Anonyme a écrit 62292 commentaires

justement, la bonne idée est que ce n'est pas mis dans le domaine publique, mais distribué sous GPL : cela nous permet d'y accéder sans devoir payer alors que nous, en tant que contribuables, l'avons déjà financé, tout en permettant que ce logiciel évolue sans dérive propriétaire.

> Si c'était possible aux concepteurs de s'inspirer de ce
> qui existe et de ne pas renouveler à chaque version majeure du noyau...

Dire qu'en 2.0.3x on avait IP Filter. Dégradé, certes, mais avec le stateful...

Le jour ou BSD sera à la mode, je passe à Plan9 !!! :-))

victim c'est le programme sur lequel tu applique l'exploit comme par exemple su ... il doit avoir le bit suid ... address c'est euh ... cf l'exploit sur bugtraq ...

> Le nb d'advisories dans Bugtraq ne prouve rien.
>
> Si il y a peu d'advisories, c'est soit que personne n'utilise l'OS,

Ce qui n'est certainement pas le cas des *BSD

> soit que l'OS est très fermé et qu'on ne peut
> pas y faire grand chose.

Là d'accord: je pense aux VMS et autres.

> Linux a le plus d'advisories car les sources sont dispo

comme les *BSD

> et beaucoup de monde travaille dessus à améliorer sa sécurité.

Beaucoup d'efforts que les fabriquants de distros de merde réduisent à néant.

> C'est plutôt bon signe.

Non c'est inquiétant, il n'y a qu'à regarder le score de mdk :-((

LFS vaincra !!!

Bon, pour le ton comme pour la forme, je pensais être dans un troll...

Pour que quelqu'un d'autre n'utilise pas le canal
précédement ouvert pour passer au travers des
règles de filtrage.

Il faudrait vérifier, mais a une certaine époque
IP Filter était le seul "stateful" à tester les
numéros de séquence TCP.

Je dois avoir tord maintenant: http://www.hsc.fr/ressources/presentations/netfilter-2.4/netfilter-(...)

Il semblerait que les gens qui ont implémenté netfilter/iptables se sont inspirés d'IP Filter

Patience les BSDistes, votre heure de gloire viendra. Pour le moment, la mode c'est Linux, demain ça sera *BSD! C'est la vie!
....
En attendant, allez jouer ailleurs ;-)

Tout à fait d'accord, la syntaxe est illisible et favorise les erreurs.

J'apprécierais aussi d'avoir un chargement atomique des régles, comme sur ipfilter, et pas par scriptage commande par commande.

Si c'était possible aux concepteurs de s'inspirer de ce qui existe et de ne pas renouveler à chaque version majeure du noyau...

ouaip, j ai testé la release candidate 1 qui marche plutot bien.

Après ipfw, ipchains, iptables... Pour le noyau 2.6, ils vont nous faire ipblock ?

Non, IPCecater.

C'est un peu vieux mais bon :

http://www.false.net/ipfilter/2000_05/0291.html(...)

Après ipfw, ipchains, iptables...
Pour le noyau 2.6, ils vont nous faire ipblock ?

Remarque que si ils en profitent pour rendre
la syntaxe un peu moins à chier, ce sera
un grand pas en avant.
</troll>

>Vite, je crois pas que l'école est d'accord :p

Pourquoi ?

philou

A ce que j'ai compris, voici comment ça se passe un peu plus précisément:
- un client envoie un premier fragment de paquet IP vers le fw sur un port autorisé par IPFilter
- a partir de là, le client peut contacter n'importe quel port normalement interdit du fw, moyennant une petite bidouille dans l'entête des paquets envoyés
- ceci n'est valable que pendant un certain temps donc il faut continuer a envoyer des fragments de paquet IP (il faut que IPFilter soit en attente de fragments pour que l'exploit soit possible)

Ce n'est pas bien dur à exploiter! <anti-troll>je ne dis pas non plus que c'est facile à exploiter</anti-troll>

pas encore d'exploit
Heu, quand je lis la bugtraq, je vois:

These are the - intentionally slightly broken - diffs to be applied to fragrouter 1.6 to implement the described attack.

L'exploit existe, il faut juste se creuser les méninges pour le faire marcher...

> iptables ne vérifie pas les numéros de
> séquences TCP dans une connexion établie.

Pour les incultes comme moi, ca sert à quoi de vérifier les numéros de séquences TCP dans une connexion établie ?

Dit le Linuxien crétin et statisfait. Pour te remettre à ta place je vais te quoter une portion du programme avec lequel le problème a été mis en évidence:

*** 126,132 ****
NULL, /* ATTACK_MISC */
"misc-1: Windows NT 4 SP2 - http://www.dataprotect.com/ntfrag/",(...)
"misc-2: Linux IP chains - http://www.dataprotect.com/ipchains/(...) ",
! NULL,
NULL,
NULL,

C'est cool, l'URL qui va bien est dedans...

Enfin pour en finir je te suggère d'aller voir les stats sur les advisories de sécurité à l'URL suivante: http://www.securityfocus.com/vdb/stats.html(...) tu vas y découvrir qu'en 2000 Linux a fait plus fort que Windows 3.11, 95 et 98 réunis et qu'en 2001 il est toujours en tête devant le trio infernal (30 contre 4)!!!

ROTFL...

--
'tain là ca va saigner :-)

Je ne connais pas bien ipfilter...qq connais une bonne url qui le compare à iptables de facon objective ??

Pas bien !

iptables ne vérifie pas les numéros de séquences TCP dans une connexion établie.

> IPFilter, qui est aux *BSD ce que IPChains est
> à Linux (mais en beaucoup plus puissant)

Il ne faut pas comparer ipchains à ipfilter mais plutot iptables à ipfilter.

Et est-ce que debian compte reprendre le sytème d'install graphique à son compte pour la woody par exemple ?
Ce serait peut etre une bonne chose non, du moment qu'on garde le choix entre ncurses et graphique-gtk-convivial ?

si le Firewall autorise les connexion vers le port 80 d'un serveur web dans une DMZ, l'exploitation de cette faille permet de se connecter à TOUS les ports ouverts sur cette machine

Pas forcément. Le match de fragement a eu lieu APRES la vérification de srcip+dstip+ip#. Donc à condition qu'une connexion soit établit.

De l'avis de Darren :

How to exploit? Something will end up on bugtraq but so far, what I've seen isn't a complete exploit of the problem.

Il s'agit d'un bug, mais pas encore d'exploit, il nous laisse donc le temps de patcher le kernel ;-)

oui surtout que le dernier noyau fournit par redhat sur rh 7 et sur rh 6.2 est le 2.12.17 :p

> Maintenant, faire ca sur 10 ans ... ca montre
> pas une volonté terrible, le MIT voulait-il
> faire un effet d'annonce ?

10 ans, il leur faudra au moins ca pour retranscrire les cours en LaTeX les compiler et les mettres en ligne apres avoir fait un latex2html. Bon je ne sais pas si c'est LaTeX qui sera employe mais c'est vrai que ca represente un gros travail. Surtout que les profs n'ont pas que ca a faire, du moins je pense. Mais si ca se fait ... ouah! ca va etre le pied.

case (desole pour la non-authentification).

C pas parce que on parle pas de BSD ou du reste qu'il y aura plus d'info sur Linux, alors je vois pas ce que ca change...
En plus c classer par sujet, personne t'empeche de choisir, c plus simple que que lire 50 sites... Surtout que niveau news BSD bsdfr.org est un peu vide et du coup Linuxfr informe mieux, je trouve.
Mais ton troll de choisir selon TES criteres...
Merci mais non merci

Par contre Solaris, ben pourquoi pas apres tout, les news ki sortent sur les systemes autres que Linux sont toujours assez generales, donc c pas fatiguant de garder l'esprit ouvert.


--
Mince y a encore des fautes