bash bug

Le
Jo Kerr
Vrai problème de sécurité ? Un accès physique à la machine est-il
nécessaire ?
http://www.20minutes.fr/high-tech/1449883-20140925-bash-bug-vraiment-pire-heartbleed#xtor=EPR-182-[welcomemedia]--[article_hightech]--

--
In gold we trust (c)
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jo Kerr
Le #26312001
Après mûre réflexion, Nicolas George a écrit :
Jo Kerr , dans le message écrit :
Ben, un bug découvert 22 ans après sa création, c'est du niveau MS,
voire pire.



Qu'est-ce que tu en sais ? Que sais-tu des bugs qui n'ont pas encore été
trouvés ?



Je n'en sais rien. Il y en a peut-être autant chez MS que dans Linux.
Aucun système n'est sûr à 100%.

--
In gold we trust (c)
The Mover
Le #26312408
Jo Kerr a écrit :

Vrai problème de sécurité ?



Oui

Un accès physique à la machine est-il nécessaire ?



Surement pas vu qu'il est déjà dans metasploit:


Du coup tous les serveurs utilisant OpenVPN sont pwnables:


--
The drug cartels and the computer industry are the only two industries
that call their customers 'users'.
Felix Lindner
The Mover
Le #26312407
Doug713705 a écrit :

Paradoxalement la découverte de failles n'est pas plus rapide
qu'ailleurs



Comment le sais-tu ?




Et ceux qui affirment tout le temps qu'avec les codes libres les
failles sont découvertes plus vite, ils le savent comment ?



Personne n'a dit qu'elles étaient découvertes plus vite.



Ouais des failles de plus de 10 ans, le concept "le code source est
ouvert on peut l'auditer" en prend un sacrée coup.

Par contre "on" dit qu'elles sont _corrigées_ plus vite.



Ça oui, la réactivité est là.

--
The drug cartels and the computer industry are the only two industries
that call their customers 'users'.
Felix Lindner
The Mover
Le #26312406
Jo Kerr a écrit :

Vrai problème de sécurité ?



Oui

Un accès physique à la machine est-il nécessaire ?



Surement pas vu qu'il est déjà dans metasploit:

<https://github.com/rapid7/metasploit-framework/tree/master/modules/
exploits/unix>

ou si lien cassé :


Du coup tous les serveurs utilisant OpenVPN sont pwnables:



--
The drug cartels and the computer industry are the only two industries
that call their customers 'users'.
Felix Lindner
Doug713705
Le #26312453
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
(
Ouais des failles de plus de 10 ans, le concept "le code source est
ouvert on peut l'auditer" en prend un sacrée coup.



Difficile d'exploiter une faille qui n'a pas encore été découverte.
Une faille de plus de 10 ans découverte il y a deux jours devient donc
une faille de deux jours.

Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un
tas d'expert sécurité qui passent leurs journées à les chercher a peu de
chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche
ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.

Restent les services secrets et autres armées mais eux n'ont pas besoin
de failles.

Par contre "on" dit qu'elles sont _corrigées_ plus vite.



Ça oui, la réactivité est là.



Et c'est bien ce qui compte.

--
Maintenant tu me regardes avec les yeux flétris
Bouffés par la machine à plastiquer les rêves
Tu me tends ton ticket pour la foire aux zombies
Et m'invites à trinquer au doomsday qui se lève
-- H.F. Thiéfaine, Une fille au rhésus négatif
Doug713705
Le #26312452
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
(
Du coup tous les serveurs utilisant OpenVPN sont pwnables:




Non, tous les serveurs utilisant "auth-user-pass-verify".
Mon serveur n'utilise pas cette méthode d'authentification, il n'a donc
rien à caindre de ce coté là.

--
Ton blues a dérapé sur mon corps de chacal
Dans cet hôtel paumé aux murs glacés d'ennui
Et pendant que le lit croise l'aéropostale
Tu me dis "Reprends ton fric. Aujourd'hui c'est gratuit.
-- H.F. Thiéfaine, Loreleï Sebasto Cha
pehache
Le #26312458
Le 30/09/2014 20:54, Doug713705 a écrit :
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
(
Ouais des failles de plus de 10 ans, le concept "le code source est
ouvert on peut l'auditer" en prend un sacrée coup.



Difficile d'exploiter une faille qui n'a pas encore été découverte.
Une faille de plus de 10 ans découverte il y a deux jours devient donc
une faille de deux jours.



Sauf que personne ne sait réellement depuis combien de temps elle a été
découverte.


Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un
tas d'expert sécurité qui passent leurs journées à les chercher a peu de
chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche
ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.

Restent les services secrets et autres armées mais eux n'ont pas besoin
de failles.



mouais...
Nicolas George
Le #26312567
Doug713705 , dans le message écrit :
Non, tous les serveurs utilisant "auth-user-pass-verify".



Même tous pas : « If the called script uses a vulnerable shell ».

Ton interlocuteur devrait se limiter à parler déménagement.
Tonton Th
Le #26312611
On 2014-09-27, Jo Kerr
Paradoxalement la découverte de failles n'est pas plus rapide
qu'ailleurs



Comment le sais-tu ?



Ben, un bug découvert 22 ans après sa création, c'est du niveau MS,



Quelqu'un pour vérifier ?
http://i.imgur.com/cTD5b5D.png


--
_/°< coin http://weblog.mixart-myrys.org/?post/2014/09/Radio-Myrys
Publicité
Poster une réponse
Anonyme