Jeudi, Microsoft va lancer son nouveau système d'exploitation, Windows Seven. Si tout a été tenté pour lancer son nouveau produit en grande pompe, à grands renforts de publicité afin d'essayer de faire oublier le succès mitigé de Windows Vista, il semblerait que la grande nouvelle ne vienne pas directement de Microsoft.
En effet, une faille de sécurité importante a été découverte par la BSI (agence fédérale allemande de sécurité en TIC) dans le protocole SMB2, qui permet de partager l'accès aux imprimantes et aux fichiers aux systèmes Vista, Server 2008 et 7.
Ce nouvel avertissement aurait été ignoré par Microsoft, qui a déjà dû réparer au courant du mois une autre vulnérabilité importante découverte dans ce même protocole SMB2, bien que la faille soit apparemment toujours d'actualité pour Windows Vista.
À ce jour, Microsoft n'a pas annoncé de nouvelle mise à jour avant le grand lancement de Windows 7. Les recommandations de la BSI sont donc : désactiver SMB2.
Ça promet d'être comique... Quoi qu'il en soit, cela continuer à prouver que le Logiciel Libre a indéniablement des qualités en matière de sécurité, en permettant à plusieurs entités indépendantes de contrôler (voire fixer) la sécurité du système, ainsi qu'en autorisant l'existence de plusieurs vendeurs, contrairement à la dépendance à laquelle les utilisateurs de Windows font face, d'autant plus lorsque la sécurité de leur structure informatique est prise en otage par le comportement négligent de Microsoft.
Communiqué de Presse de la Free Software Foundation Europe (fr)
Avertissement de la BSI du 6 octobre 2009 (de)
Journal Windows 7 va être vendu avec une faille de sécurité importante et ignorée
19
oct.
2009
# Dommage...
Posté par Ellendhel (site web personnel) . Évalué à 10.
Z'auraient pu le lancer un jour plus tard pour bien faire.
[^] # Re: Dommage...
Posté par ナイコ (site web personnel) . Évalué à 10.
[^] # Re: Dommage...
Posté par mansuetus (site web personnel) . Évalué à 7.
... et merde, je suis déjà en avance)
[^] # Re: Dommage...
Posté par tuxsmouf . Évalué à 10.
# N° de versions ?
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 1.
# manque d'info
Posté par TImaniac (site web personnel) . Évalué à 6.
Microsoft a depuis publié un patch (13 octobre) qui corrige 3 vulnérabilités liées à SMBv2 ( http://www.microsoft.com/technet/security/bulletin/ms09-050.(...) ).
Comment la FSFE sait-elle le 19 que la faille en question n'est pas une des 3 failles corrigées ? Sa source, l'avertissement de la BSI du 6 octobre se contente de dire que ce n'est pas celle là : http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3(...) , ok mais y'en a 2 autres de corrigé :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2532
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2526
Bref, c'est quoi la source de la FSFE ?
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: manque d'info
Posté par Hugo Roy (site web personnel) . Évalué à 6.
[^] # Re: manque d'info
Posté par Nopenope . Évalué à 10.
Ah? On me souffle à l'oreille qu'on ne parle pas du chat de Schrödinger mais de sa fenêtre… Et si on ouvrait les volets?
[^] # Re: manque d'info
Posté par dguihal . Évalué à 6.
[^] # Re: manque d'info
Posté par Dr BG . Évalué à 5.
[^] # Re: manque d'info
Posté par Larry Cow . Évalué à 10.
[^] # Re: manque d'info
Posté par kowalsky . Évalué à 5.
[^] # Re: manque d'info
Posté par Thomas Douillard . Évalué à 6.
[^] # Re: manque d'info
Posté par fleny68 . Évalué à 2.
[^] # Re: manque d'info
Posté par Obsidian . Évalué à 7.
[^] # Re: manque d'info
Posté par dguihal . Évalué à 3.
[^] # Re: manque d'info
Posté par Nopenope . Évalué à 2.
Ça peut rapidement surcharger un serveur ça…
[^] # Re: manque d'info
Posté par TImaniac (site web personnel) . Évalué à -2.
[^] # Re: manque d'info
Posté par Hugo Roy (site web personnel) . Évalué à 3.
[^] # Re: manque d'info
Posté par Littleboy . Évalué à 0.
Ca dit tous les détails ce qui fait tout de suite beaucoup moins raisonnable, hein...
[^] # Re: manque d'info
Posté par TImaniac (site web personnel) . Évalué à 0.
Tu comprends pas : la BSI publie le 6 octobre un communiqué et précise qu'elle parle d'une autre faille que celle divulguée par MS en septembre.
MS publie un patch le 13 octobre (après donc) qui corrige 3 failles.
La question reste ouverte : sur quoi se base la FSFE pour affirmer que la faille dans parle la BSI n'est pas inclue dans ce patch ?
La BSI ne donne aucune info, même pas un numéro CVE qui permettrait de recouper avec les 3 références fournies par Microsoft.
La FSFE a soit des informations que nous n'avons pas, soit elle suppose que le communiqué de la BSI a été anti-daté, soit elle FUD.
[^] # Re: manque d'info
Posté par BAud (site web personnel) . Évalué à 2.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
# Etude du communique de presse
Posté par Littleboy . Évalué à 4.
Microsoft's latest operating system, Windows 7, is currently shipping with a potentially serious defect. Ahead of the product's global launch on Thursday, Germany's federal IT security agency (BSI) has issued a warning [1] about a high-risk vulnerability in the SMB2 protocol. This can be exploited over the network to shut down a computer with a Denial of Service (DoS) attack.
Pour l'instant rien a dire. Ils ont bien fait de mettre "currently" parce que MS risque de tout faire pour avoir un patch sur Windows Update le jour de la sortie.
This incident illustrates how proprietary software often poses a security risk. "Only Microsoft can fix the problem. But they have apparently closed their eyes to this vulnerability for a long time, hoping that it wouldn't spoil the retail launch of Windows 7 this Thursday," says Karsten Gerloff, President of the Free Software Foundation Europe (FSFE).
"apparently"? Il a des raisons de croire que MS a voulu cacher la faille? Il a des sources en interne pour nous dire que ca fait longtemps qu'ils sont au courant?
Following responsible disclosure practices, the BSI has not published details in its announcement (English translation below) from October 6. While it is generally a good strategy to give vendors time to repair vulnerabilities before announcing them publicly, in this case the BSI should consider publishing the full details of the problem to put more pressure on Microsoft.
100% foutage de gueule... Si c'est pas corrige quelques temps apres la sortie, ok pour publier les details, mais la, je vois pas trop bien pourquoi ils reclament ca, a par pour passer pour des kekes.
The agency says that the security hole affects Windows 7 and Windows Vista in both their 32-bit and 64-bit versions, as well as Windows Server 2008. This vulnerability is different from an earlier SMB2 issue [2] for which Microsoft published the patch MS09-050 in September.
OK, factuel.
FSFE's Gerloff explains: "Microsoft's software locks its users in, so they have to stay even if the company knowingly exposes them to a security risk like this. With Free Software like GNU/Linux - software that you can study, share and improve - several independent entities can fix the problem. Consumers should not support Microsoft's negligent behaviour by buying its products. Free Software offers an alternative, and is available from many independent vendors."
Bon, c'est du discours standard pour la FSF, sauf que le "knowingly exposes" pour un systeme qui n'est pas encore dispo et dont on ne sait meme pas si un patch sera la le jour de la sortie, c'est du FUD grossier.
Microsoft has not yet responded to the BSI's warning. There is no indication that the company will manage to fix the gaping hole in its flagship operating system before the global launch of Windows 7 this Thursday. The vulnerability remains open even after Microsoft's October patch day.
FUD FUD FUD. There is no indication that RMS isn't a child killer.
The company's security practices have long been a cause for concern. In just one recent incident [3], Microsoft knew about another vulnerability in SMB2 since July 2009. While it did fix the problem in the final version of Windows 7 in early August, it did nothing to repair the same problem in Windows Vista or Windows Server 2008 until an independent security researcher went public about the issue.
La dessus, meme si la presentation est super tendencieuse et enrichie en mauvaise foi, gros ratage de MS pour ne pas avoir publie d'advisory plus tot. Cela dit, ca n'a rien d'extraordinaire. Tant que les patchs sont toujours en phase de test, ils vont pas s'amuser a publier des infos alors que la faille n'est pas publique et ne semble pas etre activement exploitee.
German IT news site Heise speculates that the issue ended up on a Microsoft-internal list of low-priority bugs which the company tries to fix silently, in order to avoid negative publicity.
Et on finit par du FUD, comme c'est surprenant... Il y a tellement de conditionnels dans ce communique de presse, on se demande pourquoi...
Et puis a la place de la FSF, j'en rajouterais pas trop sur les fix silencieux pour eviter le pub negative, ca risque de lui revenir rapidement en pleine figure (c'est pas les commit qui manquent dans le repository git du kernel ou la description du bug a ete nettoye pour la rendre anodine alors que l'original decrivait le trou de secu en detail). Sur ce terrain, Linux n'a pas une historique beaucoup plus glorieux que Windows.
[^] # Re: Etude du communique de presse
Posté par Etienne Bagnoud (site web personnel) . Évalué à 4.
Pour l'instant rien a dire. Ils ont bien fait de mettre "currently" parce que MS risque de tout faire pour avoir un patch sur Windows Update le jour de la sortie.
Dès qu'ils auront un patch, ils le feront savoir. Mais pour l'instant ils n'ont rien dit, on peut donc spéculer qu'ils vont avoir un patch ...
Il a des raisons de croire que MS a voulu cacher la faille?
Le fait de mettre sur le commerce une version pouvant contenir un bug connu semble quand même indiquer que Microsoft n'a pas fait tous ce qu'il fallait pour ce bug.
100% foutage de gueule... Si c'est pas corrige quelques temps apres la sortie, ok pour publier les details, mais la, je vois pas trop bien pourquoi ils reclament ca, a par pour passer pour des kekes.
Oui et non, tous les méchants piratent savent maintenant où chercher, donc le risque est grand. Indiquer avec précision le bug maintenant permettrait de trouver des solutions intermédiaire en attendant le correctif.
FUD FUD FUD. There is no indication that RMS isn't a child killer.
À aucun moment Microsoft a dit "Le patch sera disponible le jour du lancement", donc dans le doute on peut croire qu'il ne sera pas disponible. C'est même le contraire, si le patch est disponible, mais les CDs déjà pressés, Microsoft aurait pu faire un communiqué de presse disant : "Voilà, le trou du 6 octobre est corrigé, il faut mettre à jour dès l'installation".
De plus le "Microsoft October patch day" était le 13[1].
Et on finit par du FUD, comme c'est surprenant...
Non "German IT new site Heise speculates ...", c'est un fait. Ce n'est pas la FSF qui spécule. C'est une information qui peut-être pertinente ou pas, à chacun de se faire son idée (en allant lire l'article du journal (qui pointe vers un autre article pour appuyer la spéculation)).
[1] http://www.microsoft.com/technet/security/bulletin/ms09-oct.(...)
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Etude du communique de presse
Posté par ckyl . Évalué à 7.
Je connais pas le planning exact. Mais mettre un produit sur le marché ça implique beaucoup de logistique. En dehors de la campagne de pub ou d'un planning vérouillé pour cause d'événementiel; il faut faire deux trois trucs comme presser quelques millions de CD, les mettre dans les boites, approvisionner les distributeurs etc. Tout ca, ca prend du temps, ca a un cout et tu n'es pas forcement libre des dates (contrats avec les fournisseurs et sous traitants)
Alors j'en sais rien si ils auraient pu fixer la release (15 jours entre l'annonce de la faille et le moment ou la boite doit être en magasin) ou si ils auraient du balancer des millions de CD déjà pressés à la poubelle. Je crois qu'on ne sait même pas si le bug est effectivement corrigé dans la version boite. Mais je penses pas non plus que tu sois au courant des contraintes internes de Microsoft.
Si y'a pas de fix dispo lors de la release (via update ou directement dans la boite), y'aura moyen de gueuler. En attendant c'est beaucoup de bruit pour rien.
[^] # Re: Etude du communique de presse
Posté par mansuetus (site web personnel) . Évalué à 4.
partager ses fichiers avec ça, en ayant une adresse routable, c'est pas juste suicidaire ?
on peut presque supposer que n'importe quel pare-feu du marché bloque la faille...
[^] # Re: Etude du communique de presse
Posté par Gniarf . Évalué à 6.
[^] # Re: Etude du communique de presse
Posté par Olivier (site web personnel) . Évalué à 2.
Par défaut, Windows active le partage de fichiers sur toutes les interfaces (réseau interne et Internet). De plus, le port TCP/445 qui est utilisé pour le partage de fichiers/imprimantes, est aussi utilisé pour d'autres trucs (authentification, ...), donc bloquer ce port peu avoir quelques conséquences un peu chiantes.
[^] # Re: Etude du communique de presse
Posté par Sytoka Modon (site web personnel) . Évalué à 1.
Par contre, je n'administre pas mon parc Windows d'une manière complètement classique ;-)
[^] # Re: Etude du communique de presse
Posté par gnumdk (site web personnel) . Évalué à 2.
[^] # Re: Etude du communique de presse
Posté par dguihal . Évalué à 2.
Un windowsien pour confirmer (ou infirmer :) )?
[^] # Re: Etude du communique de presse
Posté par Olivier (site web personnel) . Évalué à 2.
Si tu désactives l'option "NETBIOS over TCP/IP" (cases à cocher dans les propriétés avancées de TCP/IP), cela ferme ces ports-là (un reboot de la machine est peut-être nécessaire).
Il ne reste alors que les ports TCP/445 et UDP/445, qui servent pour le SMB. Ces ports sont apparus avec Windows 2000 (il me semble). Pour du partage de fichier, Windows utilise maintenant par défaut le 445, plutôt que les 137/138/139
PS: Je ne suis pas windowsien... ;)
[^] # Re: Etude du communique de presse
Posté par dguihal . Évalué à 2.
[^] # Re: Etude du communique de presse
Posté par Olivier (site web personnel) . Évalué à 2.
[^] # Re: Etude du communique de presse
Posté par Etienne Bagnoud (site web personnel) . Évalué à 1.
Si on peut plus partager des fichiers avec un système d'exploitation, on fait quoi avec ?
Ok, SMB est pas un protocole fait pour partager sur Internet, mais dès que tu veux échanger des fichiers avec une machine Windows, à part SMB il te reste plus grand chose ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Etude du communique de presse
Posté par Olivier (site web personnel) . Évalué à 2.
mais dès que tu veux échanger des fichiers avec une machine Windows, à part SMB il te reste plus grand chose
Si je devais utiliser un Windows pour partager des fichiers sur Internet avec un nombre limité de personnes (parents, proches, ...) :
- soit j'enverrai des mails (petit fichiers)
- soit je passerai par un soft libre de chat : Le protocole Jabber, par exemple, permet de partager des fichiers. Un nombre grandissant de clients supportent maintenant cette fonctionnalité
- sinon, je mettrais en place un serveur FTP(S), via Filezilla : http://filezilla-project.org/
#
Posté par totof2000 . Évalué à 6.
Ça promet d'être comique... Quoi qu'il en soit, cela continuer à prouver que le Logiciel Libre a indéniablement des qualités en matière de sécurité, en permettant à plusieurs entités indépendantes de contrôler (voire fixer) la sécurité du système, ainsi qu'en autorisant l'existence de plusieurs vendeurs, contrairement à la dépendance à laquelle les utilisateurs de Windows font face, d'autant plus lorsque la sécurité de leur structure informatique est prise en otage par le comportement négligent de Microsoft.
Beurk !!! On dirait un texte qui est passé par un mauvais traducteur automatique. Qu'est-ce que c'est moche !!!!
# non nouvelle
Posté par Psychofox (Mastodon) . Évalué à 10.
Des failles non corrigées sur une release majeur, c'est arrivé à tous les os, qu'ils soient libres ou pas.
C'est pas ça qui va ou ne va pas me faire utiliser tel ou tel os, tant que c'est corrigé relativement rapidement.
Pour ma part, j'ai essayé la rc de windows seven, juste pour ma culture personnelle. Ça doit faire 2 mois que je l'ai et je l'ai surtout utilisé au début pour me faire une idée. Actuellement j'ai un tri-boot windows seven / linux / opensolaris. Et ces dernières 3 semaines, je n'ai pas booté windows seven, et j'ai du booter 3x linux. Bon j'avoue j'ai mis une zone lx sur mon opensolaris pour pouvoir installer les éventuels softs qui me manquent sur osol (mais je n'ai pas ressenti le besoin d'installer wine par exemple).
Donc bon je n'achèterai pas windows seven (ne le piraterai pas non plus), et une fois la licence rc expirée, je supprimerai cet os qui m'est inutile, proprio et peu agréable à utiliser. Pas besoin de sortir des fausses excuses.
[^] # Re: non nouvelle
Posté par bubar🦥 (Mastodon) . Évalué à 4.
Pourquoi avoir choisi opensolaris plutot que freebsd ? (vraie question, j'espère une vraie réponse).
Merci
[^] # Re: non nouvelle
Posté par Psychofox (Mastodon) . Évalué à 4.
En revanche dans le cadre professionnel j'utilise essentiellement du solaris, donc opensolaris me permet de me familiariser avec les fonctionnalités/technologies qui apparaitront peut-être demain dans solaris (ips, crossbow, automated installer, COMSTAR, l'avancée de openha, cifs server). Mais je réinstalle de temps en temps open/net et freebsd pour suivre l'avancée de ces projets.
[^] # Re: non nouvelle
Posté par Psychofox (Mastodon) . Évalué à 3.
http://wikis.sun.com/display/chosug/Installing+a+Linux+Zone
[^] # Re: non nouvelle
Posté par bubar🦥 (Mastodon) . Évalué à 2.
Le "Solaris Resource Manager" a t il été intégré dans le kernel dorénavant ? (bon pour celui là je vais aller voir les news :p aux dernières nouvelles c'était pas beau à voir surtout comparé au Cgroup de Linux.).
Nous aussi, on utilise pas mal Solaris, et par ailleurs je suis un peu "affectivement" attaché à Sun. Mais je dois aussi avouer que les Solaris 10 que je vois n'utilisent pas les nouveautés officielles et pleinement supportées par Sun (ça en fait déjà un paquet en moins par rapport aux vraies nouveautés)... Donc finalement ce sont des solaris 10 utilisées comme des 8... :( :( Vraiment dommage de laisser un tel o.s un peu à l'abandon :(
# L'intérêt de la faille est limité, non ?
Posté par JGO . Évalué à 0.
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par suJeSelS . Évalué à 3.
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par JGO . Évalué à 2.
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par Albert_ . Évalué à -1.
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par phoenix (site web personnel) . Évalué à 2.
Une fois j'ai discuté avec un vendeur d'une grande enseigne, il disais avoir testé seven, et qu'il consommé beaucoup moins de mémoire, qu'il était plus rapide, .... De tout façon, je suis sur qu'il avait d'autre argument à l'époque où il devait vendre vista.
Bref il y aura des gens pour acheter Seven, parce que le vendeur du magasin, le cousin, ou l'ami kévin, ... aura dis "trop de la bal ce nouveau système".
Moi je suis bien content de ma Gnu/Debian :)
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par bubar🦥 (Mastodon) . Évalué à 4.
ben, quoi ? ouaih t' as raison, mais faut aussi amener du Kevin, quitte à avoir du "ouaha c'est trop de la balle ce nouveau système" ;) ;)
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par thedude . Évalué à 1.
Depeche toi d'editer la page wikipedia d'xp, ils y disent que le support sera assure jusqu'au 8 avril 2014.
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par Albert_ . Évalué à 2.
http://www.pcworld.fr/2009/04/14/logiciels/windows-xp-suppor(...)
Dis a ta boite de changer ses communiques de presse dans ce cas la et aussi ses apges web car j'ai trouve probablement sur la meme page sur laquelle tu as du aller.
Date de fin de la phase principale de support : 14/04/2009
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par TImaniac (site web personnel) . Évalué à 3.
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par Albert_ . Évalué à -1.
Montre moi donc le mot "plus" dans mon message? Ma phrase est 100% correct la tienne contient des affabulations. Pas franchement surprenant, je dirais meme classique. Adapter les messages de tel sorte a dire que votre interlocuteur a menti c'est une grande specialite tout comme le genre d'attaque "ad hominem" juste au dessus.
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par TImaniac (site web personnel) . Évalué à 3.
". Cela n'a pas empeche et n'empeche pas Microsoft de continuer a vendre XP dont le support est arrive a expiration. "
Non, le support n'est pas arrivé à expiration. Il a juste changé de niveau.
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par thedude . Évalué à -3.
C'est quelle partie de expiration que tu comprends pas? expiration ou expiration?
C'est con, t'avais l'air de prendre tes pillules ces derniers temps, on t'entendais plus trop sur MS, t'as arrete? La secu les prends plus en charge?
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par Littleboy . Évalué à -1.
Non c'est parce qu'il se preparait un nouveau multi, le temps de se faire du karma...
Et puis il a demenage et comme il est pas tare au point de troller sur LinuxFR au lieu de s'occuper de sa famille, il avait moins de temps pour raconter des conneries (d'ailleurs les remarques sur les pilules c'est pas franchement necessaire, c'est juste un troll un peu con qui fait une fixation sur MS, pas la peine de faire dans ce genre de bassesse). La il est en conf, donc ca lui laisse plein de temps pour se detendre...
[^] # Re: L'intérêt de la faille est limité, non ?
Posté par thedude . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.