était aussi "normal" que tu le dis, sachant que Mozilla a, au pif, 50 failles par ans, il n'y en aurait pas que 4. D'autant plus que FF 2 est sorti ... il y a bien longtemps, j'ai oublié.
Quand il y a 4 rapports qui ne sont pas des vraies failles exploitables, il est normal que ces 4 et pas plus ne soit pas corrigees. Tu as vu ou que j'ai dit que des vraies failles n'etaient pas corrigees ?
Au vu du contenu, un des 4 semble etre un vrai bug qui demande bcp de temps pour etre corrige, ok ca en laisse 3...
Je n'ai pas envi de me faire chier à examiner les détails, mais ça doit être dans le même registre que Firefox. C-à-d qu'aucune faille n'est ignorée ou considérée "normale".
Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 2.
T'arrêtes de mentir ?
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.
Donc pour toutes celle où on a des infos, Mozilla y travaille.
Est-ce que pour les deux où on n'a pas d'info, tu as des infos ?
Ben non.
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !
> il est normal que ces 4 et pas plus ne soit pas corrigees.
Non, il n'est pas normal. 2 de ces 4 failles ont est sûr que mozilla y travaille. les 2 autres, on ne sait rien. Mais as-tu des infos pour ces dernières ?
Sur un total de probablement plus de 100 failles (voire plus), Mozilla les a corrigé (ou c'est en vendor patch) ou mozilla y travaille, et il n'y a que 2 failles dont on n'a pas d'info.
> Soit plus precis : tu n'as pas envie de te faire chier a regarder la realite en face car elle ne te plait pas.
N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".
Ton truc c'est de pousser des conneries en espérant que les gens n'auront pas la volonté de vérifier. Manque de chance pour toi, je suis allé vérifier.
Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 2.
Toutes les failles ont été traitées sauf 4
- une est corrigée ou du moins il y a une solution en cours de développement pour la corriger. Donc Mozilla y travaille.
- une autre on aussi la preuve que Mozilla y travaille.
- deux, on ne sait pas.
Une est corrigee / en developpement oui.
2 on ne sait pas comme tu dis, apres plus de 2 ans, on peut deviner cependant
L'autre, c'est simple : https://bugzilla.mozilla.org/show_bug.cgi?id=380994
Comment #12 Mike Schroepfer 2008-03-31 16:19:50 PDT
Given this is sg:low/dos taking off the blocker list - we'd certainly take a
patch..
Bref, 6 mois apres avoir eu le rapport ils decident que c'est pas un blocker, ils s'en foutent un peu quoi...
Tu nous fais des conclusions sur des trucs où tu n'as pas d'informations...
C'est fort de café !
Ben je sais pas, t'interprete comment le fait de ne pas corriger une soi-disant faille apres genre 2 ans ? Moi j'interprete ca comme : on s'en fiche, c'est pas grave.
N'importe quoi, j'ai vérifié pour Firefox.
Et la vérité c'est que t'as 0 argument pour affirmer que Mozilla ignore des failles ou les considère "normale".
Mon cher, t'as toujours pas compris que ces "failles" n'en sont pas vraiment, c'est pour ca qu'ils s'en foutent un peu, et c'est normal. Si c'etait des vraies failles, avec un veritable risque pour l'utilisateur ca serait un scandale, mais c'est pas le cas.
Arrêtes avec tes conneries, tes "je vais t'apprendre la vérité mon coco".
Je ne suis pas le type de cooo qui se laisse embobiner surtout s'il y a 0 arguments.
Non, t'es plutot le genre de personne qui refuserait de croire que la terre est ronde car ta bible ne le dit pas.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 2.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à -3.
T'es un connard.
Un truc bloquant, c'est un truc qui empêche une release. Ne pas le mettre en bloquant ne veut pas dire qu'on s'en fout.
> t'interprete comment le fait de ne pas corriger
Tu (et moi aussi) n'en sait foutrement rien si mozilla travaille dessus ou non.
Alors fais un rapport de bug sur mozilla, et revient nous dire si la réponse de Mozilla est "on s'en torche".
T'es un connard, j'en ai plein le cul de ton fud.
PS: oui c'est mal d'insulter les gens.
[^] # Re: Toujours le meme amas de conneries
Posté par Duncan Idaho . Évalué à 2.
PS : mais des fois ça fait du bien.
[^] # Re: Toujours le meme amas de conneries
Posté par Vador Dark (site web personnel) . Évalué à 2.
T'as toujours pas compris que ces vuln. ne sont pas vraiment des trous de securite, c'est pour ca qu'on ne les corrige pas. Et quand je dis on, c'est MS, c'est Mozilla, c'est Apache, ...
Tu pourrais nous en dire plus sur ces fausses vulnérabilités?
[^] # Re: Toujours le meme amas de conneries
Posté par moramarth . Évalué à 8.
Je crois que c'est le fond du problème : des "experts" jugent, c'est plus ou moins le bordel (d'ailleurs, il semble que la marque de fabrique de l'humanité soit le plan foireux), et finalement, "on" se retrouve à noyer le poisson et à user jusqu'à la corde de l'argument d'autorité pour fermer le clapet des béotiens qui osent contester quand ils ont des problèmes. Pourtant, c'est encore eux qui vivent le résultat, grandeur nature, in vivo. La preuve de la fatuité de l'argument d'autorité ? Le "on" défini comme Apache, Mozilla, nous (Microsoft), ... comme experts en la matière, ce "on" n'est pas d'accord entre eux.
Alors ? Alors ce "on", ce n'est que le "nous" de la définition : un employé de Microsoft est exaspéré de voir ses efforts ainsi dénigrés, ça l'irrite, il regimbe et finalement tente de se retrancher derrière l'argument d'autorité "C'est notre boulot, c'est nous qui le faisons et qui savons le faire. Ne faîtes pas chier, faîtes nous confiance". Je crains que tu n'aies toujours pas plus de reconnaissance pour autant. Surtout ici à LinuxFr...
Pour te remonter le moral, une petite citation d'un type de Microsoft que j'apprécie (et oui ! Ça existe !) qui est Jim Allchin :
"I would buy a Mac today if I was not working at Microsoft." J'achèterais un Mac aujourd'hui si je ne bossais pas à Microsoft.
Je suis complètement d'accord avec ce monument de clairvoyance et d'impartialité :).
http://blog.seattlepi.nwsource.com/microsoft/archives/110354(...)
PS : pour le débat sur la notation de commentaire, bien que j'ai beaucoup aimé ce commentaire parce que je le trouve très révélateur et concis, je l'ai moinsé parce que je pense que pBpG tient des propos incohérents. C'est difficile de délimiter les critères aboutissant à un pertinent ou à un inutile, et encore plus de savoir vers où penche la balance...
[^] # Re: Toujours le meme amas de conneries
Posté par Benjamin Lannoy . Évalué à 3.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 2.
Tu mesures par rapport a la date ou le rapport de bug est fait a RH/Debian/MS/... ? Par rapport au moment ou le gars annonce le bug publiquement(qui pourrait etre 1,2,3,... mois plus tard ou le jour ou il trouve le bug) ?
C'est un exercice assez perilleux, car on n'a aucune idee d'habitude de la date ou le bug a ete rapporte a l'editeur, et se baser sur la difference entre le patch sorti et l'annonce ne vaut pas grand-chose vu que dans la plupart des cas ils coincident.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 2.
Elles peuvent être tenu secrètes le temps qu'un corrictif soit réalisé.
Voir par exemple :
http://www.securityfocus.com/archive/1/archive/1/484818/100/(...)
======================================================================
6) Time Table
22/11/2007 - Vendor notified.
22/11/2007 - vendor-sec notified.
23/11/2007 - Vendor response.
10/12/2007 - Public disclosure.
======================================================================
7) Credits
Discovered by Alin Rad Pop, Secunia Research.
Pour le logiciel libre, l'audit est fait par tout le monde. Donc s'il y a triche sur les dates, ça va se savoir. Par exemple Alin Rad Pop de ce rapport pourrait gueuler.
Par contre, c'est sûr que MS bidonne ses dates de découverte des failles.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à -1.
Le lien que tu as donne, il vient directement de la personne qui a trouve le bug, il vient pas de Samba.
Jettes un oeil aux advisories de Redhat, Debian, ... aucune d'elles ne donne la date ou le bug leur a ete rapporte(idem pour MS hein).
La seule maniere, c'est que le gars qui a decouvert la chose se manifeste et donne la date, chose qui est faisable quel que soit l'editeur hein vu que le gars qui trouve la faille ne bosse pas pour eux, mais que peu de gens font(eEye en est un).
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 3.
Red Hat fournit ces dates.
Red Hat remonte systématique les failles qu'ils découvrent au projet upstream (aux personnes chargées de la sécurité). Il en est de l'intérêt de Red Hat. Red Hat fait suivre sur vendorsec, CVE, etc. Si Red Hat ne le fait pas, il se fait allumer. Ce qui bien normal. Red Hat est dans une communauté, et si un déconne, il se fait salement remarquer.
http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...)
1 faille sur 2 sont connues par Red Hat avant la publication (via différents moyens, voir ici : http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...) ). Seulement 8 % de ces failles sont découvertes par Red Hat.
http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...) est fait depuis les données brutes qu'on trouve ici :
https://www.redhat.com/security/data/metrics/
Arrêtes avec tes mensonges de merde.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 2.
https://www.redhat.com/security/data/oval/com.redhat.rhsa-20(...)
<advisory from="secalert at redhat.com">
<cve href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0(...)
</cve>
−
<bugzilla href="http://bugzilla.redhat.com/435773" id="435773">
Dès que le bug est découvert par Red Hat, un ticket CVE est fait (d'où le titre bugzilla avec "CVE-2008-0887 ...").
On voit que Red Hat fait le CVE avant qu'il ait un correctif.
https://bugzilla.redhat.com/show_bug.cgi?id=435773
Comment #19 From Mark J. Cox (Security Response Team) on 2008-04-02 04:03 EST [reply]
embargo was agreed as apr02 with vendor-sec; removing embargo.
On a la date de découverte, la date de publication, la date des mises à jours pour Red Hat/Fedora. Red Hat/Fedora ne publie qu'à la fin de l'embargo.
Es-ce que MS a ce type de gestion des failles de sécurité ? C'est-à-dire où tout est public (avec un embargo évidemment le temps de réaliser le correctif).
Es-ce que MS envoyes ses découverte de faille de CVE ?
"Biensûr" que non. La date de découverte des failles de sécurité par MS, on ne la connait pas.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 2.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 2.
Pour exemple, le CVE soumit par Red Hat a fait un bugzilla chez Gentoo (avant la fin de l'embargo) :
http://bugs.gentoo.org/show_bug.cgi?id=213940
[^] # Re: Toujours le meme amas de conneries
Posté par kowalsky . Évalué à 3.
Et file dans ton lit !
ps : sérieusement, calme toi, et cesse d'insulter les gens.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 3.
http://www.redhatmagazine.com/2008/02/26/risk-report-three-y(...)
L'accent est mis sur les jours de risques. Pour Firefox, c'est 2,2 jours en moyenne pour les vulnérabilités critiques et importantes.
[^] # Re: Toujours le meme amas de conneries
Posté par pasBill pasGates . Évalué à 1.
Mozilla n'a jamais patche toutes ces vulnerabilites en moyenne en 2.2 jours apres que le bug leur ait ete rapporte.
Ces chiffres sont bases sur le temps entre l'annonce publique du bug et la sortie du patch, hors dans la plupart des cas l'annonce est faite en conjonction avec la sortie du patch.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à -2.
Lis le rapport connard, 1 failles sur deux est connue avant sa publication par Red Hat (et donc le projet upstream et donc CVE et donc on a la date de la découverte si le "secrétaire" de CVE ou vendorsec, etc ont fait leur boulot).
[^] # Re: Toujours le meme amas de conneries
Posté par Elfir3 . Évalué à 1.
[^] # Re: Toujours le meme amas de conneries
Posté par IsNotGood . Évalué à 1.
[^] # Re: Toujours le meme amas de conneries
Posté par abramov_MS . Évalué à 2.
[^] # [HS] Re: Toujours le meme amas de conneries
Posté par syntaxerror . Évalué à 1.
http://fr.wikipedia.org/wiki/Or_mais_ou_et_donc_ni_car#Conjo(...)
(je sais, à force de lire des conneries, on finit par en écrire)
[^] # Re: Toujours le meme amas de conneries
Posté par modr123 . Évalué à 3.
tu as fait la même chose la
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.