tag:linuxfr.org,2005:/users/papatte3LinuxFr.org : les contenus de papatte32014-07-21T13:49:43+02:00/favicon.pngtag:linuxfr.org,2005:Diary/351192014-07-17T10:09:40+02:002014-07-17T10:09:40+02:00De l'approche ultra-légère de la sécurité sur linuxfr<p>Comme vous le savez, linuxfr a été très lent ces derniers jours. Cette lenteur est en fait dûe à un problème de sécurité au niveau du service elasticsearch, qui a <a href="//linuxfr.org/nodes/102747/comments/1549440">permis à des bots floodeurs de s'exécuter</a>.</p>
<p>Comme on peut voir dans le lien, les admins linuxfr ont arrêté elasticsearch et verrouillé le compte concerné. A première vue c'est assez logique : on peut penser que les bots ont profité d'une API trop ouverte d'elasticsearch pour le faire indexer des pages de spam. Il n'y aurait donc aucun risque que le serveur soit vérolé au delà d'elasticsearch.</p>
<p>Sauf qu'on apprend que <a href="//linuxfr.org/nodes/102747/comments/1549460">le problème n'était pas celui là</a> : le problème était qu'une fonctionnalité permettant d'exécuter du code arbitraire était ouverte.</p>
<p>Je cite la doc. d'elasticsearch : </p>
<blockquote>
<p>Well, the issue with dynamic scripting is that it opens the full power of the JVM to execute arbitrary scripts. Scripts can be sent that read files from disk, execute commands through the java.lang.Runtime package, access the internals of Elasticsearch, and so on. </p>
</blockquote>
<p>Bref, n'importe quoi a pu être exécuté par l'user d'elasticsearch.</p>
<p>En résumé :</p>
<ul>
<li>Du code arbitraire a pu être exécuté depuis le début de la version RoR de linuxfr</li>
<li>La faille a été exploitée pendant plus d'une semaine</li>
<li>La réponse est uniquement de désactiver le service problématique</li>
<li>Il n'y a eu aucune vérification que le système n'est plus vérolé, aucune vérification que les données des utilisateurs n'ont pas été leakées, et en plus il n'y a aucune indication qu'il est prévu de le faire.</li>
</ul><p>Je suis le seul à trouver complètement hallucinant la légèreté avec laquelle la sécurité des données des utilisateurs du site est prise en compte ?</p><div><a href="https://linuxfr.org/users/papatte3/journaux/de-l-approche-ultra-legere-de-la-securite-sur-linuxfr.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/102795/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/papatte3/journaux/de-l-approche-ultra-legere-de-la-securite-sur-linuxfr#comments">ouvrir dans le navigateur</a>
</p>
papatte3https://linuxfr.org/nodes/102795/comments.atomtag:linuxfr.org,2005:Diary/350132014-06-03T11:36:36+02:002014-06-03T11:36:36+02:00La SACD sur le Parti Pirate<p>En trainant sur la tribune, je suis tombé sur ce billet particulièrement détestable qui, grâce à un magnifique sophisme assimile le parti pirate au front national : <a href="http://www.europe.blog.sacd.fr/troublantes-similitudes/">http://www.europe.blog.sacd.fr/troublantes-similitudes/</a>.</p>
<p>D'ailleurs, je constate moi aussi une convergence assez surprenante :</p>
<ul>
<li>Guillaume Prieur publie des textes de nature politique, Hitler également</li>
<li>Mes sources laissent penser qu'il fait caca, Hitler également</li>
<li>Prieur rime avec "Führer"</li>
</ul><p>Troublantes similitudes.</p><div><a href="https://linuxfr.org/users/papatte3/journaux/la-sacd-sur-le-parti-pirate.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/102393/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/papatte3/journaux/la-sacd-sur-le-parti-pirate#comments">ouvrir dans le navigateur</a>
</p>
papatte3https://linuxfr.org/nodes/102393/comments.atom