Journal Faille importante de sécurité dans Mozilla et Firefox

Posté par  (site web personnel) .
Étiquettes :
0
29
juil.
2004
Une faille importante de sécurité a été découverte sur Mozilla et Firefox.

La faille permet à un site ne disposant pas de certificat valide de faire croire qu'il en a un. Elle permet aussi d'écraser les certificats racines du navigateur.

Plus d'infos:
http://mozillazine-fr.org/archive.phtml?article=5089(...)
http://www.mozillazine.org/talkback.html?article=5089(...)
http://bugzilla.mozilla.org/show_bug.cgi?id=253121(...)
http://bugzilla.mozilla.org/show_bug.cgi?id=249004(...)

Pour l'instant, le CVS est corrigé, les dév de Mozilla se demandent encore s'il vont publier un patch ou faire une nouvelle release.

Versions touchées: Mozilla 1.6x, 1.7x - Firefox 0.9x

Je suis étonné que cette info passe inaperçue, la faille me semble pourtant être critique.

PS: j'ai posté l'info, mais elle est en attente de modération depuis hier.
  • # merchi

    Posté par  (site web personnel) . Évalué à 2.

    Merci pour l'info, c'est toujours important d'être tenu au courant...
    Heuresement nous n'avons pas un naviguateur encore trop répandu, celà limite le nombre d'"exploitation" de failles possibles;
    De plus merci à l'équipe de Mozilla pour sa forte réactivité... reste que il faut sortir un patch, parcque sur le CVS ca n'aide pas beaucoup le newbie de base...
    Un petit bémol quand même : c'est moi où bientôt on aura autant de bulletin d'alerte pour mozilla que pour IE ??
    • [^] # Re: merchi

      Posté par  (site web personnel) . Évalué à 4.

      "c'est moi où bientôt on aura autant de bulletin d'alerte pour mozilla que pour IE ?? "

      Ca ça n'est pas trop grave. Ce qui serait grave si on avait le même rythme de corrections.
      • [^] # Re: merchi

        Posté par  (site web personnel) . Évalué à 5.

        Il y a une question que je me pose aussi... Sous Windows et IE il y a des boites de sécurité informatique qui n'ont rien d'autre à foutre que de chercher des failles, sans parler du nombre d'utilisateurs qui se sentent une âme de bidouilleur/hacker qui peuvent en trouver... Si autant de personnes s'amusait à essayer d'en trouver dans mozilla combien en trouverait-on ?
        • [^] # Re: merchi

          Posté par  (site web personnel) . Évalué à 4.

          Tu vas finir embastillé, toi.
          Ou sur un bûcher.
          • [^] # Re: merchi

            Posté par  (site web personnel) . Évalué à 2.

            Historiquement je préfères finir sur un bûcher, question de comparaison ;)
          • [^] # Re: merchi

            Posté par  (site web personnel) . Évalué à 2.

            Tu vas finir embastillé, toi.
            Ou sur un bûcher.


            Pourquoi ? Parce qu'il a osé dire que Mozilla pouvait contenir des bugs ?

            BLASPHEME !!!

            Non mais c'est pas fini votre masturbation collective devant Mozilla ? C'est vrai quoi, Mozilla c'est tres bien, mais comme tous les softs ya des bugs ...

            Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, ca serait tres bien.
            • [^] # Re: merchi

              Posté par  . Évalué à 0.

              On se gausse tellement par ici des problèmes de sécurité des produits Microsoft ...

              Le discours change un peu quand des failles pointent le bout de leur nez, même s'il a toujours été dit (un peu en l'air) que n'importe quel programme avait des bugs (mais aussi que mozilla était mieux programmé donc plus sécurisé).

              Bref, même si on est encore loin en terme de nombre de failles, au final il reste surtout la vitesse de correction des failles ...
              • [^] # Re: merchi

                Posté par  . Évalué à 3.

                bon vous avez finis de dire tous la même chose?
            • [^] # Re: merchi

              Posté par  (site web personnel) . Évalué à 2.

              Eh oh me fait pas dire ce que je n'ai pas dis, je n'ai pas dis que trouver des bugs c'est bien :) Je me pose juste des questions, surtout dans ce cas précis qui est un des plus beaux paradoxe de l'informatique à mon avis.
              Et puis franchement l'engueule pas, j'ai bien aimé sa réplique, parcque franchement je l'avais bien cherché ;)
              Zorro est arrivé...
              • [^] # Re: merchi

                Posté par  (site web personnel) . Évalué à 2.

                Eh oh me fait pas dire ce que je n'ai pas dis, je n'ai pas dis que trouver des bugs c'est bien :)

                C'est pas exactement ce que j'ai dit.

                J'ai dit :

                Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, ca serait tres bien.

                Ce que je pourrais aussi dire :
                Et si, comme le disait TImaniac, des personnes trouvent plus de bugs, (a partir de la c'est mon point de vue) ca serait tres bien.

                D'ailleurs je vois pas pourquoi ca serait mal de trouver des bugs dans Mozilla, cela ne ferait que l'ameliorer.
                • [^] # Re: merchi

                  Posté par  (site web personnel) . Évalué à 2.

                  Autant pour moi.
                  • [^] # Re: merchi

                    Posté par  . Évalué à 5.

                    > Autant pour moi.

                    Je te mets en garde contre l'emploi de cette expression qui peut sembler anodine mais qui peut être étonament trollogène sur ce site (et ailleurs)

                    ---------->[]
                    • [^] # Re: merchi

                      Posté par  (site web personnel) . Évalué à 2.

                      Ce que je ne comprends toujours pas.

                      Cette expression sert à dire 'Je t'ai tapé sur la gueule sans raison, je m'auto-flagelle et on est quitte'.
                      Autrement dit 'Désolé'.

                      Alors que pour trouver un lien sémantique entre 'Au temps pour moi' (que je n'ai jamais lu dans un livre du reste) et 'Désolé' ...
          • [^] # Re: merchi

            Posté par  . Évalué à 2.

            Pourquoi ? Tu peux prouver que Mozilla n'a pas de « mauvais » code ? On devrait taire toutes ses failles ? On devrait être de mauvaise foi parce que certains crachaient sur le propriétaire et ses failles ?
    • [^] # Re: merchi

      Posté par  . Évalué à 1.

      Mozilla et plus jeune que IE aussi. Si on a autant de problèmes dans le futur, on pourra se poser des questions. Pour l'instant ce ne sont que des erreurs de jeunesse !
      • [^] # Re: merchi

        Posté par  (site web personnel) . Évalué à 1.

        Pas si sûr : Netscape est plus vieux que IE et pas mal de code de Mozilla vient de Netscape. De toutes façons, le nombre de bugs dans un soft n'est certainement pas proportionnel à son âge.
        • [^] # Re: merchi

          Posté par  (site web personnel) . Évalué à 2.

          Pas mal ?
          Pas si sûr... Il me semble avoir lu je ne sais plus trop où que moins de 20% venait de Netscape.
  • # Annonce du problème

    Posté par  . Évalué à 2.

    ... mais y avait pas la correction
    http://linuxfr.org/~poltuiu/14609.html(...)

    J'ai pas l'habitude de ce genre de choses, donc je ne peux pas juger.
    Mais pour vous, 2 semaines, c'est long ou rapide pour corriger ce genre de chose ?
    • [^] # Re: Annonce du problème

      Posté par  (site web personnel) . Évalué à 2.

      Pour un projet OpenSource c'est relativement long (en general quand on voit les annonces de failles on voit direct le patch avec)
      Mais par rapport aux logiciels proprios c'est relativement rapide ;)
      (Comme vous le remarquez tout est relatif )
    • [^] # Re: Annonce du problème

      Posté par  . Évalué à 3.

      «  ... mais y avait pas la correction »
      Pas tout à fait. Ce sont deux failles différentes. La première, celle que tu exposes dans ton journal, causait un DoS. Celle dont il est question ici est du type spoofing. Ces deux failles on été corrigées le même jour cependant.

      « Mais pour vous, 2 semaines, c'est long ou rapide pour corriger ce genre de chose ? »
      La première vulnérabilité a été découverte il y un mois (29 juin 2004). En ce qui concerne le "temps de réaction", je n'en sais rien. Je ne suis pas informaticien, encore moins expert en sécurité informatique, mais la faille la plus critique à mes yeux (la 2nde) a été corrigée très rapidement (moins de 48 heures).

      Fab.
    • [^] # Re: Annonce du problème

      Posté par  (site web personnel) . Évalué à 1.

      J'avais bien vu l'autre journal, mais je trouvais qu'il minimisait la faille en ne parlant que d'un Deni de Service; or il s'avère que la faille permet à un site n'ayant pas de certificat valide de faire croire qu'il en a un.

      Pour ce qui est de la correction, je trouve que c'est relativement long, mais n'oublions pas que nous sommes au mois de juillet.
      • [^] # Re: Annonce du problème

        Posté par  . Évalué à 2.

        Non DPhil. Ce sont deux failles distinctes : un DoS et un spoofing. Relis l'article sur Mozillazine et mon commentaire juste au dessus du tien.

        ps : Pourrais-tu par la même occasion rajouter le ' t ' manquant dans ma phrase : « Ces deux failles ont été corrigées (...) » Je n'avais pas retiré mes moufles ;-) Merci.

        Fab.
        • [^] # Re: Annonce du problème

          Posté par  (site web personnel) . Évalué à 2.

          Oui, ce sont bien deux failles distinctes, mais il semblerait qu'elles soient dues au même bug d'après ce que j'ai pu lire.


          ps : Pourrais-tu par la même occasion rajouter le ' t ' manquant dans ma phrase : « Ces deux failles ont été corrigées (...) » Je n'avais pas retiré mes moufles ;-) Merci.

          J'aimerais bien pouvoir corriger, mais je ne suis pas admin sur ce site.
  • # la dépêche passera en même temps que le patch sortira :-)

    Posté par  . Évalué à 1.

    j'ai aussi posté une dépêche pour ces 2 failles ...

    mais bon les modéro la feront passer quand le patch sera sortie et qu'elle ne sera plus vraiement d'actualité ! :-)

    ou alors ils sont tous en vacances !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.