Ahhhhrg encore un immense trou de sécurité...

Le 15-11-2016, P4nd1-P4nd4 nous expliquait dans
fr.comp.os.linux.debats
(<zYmdncgQC9M-_7bFnZ2dnUU78KPNnZ2d@giganews.com>) :

....Présent depuis des années.

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

Voilà, quand je disais que le truc était troué jusqu'à la moelle.

" It's in Cryptsetup default configuration file that the problem lies and it's a nasty one. "

Qui de réèllement sérieux base la sécurité d'un SI sur une configuration par défaut ?

Le problème est clairement entre la chaise et le clavier si des systèmes sensibles
configurés de telle manière sont dans la nature.

Bon ben voilà, je doute que l'on ait les mêmes bricolages dans Windows
10...

Mais tu ne comprends même pas ce que tu lis, blaireau !

--
Je ne connaîtrai rien de tes habitudes
Il se peut même que tu sois décédée
Mais j'demanderai ta main pour la couper
-- H.F. Thiéfaine, L'ascenceur de 22H43

Doug713705 wrote on 15-11-16 20:45:

Le 15-11-2016, P4nd1-P4nd4 nous expliquait dans
fr.comp.os.linux.debats
(<zYmdncgQC9M-_7bFnZ2dnUU78KPNnZ2d@giganews.com>) :

....Présent depuis des années.

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

Voilà, quand je disais que le truc était troué jusqu'à la moelle.

" It's in Cryptsetup default configuration file that the problem lies and it's a nasty one."

Qui de réèllement sérieux base la sécurité d'un SI sur une configuration par défaut ?

Le problème est clairement entre la chaise et le clavier si des systèmes sensibles
configurés de telle manière sont dans la nature.

Vous avez en partie raison, mais pourquoi délivre-t'on un logiciel dont
le "default config" est pourri de la sorte ?

D'ailleurs cela va changer.... vu que plus loin dans le texte il est écrit:
"The Linux distributors will soon have this fixed."

Ce qui prouve bien qu'il y avait un problème, sinon ils ne changeraient
rien.

Le 15-11-2016, Rambo nous expliquait dans
fr.comp.os.linux.debats
(<o0fval$85a$1@gioia.aioe.org>) :

Doug713705 wrote on 15-11-16 20:45:

Le 15-11-2016, P4nd1-P4nd4 nous expliquait dans
fr.comp.os.linux.debats
(<zYmdncgQC9M-_7bFnZ2dnUU78KPNnZ2d@giganews.com>) :

....Présent depuis des années.

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

Voilà, quand je disais que le truc était troué jusqu'à la moelle.

" It's in Cryptsetup default configuration file that the problem lies and it's a nasty one."

Qui de réèllement sérieux base la sécurité d'un SI sur une configuration par défaut ?

Le problème est clairement entre la chaise et le clavier si des systèmes sensibles
configurés de telle manière sont dans la nature.

Vous avez en partie raison, mais pourquoi délivre-t'on un logiciel dont
le "default config" est pourri de la sorte ?

C'est une configuration par *défaut*, c'est à dire applicable en l'
absence de configuration.

Il est raisonnable de penser qu'elle ne correspond au besoin de personne.
En tous casclairement pas à quelqu'un qui veut pouvoir prétendre gérer
la sécurité d'un système avec un tel composant, encore moins d'un
système sensible.

D'ailleurs cela va changer.... vu que plus loin dans le texte il est écrit:
"The Linux distributors will soon have this fixed."

"Les utilisateurs étant plus cons que prévus nous sommes dans
l'obligation de leur mâcher le travail à un point qu'on avait pas
imaginé. Désolés d'avoir eu de l'espoir."

Perso, c'est comme ça que je le lis...

Ce qui prouve bien qu'il y avait un problème, sinon ils ne changeraient
rien.

En effet, le problème entre la chaise et le clavier est beaucoup plus
important qu'anticipé.

Sincèrement, mettre en place LUKS et faire confiance à sa
configuration par défaut, c'est aussi con que d'installer un coffre fort
sans changer la combinaison par défaut. Venir reprocher au fabriquant de
coffre que la combinaison par défaut est 0000 est tout simplement ridicule.

--
Je ne connaîtrai rien de tes habitudes
Il se peut même que tu sois décédée
Mais j'demanderai ta main pour la couper
-- H.F. Thiéfaine, L'ascenceur de 22H43

Le 15-11-2016, Doug713705 <doug.letough@free.fr> a écrit :

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

Voilà, quand je disais que le truc était troué jusqu'à la moelle.

" It's in Cryptsetup default configuration file that the problem lies and
it's a nasty one. "

Eh, c'est ZDNET, hein. Si zdnet avait lu l'article, ils auraient lu que:
- pour effectuer l'attaque: être devant la console (avoir un accès
physique, quoi)
- Impact "The shell is executed in the initrd environment. Obviously,
the system partition is encrypted and it is not possible to decrypt it"
- Impact "It is possible to destroy all data on disks" (ah bah avec un
accès physique, j'ai pas besoin d'un initrd, je peux utiliser une presse
hydraulique https://www.youtube.com/watch?v=FrbQqh0rBIo )
- Impact "remplacer le kernel et l'initrd par un autre" oui, enfin, avec
un accès physique, je peux prendre le disque, le monter depuis une autre
machine et faire ce que je veux aussi..
- etc, etc..

A ce sujet, la documentation de cryptsetup dit: si un attaquant a un
accès physique, alors c'est mort pour vous.

Donc bon, oui, l'initrd te droppe un shell alors qu'il devrait s'arrêter.
Oui, c'est moche. Non, ce n'est pas grave.
--
Kevin

Doug713705 wrote on 16-11-16 07:58:

Le 15-11-2016, Rambo nous expliquait dans
fr.comp.os.linux.debats
(<o0fval$85a$1@gioia.aioe.org>) :

Doug713705 wrote on 15-11-16 20:45:

Le 15-11-2016, P4nd1-P4nd4 nous expliquait dans
fr.comp.os.linux.debats
(<zYmdncgQC9M-_7bFnZ2dnUU78KPNnZ2d@giganews.com>) :

....Présent depuis des années.

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

Voilà, quand je disais que le truc était troué jusqu'à la moelle.

" It's in Cryptsetup default configuration file that the problem

lies and it's a nasty one."

Qui de réèllement sérieux base la sécurité d'un SI sur une

configuration par défaut ?

Le problème est clairement entre la chaise et le clavier si des

systèmes sensibles

configurés de telle manière sont dans la nature.

Vous avez en partie raison, mais pourquoi délivre-t'on un logiciel dont
le "default config" est pourri de la sorte ?

C'est une configuration par *défaut*, c'est à dire applicable en l'
absence de configuration.

Il est raisonnable de penser qu'elle ne correspond au besoin de

personne.

En tous casclairement pas à quelqu'un qui veut pouvoir prétendre gérer
la sécurité d'un système avec un tel composant, encore moins d'un
système sensible.

D'ailleurs cela va changer.... vu que plus loin dans le texte il est

écrit:

"The Linux distributors will soon have this fixed."

"Les utilisateurs étant plus cons que prévus nous sommes dans
l'obligation de leur mâcher le travail à un point qu'on avait pas
imaginé. Désolés d'avoir eu de l'espoir."

Perso, c'est comme ça que je le lis...

Ce qui prouve bien qu'il y avait un problème, sinon ils ne changeraient
rien.

En effet, le problème entre la chaise et le clavier est beaucoup plus
important qu'anticipé.

Sincèrement, mettre en place LUKS et faire confiance à sa
configuration par défaut, c'est aussi con que d'installer un coffre fort
sans changer la combinaison par défaut. Venir reprocher au fabriquant de
coffre que la combinaison par défaut est 0000 est tout simplement

ridicule.

Nous ne sommes pas tous des accrocs à l'informatique comme vous.
On veut que tout le monde utilise un pc et donc, il faut mettre des
valeurs par defaut avec un MINIMUM de sécurité, là c'était carrément un
MAXIMUM de risque.

le 2016-11-15, P4nd1-P4nd4 a plope ceci:

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

quel rapport avec linux ?


--
x______o_______o_______o_______o_______o_______o_______o_______o_______x
[ ]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Kevin Denis wrote on 16-11-16 10:13:

Le 15-11-2016, Doug713705 <doug.letough@free.fr> a écrit :

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

Voilà, quand je disais que le truc était troué jusqu'à la moelle.

" It's in Cryptsetup default configuration file that the problem lies and
it's a nasty one. "

Eh, c'est ZDNET, hein. Si zdnet avait lu l'article, ils auraient lu que:
- pour effectuer l'attaque: être devant la console (avoir un accès
physique, quoi)

Pourtant je lis aussi que l'on peut exploiter cette faille à distance
sans accès physique:
"You can use this attack to "remotely exploit this vulnerability without
having 'physical access'""

Doug713705 a utilisé son clavier pour écrire :

Le 15-11-2016, P4nd1-P4nd4 nous expliquait dans
fr.comp.os.linux.debats
(<zYmdncgQC9M-_7bFnZ2dnUU78KPNnZ2d@giganews.com>) :

....Présent depuis des années.

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

Voilà, quand je disais que le truc était troué jusqu'à la moelle.

" It's in Cryptsetup default configuration file that the problem lies and
it's a nasty one. "

Qui de réèllement sérieux base la sécurité d'un SI sur une configuration par
défaut ?

Le problème est clairement entre la chaise et le clavier si des systèmes
sensibles configurés de telle manière sont dans la nature.

Bon ben voilà, je doute que l'on ait les mêmes bricolages dans Windows
10...

Mais tu ne comprends même pas ce que tu lis, blaireau !

A ta prochaine émotion va aux chiottes !

Le 16-11-2016, Rambo <Richmond.TYAMS@pircarre.be> a écrit :

Eh, c'est ZDNET, hein. Si zdnet avait lu l'article, ils auraient lu que:
- pour effectuer l'attaque: être devant la console (avoir un accès
physique, quoi)

Pourtant je lis aussi que l'on peut exploiter cette faille à distance
sans accès physique:
"You can use this attack to "remotely exploit this vulnerability without
having 'physical access'""

Oui, pour une machine dans le cloud, donc avec accès console. C'est du
sensationnalisme à deux balles.
Re: Eh, c'est ZDNET, hein. Une fois cliqué sur le titre putaclic, le
lecteur s'attend à avoir du saignant, du sensationnel, du gros!

Je vais demander un CVE car lorsqu'on boot avec init=/bin/bash on a un
accès root sans mot de passe!
Ph3ar!!! Internet va tomber!! Et c'est faisable en remote!!111!eleven

Titre possible:
"Ce que ce hacker a été capable de faire va vous étonner"
"Tous les utilisateurs de linux veulent savoir cela"
"L'incroyable commande que la NSA ne veut pas que vous sachiez"
"Trahi par la faible sécurité de linux, un hacker devient moine bouddhiste"
"Et vous pensiez que Windows était insecure? N'essayez pas linux"
"Une fille nue n'apparaitra sans doute pas, mais vous aurez bien plus"
"Est-ce la fin d'internet? Cet article vous expliquera pourquoi"
"Y a t'il pire qu'une glibc supprimée? Cliquez, vous le saurez"
"J'avais perdu mon mot de spasse, cette commande a changé ma vie"
"#Linux #insecurity #dontclick"
"Comment épater vos amis en une commande"
"Ce qui se passe à la troisième minute de cette vidéo va vous arracher
des larmes"
"Arrêtez tout! Ce truc va vous éblouir"
"Les informaticiens détestent que vous sachiez ce truc. Ne cliquez pas"
"Ce qui arrive à cette distrib linux est la chose la plus injuste de
l'univers"
"Un truc pourri sous linux que tout admin doit accepter. Terrible, mais vrai"
"Effrayant! On faisait confiance à linux, mais"
"Je croyais cliquer sur un article technique... En fait, cette histoire
est tout simplement AHURISSANTE!!!!"

etc, etc, etc...
--
Kevin

David Sarella wrote on 16-11-16 19:06:

le 2016-11-15, P4nd1-P4nd4 a plope ceci:

http://www.zdnet.com/article/major-linux-security-hole-gapes-open/

quel rapport avec linux ?

Tu n'a pas vu le mot linux dans l'url fourni ?