On va faire très court, il ne me semble pas avoir vu passer d’information sur LinuxFr.org au sujet de la très sérieuse faille du noyau Linux de la semaine, qui existe depuis 9 ans et qui a reçu le joli nom de Dirty COW. C’est la mode les petits noms pour les failles, un peu comme les noms pour les ouragans…
- http://arstechnica.com/security/2016/10/most-serious-linux-privilege-escalation-bug-ever-is-under-active-exploit/ ;
- http://www.nextinpact.com/news/101856-une-faille-dans-kernel-linux-vieille-9-ans-corrigee-mais-deja-exploitee.htm.
Mettez à jour votre distro, c’est le moment !
N. D. M. : voir les liens supplémentaires dans ce commentaire.
# .
Posté par Sufflope (site web personnel) . Évalué à -10.
La prochaine fois si c'est pour faire tellement court que tu fournis moins d'informations que les articles merdiques sensationnels grand publics que tu références, fais encore plus court, envoie rien.
Bah moi même après la lecture de ce torchnal j'ai pas le sentiment d'avoir vu passer d'information non plus. Si c'est pour savoir "faut mettre à jour" merci mais apt-dnf-truc-cron fait le taff plus efficacement.
À part le fait que 01net a titré "OMAILLEGAUDE LINUX EST TROUÉ" quels sont les arguments que tu proposes pour appuyer ce "très sérieuse" ? Mon serveur, très exposé d'un certain point de vue (serveur DNS autoritaire donc potentiellement contacté par toute machine, etc), et pas du tout d'un autre (un seul utilisateur : moi) est-il exposé ?
Dans la mesure où le concept de mode a été inventé pour pouvoir vendre la même merde 1, 2, 3 4 fois par an aux bourgeoises parisiennes oisives, je vois pas bien le rapport avec une nomenclature scientifique mise en place il y a plus d'un siècle.
Au plaisir de ne pas te relire.
[^] # Re: .
Posté par lhardy philippe (site web personnel, Mastodon) . Évalué à 10.
J'ai fait vite parce ce que je pensais, et je pense toujours que cela a de l'importance; Et… il est tard.
Que l'information soit relayée par des sites pourris n'empêche pas le fait que la faille du noyau linux est importante car il est démontré qu'elle est exploitée.
Je compte sur l'intelligence des lecteurs pour faire leur propre opinion. Y a t'il un moyen encore plus court que le journal pour ce genre de notification ?
Comme je ne poste pratiquement jamais je ne suis pas rompu à cet exercice, mais je peux survivre à la vindicte de personnes habituées à l'exercice, l'important étant que la communauté soit informée.
Je continue à considérer qu'une information partielle ou de mauvaise qualité sur ce genre de sujet est meilleure qu'une absence d'information.
J'essairai de faire mieux la prochaine fois.
[^] # Re: .
Posté par Sufflope (site web personnel) . Évalué à -10.
Quand Kim Kardashian a été cambriolée à Paris il y a surement eu des gens qui ont pensé que c'était important et qu'il était tard. Bon on a pas eu de journal, je suis déception.
Aucune explication d'exploit ni ici ni sur Nextinpact par exemple. On a droit à un Selon lui, son code d’exploitation, compilé avec GCC 4.8.5, n’a pas besoin de plus de cinq secondes pour obtenir les droits root sur une machine.
Purement sensationnaliste : soit les cinq secondes sont censées montrer qu'on se fait vite avoir (la faille implique un humain (social engineering)) et alors cette métrique n'a en fait aucun sens (ça veut dire que Mme Michu ne lit pas un message d'alerte, ah bon ? je savais pas) soit c'est du sensationnalisme à base de rendez-vous compte, un programme qui se lance aussi vite qu'Office suffit mais alors si un truc automatisé prend 5 fucking seconds pour s'exécuter, alors sur DLFP j'attends au moins un commentaire du style lol c du java ?.
Je suis assez déçu par Nextinpact au passage. Ils me semblaient avoir un meilleur niveau en vulgarisation/technicité.
Mais putain il n'y a aucune information à part mon Dieu Linux est troué courrez pour vos vies!!?1!
Bah visiblement tu sais pas lire donc je le remets : Si c'est pour savoir "faut mettre à jour" merci mais apt-dnf-truc-cron fait le taff plus efficacement.
Le contraire a tellement été démontré.
[^] # Re: .
Posté par Matthieu Moy (site web personnel) . Évalué à 9.
La faille utilise une race condition, donc le fait qu'elle soit exploitable en 5 secondes n'a rien de sensationnaliste, c'est clairement une info pertinente sur sa gravité.
nb : j'ai eu cette information en suivant le premier lien du journal, donc visiblement il y avait de l'information dedans quand même …
[^] # Re: .
Posté par ptit_poulet . Évalué à 10. Dernière modification le 22 octobre 2016 à 00:28.
@Sufflope : il ne faut pas être aigri de la vie comme ça, tu vas te faire du mal à force…
Il est sympa @lhardy philippe il prévient les lecteurs de linuxfr qui auraient pu passer à côté.
[^] # Re: .
Posté par Kerro . Évalué à 3.
C'est ton avis. Et peut-être celui d'une bonne partie des gens.
Son avis à lui, qu'il explique très clairement (et que tu n'as pourtant pas compris), est que ce journal ne prévient justement de rien du tout. Car après l'avoir lu tu n'en sais strictement pas plus qu'avant. Sauf que tu ressens plus ou moins confusément qu'il serait bien de vérifier si c'est vrai/important/urgent. Bref, rien de plus que n'importe quel buzz que déferle à la pelle quotidiennement. A la différence que sur linuxfr on a tendance à y accorder plus de crédit.
En gros l'auteur du journal est tombé sur un truc qu'il estime important, qu'il n'a même pas lu (sinon il aurait fait un court résumé non ?). Donc au final l'information n'a strictement aucune valeur.
Ou alors l'auteur du journal est tombé sur un truc qu'il estime important, qu'il a lu, mais n'a même pas pris la peine d'écrire 2 lignes d'explication. Encore une fois c'est une absence d'information.
Je suis étonné que sur un site comme linuxfr on en soit à « expliquer » les bases pour des choses aussi simples et évidentes.
[^] # Re: .
Posté par lhardy philippe (site web personnel, Mastodon) . Évalué à 10.
L'auteur a pris connaissance de la faille à son travail auprès d'un collègues.
L'auteur a participé à la rencontre accès libre de linux-azur et c'est à son retour qu'il a pris le temps de vérifier l'information.
La faille paraissant suffisamment sérieuse aux yeux des compétences professionnelles de l'auteur, l'auteur a procédé à la mise à jour du serveur de linux-azur et a décidé entre plusieurs activités de poster rapidement l'information sur linuxfr.
Suite à quoi il a répondu à divers mail fait un peut de travail administratif pour préparer la rencontre accès libre du lendemain matin.
A un moment donné cet auteur a lu le commentaire et y a répondu réalisant l'effectif manque de qualité de son post, à la suite de quoi il a posté un commentaire avec des liens plus probants.
Ma question rapide : comment on édite son journal ?
[^] # Re: .
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
Un premier commentaire rentre-dedans se plaignant d'un manque mais ne faisant rien pour le combler, se contentant de prendre à partie l'auteur. Heureusement noté très négativement. Ça me fait penser à la discussion sur Ryzom et les fonctions de hachage… Au passage vu les contenus précédents de celui qui jette la première pierre, ça devrait l'inciter à plus de modestie et de retenue compréhensive.
Un autre commentaire s'étonnant qu'il faille sans cesse expliquer et réexpliquer. Ben oui c'est le principe des FAQ, ce qui arrive quand les gens vieillissent et que des nouveaux arrivent, quand des visiteurs occasionnels rencontrent des assidus, quand des utilisateurs croisent des adminsys, etc. Ou quand les gens vont une erreur, ça arrive, ce n'est pas dramatique, c'est facile à corriger, etc.
Seul un modérateur peut le faire, j'ai ajouté une NdM pour pointer sur le commentaire.
Alors oui ce journal n'est pas parfait, le prochain sera peut-être meilleur, et merci pour les commentaires constructifs des autres fils de discussion. Bref ça fait plaisir d'y voir une communauté accueillante, constructive, bienveillante, etc. Utopie ?
[^] # Re: .
Posté par Couz . Évalué à 10.
La prochaine fois économise toi la peine d'écrire un commentaire nuisible.
[^] # Re: .
Posté par ghghfhfhffh . Évalué à -10.
Connard qui pète plus haut que son cul parce qu'il connaît trois commandes, va mourir va…
[^] # Re: .
Posté par Xavier Teyssier (site web personnel) . Évalué à 9.
Le désaccord n'empêche pas la politesse. Merci de s'abstenir de proférer des insultes.
# De meilleurs liens ( font de meilleurs amis )
Posté par lhardy philippe (site web personnel, Mastodon) . Évalué à 10.
Redhat considère la faille comme importante :
https://access.redhat.com/security/vulnerabilities/2706661
Il y a des preuves d'exploitabilité du bug (proof of concept) ici
https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs
( dont cowroot qui donne à utilisateur non root les droits root en réécrivant /etc/passwd ou un binaire suid. )
Pour debian : liste des paquets fournissant le correctif :
https://security-tracker.debian.org/tracker/CVE-2016-5195
remarque : puisqu'il s'agit du noyau il faut rebooter pour activer le fix.
[^] # Re: De meilleurs liens ( font de meilleurs amis )
Posté par claudex . Évalué à 6.
J'espère bien, ça veut quand même dire que n'importe quel faille dans un logiciel exposé sur le net permet l'accès root. Ça veut dire que n'importe quel service qui permet à des utilisateurs d'exécuter du code (par exemple un hébergeur) leur donne un accès root.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: De meilleurs liens ( font de meilleurs amis )
Posté par dastious . Évalué à 8.
Il y a aussi cette super vidéo qui explique le pourquoi du comment en détail : https://youtu.be/kEsshExn7aE
[^] # Re: De meilleurs liens ( font de meilleurs amis )
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 23 octobre 2016 à 13:16.
Oui et d'ailleurs il y a quelques trolls qui sont sortis du bois, en mode « bouh red hat c'est de la m**** ils n'ont toujours pas mis à disposition un correctif complet » J'avoue que je ne comprends pas ça non plus… La faille chez Red Hat est classée "importante" et c'est tout, pas "critical". Si quelqu'un pouvait expliquer pourquoi ce n'est que "important" alors que Debian, Ubuntu, et les autres grandes distribs ont distribuées immédiatement un correctif ?
Je suis tout chamboulé par cette faille ..
[^] # Re: De meilleurs liens ( font de meilleurs amis )
Posté par wismerhill . Évalué à 3.
Je ne sais pas pourquoi c'est le cas ici en particulier, mais les distributions activent des options différentes dans le noyau, ce qui peut faire qu'une faille sera critique pour certains et moins pour d'autres parce qu'ils auront activé des options qui augmentent la sécurité et mitigent l'impact de la faille (typiquement selinux chez redhat), voir pas du tout si le code concerné n'est pas activé.
[^] # Re: De meilleurs liens ( font de meilleurs amis )
Posté par bubar🦥 (Mastodon) . Évalué à 3.
Oui c'est peut être selinux, mais ça pourrait être autre chose. Je n'y comprends rien, vais aller relire les docs sur les exploits.
[^] # Re: De meilleurs liens ( font de meilleurs amis )
Posté par pasBill pasGates . Évalué à 6.
La raison est problablement que ce n'est pas exploitable à distance.
Et important-critical n'a probablement aucune incidence sur la vitesse à laquelle le patch sort.
[^] # Re: De meilleurs liens ( font de meilleurs amis )
Posté par Marotte ⛧ . Évalué à 3. Dernière modification le 24 octobre 2016 à 06:17.
Oui mais ça augmente l’impact potentiel des failles exploitables à distances.
Cela dit tu as probablement raison. Si une telle faille locale était taggée Critical, quel serait le niveau d’une faille de ce genre exploitable à distance ?
[^] # Re: De meilleurs liens ( font de meilleurs amis )
Posté par TImaniac (site web personnel) . Évalué à 9.
Tu le sauras jamais puisque la page redhat affichera alors une page "lol hacked"
# Dirty COW (CVE-2016-5195) is a privilege escalation vulnerability in the Linux Kernel
Posté par Lawless . Évalué à 5.
Vu sur http://dirtycow.ninja/ :
Ça passe bien sous l'utilisateur « root », mais ça gèle la machine en quelques minutes.
# Exploitable sur CentOS 7
Posté par Xavier Teyssier (site web personnel) . Évalué à 2. Dernière modification le 22 octobre 2016 à 11:09.
En tout cas, sur CentOS 7, ça fonctionne :
[^] # Re: Exploitable sur CentOS 7
Posté par wismerhill . Évalué à 10.
Ton test ne prouve rien, puisque tu va écrire dans un fichier qui t'appartient (cf le résultat de ton ls -l)!
Ton erreur c'est ça:
ça ne sert à rien d'exécuter l'echo avec sudo, car la redirection est faite par ton shell courant, donc avec toi comme propriétaire (d'ailleurs sinon le chmod aurait échoué, puisque tu ne l'a pas exécuté avec sudo).
[^] # Re: Exploitable sur CentOS 7
Posté par Xavier Teyssier (site web personnel) . Évalué à 7. Dernière modification le 22 octobre 2016 à 15:08.
Mais je n'avais plus les droits d'écriture sur le fichier.
Ceci dit, si ça lève un doute, je recommence sur un fichier appartenant à root :
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par bubar🦥 (Mastodon) . Évalué à 1. Dernière modification le 22 octobre 2016 à 16:13.
Je n'y suis pas arrivé, mais peut être m'y suis-je mal pris ? Qu'en penses tu ?
Il ne retourne jamais un madvise 0 …
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par claudex . Évalué à 9.
Ton fichier de départ est vide. Si je ne me trompe pas, l'exploit ne permet que de remplacer des bytes dans un fichier, pas d'en ajouter.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 22 octobre 2016 à 19:53.
Oui, merci.
En ré-essayant avec ce noyau vulnérable, cela freeze le système. Mais le fichier (ou binaire) n'a pas été modifié.
Il manque encore quelque chose pour être une réelle urgence sur rh & centos 7, mais je ne sais pas quoi..
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par claudex . Évalué à 4.
Tu test comment maintenant ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 23 octobre 2016 à 12:41.
J'ai testé les différents poc disponibles, sans jamais arriver à rien de vraiment probant. Un freeze système, c'est déjà pas mal, mais de là à aller écrire dans un binaire suid par exemple il y a une marge. Mon premier test a été de copier
ping
puis d'essayer dessus, les seuls qui arrivent à qq chose sont diryc0w & pokemon : un freeze. Le binaire ping n'est pas modifié.Bizarre ..
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par bubar🦥 (Mastodon) . Évalué à 3.
Comme cela, autre exemple.
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par gnumdk (site web personnel) . Évalué à 3.
Il n'est pas là par hasard…
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par bubar🦥 (Mastodon) . Évalué à 3.
Ben je suis vraiment désolé mais je n'y arrive toujours pas. Pourtant c'est pas faute d'en avoir fait des tests avec différents outils. Je dois m'y prendre comme un manche probablement ..
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par Xavier Teyssier (site web personnel) . Évalué à 3.
Je pense que je ne connaissais pas l'option Z de ls, et que je suis content de maintenant la connaitre ! :-)
J'en pense aussi que je pense que nous n'utilisons peut-être pas les mêmes exploits.
Celui que j'ai testé : https://raw.githubusercontent.com/dirtycow/dirtycow.github.io/master/dirtyc0w.c
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par bubar🦥 (Mastodon) . Évalué à 3. Dernière modification le 23 octobre 2016 à 12:30.
J'ai testé tout ceux de cette liste (à l'exception de celui-i)
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par Xavier Teyssier (site web personnel) . Évalué à 4.
Pourtant Chez Moi Ça Marche (TM)
Ce doit être très dépendant des machines.
Dans le doute, mise à jour dès que les correctifs seront publiés (je n'ai pas vérifié si c'est le cas aujourd'hui), en restant dans le cadre de la bonne application des processus d'industrialisation en œuvre sur les machines concernées (je parle bien hein ?), me semblent absolument nécessaire.
[^] # Re: Exploitable sur CentOS 7 ????? pas sûr
Posté par bubar🦥 (Mastodon) . Évalué à 2. Dernière modification le 23 octobre 2016 à 15:26.
Ton
sudo cp
se fait tout seul ?Chez moi ça ne marche toujours pas :-( Voir en vidéo, si vous voulez
la vidéo a un long moment non coupé, elles sont lentes à booter leurs bios ces dedibox 2016, pas coupé, pas de triche, hein
je n'utilise pas la centos fournie par oneline sas, mais un iso bien propre du projet
# Le commit de fix dans le kernel
Posté par Tangi Colin . Évalué à 6.
Le fix coté kernel peut etre trouvé ici avec une rapide explication de linus torvald :
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619
[^] # Re: Le commit de fix dans le kernel
Posté par Denis Dordoigne . Évalué à -1.
Tu as osé poster un lien vers morceau de code contenant un « goto » ? On va avoir droit à un énorme troll par ceux qui récitent leur cours de dev sans l'avoir compris…
Membre de l'april, et vous ? https://april.org/adherer -- Infini, l'internet libre et non commercial : https://infini.fr
# merci pour l'info
Posté par Jean-Max Reymond (site web personnel) . Évalué à 1.
merci pour l'info que j'avais découverte sur la liste linuxazur :-)
j'ai passé le patch et j'ai rebooté tous les serveurs, dommage pour l'uptime
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.