Je n'ai pas relu attentivement l'artcicle que je cite, mais je ne me rapelle pas y avoir vu une démonstration. Au contraire, il part de la conclusion attendue et essaie d'y faire coller les faits en montrant une simple corrélation.
Encore un titre sensationnaliste pour générer du trafic.
Ce logiciel malveillant ne peut s'intaller que sur des serveurs Apache RocketMQ, non mis à jour, présentant la faille de sécurité CVE2023-33246.
Bah l'existence même de ce truc, c'est de dire: "on écoute sur le réseau au cas où une imprimante se signale".
On écoute sur le port 631 en UDP au cas ou un vieux serveur CUPS (≤1.5 sortie il y a 13 ans) veuille s'annoncer ainsi. Sinon le protocole Bonjour/mDNS est suffisant.
Il suffit de lire la page de man, ce que chacun devrait faire avant de discuter des problèmes et de leurs éventuelles solutions ;-)
C'est à l'auteur de ce journal que je demande de faire cette vérification parce que je pense qu'il a commis une grosse erreur dans l'emballement de la découverte de ce problème.
Si tu veux apporter ta contribution il faut fournir une argumentation étayée.
J'oubliais l'essentiel. Inutile de désactiver un service qui peut être utile.
Je reformule puisque cela n'était pas clair.
Inutile de demander à tout le monde de désactiver un service qui peut être utile à certains.
Il y a d'autres moyens de se protéger de cette faille, il suffit que le service ne soit plus en écoute en UDP sur le port 631, sans que cela ait de conséquences négatives pour certains utilisateurs (mais pourquoi mon imprimante réseau n'est plus reconnue automatiquement ?)
Mais puisque tu réponds, as-tu bien vérifié que cette faille permet une élévation de privilège et une exécution de code arbitraire en tant que root ?
Effectivement le fichier de configuration par défaut fourni par les mainteneurs Debian contient : BrowseRemoteProtocols dnssd cups
Il suffit de remplacer par : BrowseRemoteProtocols dnssd
et de relancer le service.
J'oubliais l'essentiel. Inutile de désactiver un service qui peut être utile.
Cela se règle dans la configuration de cups-browsed, voir les directives BrowseProtocols dans man cups-browsed.conf.
Et comme c'est essentiellemnt un problème de configuration par défaut (sur certaines distributions ?) on peut comprendre que certains développeur soient réticents pour corriger la faille au niveau du code.
elles permettent à un utilisateur distant de faire exécuter du code en tant que root lors d'une impression initiée par un utilisateur du système. En particulier, elle permet donc à un utilisateur local de devenir root par ce biais.
Je n'ai pas tout décortiqué mais je n'ai vu nulle part que cela permettait une élévation de privilège. Le code malveillant injecté est en principe exécuté par l'utilisateur système lp
La plupart des systèmes Linux de bureau activent CUPS et cups-browsed par défaut. Certains serveurs sur internet exposent cups-browsed signale l'auteur.
Certes mais les conditions de l'exploitation de la faille rendent son succès très improbable. Et de ce point de vue les valeurs de CVSS me semblent encore largement exagérées (il y a déjà eu débat sur la pertinence de ces indicateurs de gravité).
Nous sommes d'accord. Il ya des projets qui ont une excellente documentation, par exemple Apache, Postfix, Dovecot et d'autre qui sont très mal ou très peu dosumentés.
L'article tient plus de l'éditorial avec une accroche un peu excessive. Ce n'est pas une raison pour faire une généralisation fumeuse en disant qu'il ne faut pas lire ZDnet (ok, en général c'est pas formidable ;)
Le wiki ArchLinux est un des rares cas de documentation collaborative d'ampleur et de très grande qualité (du moins dans la version anglophone, la VF introudit parfois des approximations voire des erreurs). Je suppose que c'est dû à une bonne coordination et modération.
L'article relaie le point de vue de « Jon Corbet, rédacteur en chef de LWN, la meilleure publication sur Linux et superviseur de la documentation du noyau Linux » et de « Alejandro Colomar, qui a maintenu le projet Linux man-pages pendant les quatre dernières années, vient de démissionner. »
Mais effectivement le titre un peu accrocheur ne rend pas justice à l'état réeel de la documentaion Linux (du noyau) qui s'est bien amélioré ces dernières années, ou des pages de man. Si on ne peut pas vraiment parler de Capharnaûm, les problèmes sont réels : fonctionnalités peu ou mal documentées, difficile à comprendre, etc. Il suffit d'aller visiter les liens présent dans l'article.
La gravité de la faille serait confirmée par RedHat et Canonical ce qui ne semble pas être l'avis des développeurs concernés et contactés par Simone Margaritelli. Wait and see…
Il est probable que les conditions d'exploitation de la faille la rendent beaucoup moins préoccupante que tente de le faire cette anonce tonitruante.
Quant à la fameuse French Tech, ça tient plus de l'élevage de subvention
Je me doutais que cela allait dériver sur la French Tech bien que le fait que ce soit de la merde (ou pas) n'entre pas en ligne de compte dans le présupposé totalement injustifié que cette personne n'ait aucune compétence en matière de numérique. (À ma connaissance cet organisme ne délivre aucune subvention publique.)
Il n'y a aucun sexisme dans mes posts.
C'est ce que tu penses, ce n'est pas forcément ce qu'un lecteur ou une lectrice peut ressentir. Le sexisme est tellement ancré dans les mentalités que l'on l'est bien souvent sans vraiment s'en rendre compte.
privateur est une traduction légitime de proprietary de ans ce contexte puisque sa définition est donnée par opposition au logiciel libre.
A contrario je ne connais pas d'équivalent en anglais de privateur et la traduction en français par prorpiétaire est mauvaise puisqu'elle ne correspond pas au sens anglais de « breveté, marque déposée ».
Non tu ne comprends pas, car encore une fois tu commentes sans avoir lu et sans savoir.
Elle a été responsable dans d'assez grosses boîtes de commerce en ligne puis à la direction de la French Tech.
Je n'insiste sur le côté sexiste déjà relevé dans un autre commentaire.
Mais ceci n'a guère d'importance vu le peu de temps que ce gouvernement va durer :-D
Aujourd’hui, évoquer Israël, une quelconque désapprobation d’un élément de sa politique, voire apparemment la plus simple des phrases — un seul mot, et des plus banales — peut faire coller une étiquette de nazi antisémite à quiconque. Peut-être faudrait-il trouver un juste équilibre.
C'est faux puisqu'il a été établi que Netanyahu est un nazi sans prépuce.
Le terme d'antisémite n'a d'ailleurs pas vraiment de sens dans le conflit israelo-palestinine puisque les deux peuples sont sémitiques. Ils sont tous fils de Sem (au sens biblique) sauf bien sûr le Likoud et le Hamas qui sont des fils de putes.
Certes. Mais ce n'est pas du tout ce dont il est question dans l'entretien mis en lien. C'est bien pourquoi je me suis permis de signaler au commentateur qu'il n'avait pas dû en lire l'intégralité.
Et visiblement tu n'as pas été plus loin. Sinon tu aurais compris ce propos liminaire.
La problématique est d'avoir des fonctionnalités pour exploiter des données (requêtes, simples recherches) chifrées par sécurité.
Si les données ne sont pas chiffrées, on peut envisager toutes les fonctionnalités. Si elles le sont, sans que le serveur puisse les déchifrer il devient très difficile de proposer des fonctionnalités de base comme une simple recherche.
[^] # Re: La cause du décès
Posté par Voltairine . En réponse au lien Michel Blanc bronsonisé. Évalué à 4.
Ce n'est pas une prise de médicament mais l'injection d'un produit de contraste pour un scanner. Après, il a rejoint Garcimore, décontrasté.
[^] # Re: Le noyau Linux et cette approche
Posté par Voltairine . En réponse au lien De l'intérêt majeur de choisir un langage memory safe pour tout nouveau code d'un projet existant. Évalué à 1.
Je n'ai pas relu attentivement l'artcicle que je cite, mais je ne me rapelle pas y avoir vu une démonstration. Au contraire, il part de la conclusion attendue et essaie d'y faire coller les faits en montrant une simple corrélation.
# Titre sensationnaliste
Posté par Voltairine . En réponse au lien perfctl: A Stealthy Malware Targeting Millions of Linux Servers. Évalué à 10.
Encore un titre sensationnaliste pour générer du trafic.
Ce logiciel malveillant ne peut s'intaller que sur des serveurs Apache RocketMQ, non mis à jour, présentant la faille de sécurité CVE2023-33246.
Voir la fin de l'article, annexe 1.
Le problème est connu et corrigé depuis plus de 18 mois et il y a déjà eu beaucoup d'articles sur cette faille, ex : https://thehackernews.com/2024/06/muhstik-botnet-exploiting-apache.html
N.B. : l'article a quand même un certain interêt mais il aurait dû s'appeler : analysis of malware exploiting the CVE2023-33246 vunlerability
[^] # Re: Est-ce qu'il y a moyen de tester si l'imprimante réseau est sujette à cette faille ?
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 3.
Cela dépend si Henri est passé par là ou pas…
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 1.
On écoute sur le port 631 en UDP au cas ou un vieux serveur CUPS (≤1.5 sortie il y a 13 ans) veuille s'annoncer ainsi. Sinon le protocole Bonjour/mDNS est suffisant.
Il suffit de lire la page de man, ce que chacun devrait faire avant de discuter des problèmes et de leurs éventuelles solutions ;-)
[^] # Re: Le noyau Linux et cette approche
Posté par Voltairine . En réponse au lien De l'intérêt majeur de choisir un langage memory safe pour tout nouveau code d'un projet existant. Évalué à 3.
Je suis également dubitative. Rappellons que cet argument vient de Gooogle pour le développement d'Android :
https://security.googleblog.com/2024/09/eliminating-memory-safety-vulnerabilities-Android.html
Il faut aussi se méfier des corrélations, cela ne démontre pas une relation de cause à effet.
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 3. Dernière modification le 29 septembre 2024 à 12:51.
C'est à l'auteur de ce journal que je demande de faire cette vérification parce que je pense qu'il a commis une grosse erreur dans l'emballement de la découverte de ce problème.
Si tu veux apporter ta contribution il faut fournir une argumentation étayée.
Relis bien le texte et regarde bien la vidéo postée sur le site du découvreur de cette faille:
le fichier malveillant injecté appartient à lp. Il a donc été créée par cet utilisateur et non par root.
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 3.
Je reformule puisque cela n'était pas clair.
Inutile de demander à tout le monde de désactiver un service qui peut être utile à certains.
Il y a d'autres moyens de se protéger de cette faille, il suffit que le service ne soit plus en écoute en UDP sur le port 631, sans que cela ait de conséquences négatives pour certains utilisateurs (mais pourquoi mon imprimante réseau n'est plus reconnue automatiquement ?)
Mais puisque tu réponds, as-tu bien vérifié que cette faille permet une élévation de privilège et une exécution de code arbitraire en tant que root ?
[^] # Re: désactivé par défaut
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 4.
Effectivement le fichier de configuration par défaut fourni par les mainteneurs Debian contient :
BrowseRemoteProtocols dnssd cupsIl suffit de remplacer par :
BrowseRemoteProtocols dnssdet de relancer le service.
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 5.
J'oubliais l'essentiel. Inutile de désactiver un service qui peut être utile.
Cela se règle dans la configuration de cups-browsed, voir les directives BrowseProtocols dans man cups-browsed.conf.
Et comme c'est essentiellemnt un problème de configuration par défaut (sur certaines distributions ?) on peut comprendre que certains développeur soient réticents pour corriger la faille au niveau du code.
# Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 6.
Je n'ai pas tout décortiqué mais je n'ai vu nulle part que cela permettait une élévation de privilège. Le code malveillant injecté est en principe exécuté par l'utilisateur système lp
Certes mais les conditions de l'exploitation de la faille rendent son succès très improbable. Et de ce point de vue les valeurs de CVSS me semblent encore largement exagérées (il y a déjà eu débat sur la pertinence de ces indicateurs de gravité).
cf. https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities
(voir aussi la discussion dans la rubrique liens de linuxfr)
C'est probablement du fait
de son ego surdimensionnéd'une mauvaise communication et d'un manque de patience de sa part.[^] # Re: La solution ? Ne lisez pas zdnet
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 1.
Nous sommes d'accord. Il ya des projets qui ont une excellente documentation, par exemple Apache, Postfix, Dovecot et d'autre qui sont très mal ou très peu dosumentés.
L'article tient plus de l'éditorial avec une accroche un peu excessive. Ce n'est pas une raison pour faire une généralisation fumeuse en disant qu'il ne faut pas lire ZDnet (ok, en général c'est pas formidable ;)
[^] # Re: …pas seulement commerciales
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 3.
Le wiki ArchLinux est un des rares cas de documentation collaborative d'ampleur et de très grande qualité (du moins dans la version anglophone, la VF introudit parfois des approximations voire des erreurs). Je suppose que c'est dû à une bonne coordination et modération.
[^] # Re: La solution ? Ne lisez pas zdnet
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 4. Dernière modification le 26 septembre 2024 à 08:46.
L'article relaie le point de vue de « Jon Corbet, rédacteur en chef de LWN, la meilleure publication sur Linux et superviseur de la documentation du noyau Linux » et de « Alejandro Colomar, qui a maintenu le projet Linux man-pages pendant les quatre dernières années, vient de démissionner. »
Mais effectivement le titre un peu accrocheur ne rend pas justice à l'état réeel de la documentaion Linux (du noyau) qui s'est bien amélioré ces dernières années, ou des pages de man. Si on ne peut pas vraiment parler de Capharnaûm, les problèmes sont réels : fonctionnalités peu ou mal documentées, difficile à comprendre, etc. Il suffit d'aller visiter les liens présent dans l'article.
# À la source
Posté par Voltairine . En réponse au lien Une faille de sécurité à distance jugée très sérieuse sera rendue publique le 6 octobre 2024. Évalué à 8.
Le tweet de Simone Margaritelli
https://threadreaderapp.com/thread/1838169889330135132.html
Le ton est assez curieux mais on peu avoir un ego surdimensionné, être très mauvais communicant et être un bon expert en sécurité.
La gravité de la faille serait confirmée par RedHat et Canonical ce qui ne semble pas être l'avis des développeurs concernés et contactés par Simone Margaritelli. Wait and see…
Il est probable que les conditions d'exploitation de la faille la rendent beaucoup moins préoccupante que tente de le faire cette anonce tonitruante.
[^] # Re: merci papa?
Posté par Voltairine . En réponse au lien Qui est Clara Chappaz, la nouvelle secrétaire d’État chargée de l’IA et du numérique ? . Évalué à -4.
Je me doutais que cela allait dériver sur la French Tech bien que le fait que ce soit de la merde (ou pas) n'entre pas en ligne de compte dans le présupposé totalement injustifié que cette personne n'ait aucune compétence en matière de numérique. (À ma connaissance cet organisme ne délivre aucune subvention publique.)
C'est ce que tu penses, ce n'est pas forcément ce qu'un lecteur ou une lectrice peut ressentir. Le sexisme est tellement ancré dans les mentalités que l'on l'est bien souvent sans vraiment s'en rendre compte.
[^] # Re: Ben si
Posté par Voltairine . En réponse au lien Licences « Fair Source » : ni libres, ni open-source, ni privatrices. Évalué à 1.
Un peu de lecture :
https://www.gnu.org/proprietary/proprietary.fr.html
privateur est une traduction légitime de proprietary de ans ce contexte puisque sa définition est donnée par opposition au logiciel libre.
A contrario je ne connais pas d'équivalent en anglais de privateur et la traduction en français par prorpiétaire est mauvaise puisqu'elle ne correspond pas au sens anglais de « breveté, marque déposée ».
[^] # Re: Ministre de la transition écologique et du lobby pétrolier
Posté par Voltairine . En réponse au lien Ce sera comme avant, en pire.. Évalué à 10.
Aussi ;)
Je me demande à quoi sert la HATVP… ou alors il va falloir m'expliquer ce qu'est un conflit d'interêt…
# Ministre de la transition écologique et du lobby pétrolier
Posté par Voltairine . En réponse au lien Ce sera comme avant, en pire.. Évalué à 8. Dernière modification le 23 septembre 2024 à 15:15.
https://lvsl.fr/pannier-runacher-perenco-et-konbini-quand-les-interets-petroliers-se-repeignent-en-vert/
[^] # Re: merci papa?
Posté par Voltairine . En réponse au lien Qui est Clara Chappaz, la nouvelle secrétaire d’État chargée de l’IA et du numérique ? . Évalué à -2.
Non tu ne comprends pas, car encore une fois tu commentes sans avoir lu et sans savoir.
Elle a été responsable dans d'assez grosses boîtes de commerce en ligne puis à la direction de la French Tech.
Je n'insiste sur le côté sexiste déjà relevé dans un autre commentaire.
Mais ceci n'a guère d'importance vu le peu de temps que ce gouvernement va durer :-D
# Lien tronqué
Posté par Voltairine . En réponse au lien Un cinquième data center géant s’installe à Marseille sous un feu de critiques. Évalué à 2.
Merci de corriger si possible :
https://www.liberation.fr/environnement/un-cinquieme-data-center-geant-sinstalle-a-marseille-sous-un-feu-de-critiques-20240918_LXN2NKKUKZEEHCDR6LQHIQNLNM/
[^] # Re: Quoi ?
Posté par Voltairine . En réponse au lien Des centaines de blessés dans l'explosion de leurs bipeurs !. Évalué à 5.
C'est faux puisqu'il a été établi que Netanyahu est un nazi sans prépuce.
Le terme d'antisémite n'a d'ailleurs pas vraiment de sens dans le conflit israelo-palestinine puisque les deux peuples sont sémitiques. Ils sont tous fils de Sem (au sens biblique) sauf bien sûr le Likoud et le Hamas qui sont des fils de putes.
[^] # Re: Prémisse
Posté par Voltairine . En réponse au lien Quel est le prix à payer pour la sécurité de nos données ?. Évalué à 1.
Certes. Mais ce n'est pas du tout ce dont il est question dans l'entretien mis en lien. C'est bien pourquoi je me suis permis de signaler au commentateur qu'il n'avait pas dû en lire l'intégralité.
# Le révolté du Bounty
Posté par Voltairine . En réponse au lien [Mon blog] Lettre au ministère de l'intérieur, sur l'accès au code source de France Identité. Évalué à 6.
Je parie que si tu as une réponse on va te dire que tu peux participer au « bug bounty » :
https://yeswehack.com/programs/france-identite-numerique-public-bug-bounty-program
et comme ça tu pourras gagner 100 balles et un mars.
[^] # Re: Prémisse
Posté par Voltairine . En réponse au lien Quel est le prix à payer pour la sécurité de nos données ?. Évalué à 0.
Et visiblement tu n'as pas été plus loin. Sinon tu aurais compris ce propos liminaire.
La problématique est d'avoir des fonctionnalités pour exploiter des données (requêtes, simples recherches) chifrées par sécurité.
Si les données ne sont pas chiffrées, on peut envisager toutes les fonctionnalités. Si elles le sont, sans que le serveur puisse les déchifrer il devient très difficile de proposer des fonctionnalités de base comme une simple recherche.