Faille critique découverte dans GLIBC

Le
JUPIN Alain
Bonjour,

Je ne l'ai pas vu ici sur la liste (ou alors je n'ai pas les yeux en
face des trous)

Une faille critique permettant d'avoir les droits administrateur (root)
a été découverte sur les systèmes Linux. La faille est présente dans
toutes les versions inférieure à 2.18 de GLIBC (paquet libc6 pour nous
autres chez Debian).

Pour Debian (ainsi que Ubuntu et RedHat) le correctif est sorti.
Vous connaissez la marche a suivre je suppose ;)

Source :
http://www.01net.com/editorial/643126/ghost-la-faille-critique-qui-permet-de-prendre-le-controle-des-systemes-linux/

--
Alain JUPIN

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/54C88BD1.9040406@jupin.net
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Frédéric MASSOT
Le #26335946
Le 28/01/2015 08:12, JUPIN Alain a écrit :
Bonjour,

Je ne l'ai pas vu ici sur la liste (ou alors je n'ai pas les yeux en
face des trous)

Une faille critique permettant d'avoir les droits administrateur (root)
a été découverte sur les systèmes Linux. La faille est présente dans
toutes les versions inférieure à 2.18 de GLIBC (paquet libc6 pour nous
autres chez Debian).

Pour Debian (ainsi que Ubuntu et RedHat) le correctif est sorti.
Vous connaissez la marche a suivre je suppose ;)

Source :
http://www.01net.com/editorial/643126/ghost-la-faille-critique-qui-permet-de-prendre-le-controle-des-systemes-linux/




Quelques autres liens :

- Les paquets corrigés :
https://security-tracker.debian.org/tracker/CVE-2015-0235

- http://www.openwall.com/lists/oss-security/2015/01/27/9
- https://linuxfr.org/users/peetah/journaux/faille-de-securite-glibc
- http://www.frsag.org/pipermail/frsag/2015-January/005722.html


--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Bernard Isambert
Le #26335966
Bonjour à tous,

Pour l'instant, dans les dépôts squeeze-lts, le patch est dispo en am d64
mais pas en i386.

Le 28/01/2015 08:52, Frédéric MASSOT a écrit :
Quelques autres liens :

- Les paquets corrigés :
https://security-tracker.debian.org/tracker/CVE-2015-0235

- http://www.openwall.com/lists/oss-security/2015/01/27/9
- https://linuxfr.org/users/peetah/journaux/faille-de-securite-glibc
- http://www.frsag.org/pipermail/frsag/2015-January/005722.html




--
Bernard.
20 ans d'utilisation de Debian. Comme le temps passe...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Francois Lafont
Le #26335986
Bonjour,

Le 28/01/2015 10:09, Bernard Isambert a écrit :

Pour l'instant, dans les dépôts squeeze-lts, le patch est dispo en amd64 mais pas en i386.



Est-ce qu'il y a une chance que le correctif soit tout simplement disponible
sur les dépôts squeeze « normaux » ?

--
François Lafont

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/maafsl$mnj$
Bernard Isambert
Le #26335994

Est-ce qu'il y a une chance que le correctif soit tout simplement dispo nible
sur les dépôts squeeze « normaux » ?



Non, seul squeeze-lts évolue encore.

--
Bernard.
20 ans d'utilisation de Debian. Comme le temps passe...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Bernard Isambert
Le #26335993
Bonjour à tous,

Pour l'instant, dans les dépôts squeeze-lts, le patch est dispo en amd64
mais pas en i386.




C'était juste une question de temps, maintenant il est arrivé.

--
Bernard.
20 ans d'utilisation de Debian. Comme le temps passe...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Francois Lafont
Le #26335999
Le 28/01/2015 12:47, Bernard Isambert a écrit :

Est-ce qu'il y a une chance que le correctif soit tout simplement disponible
sur les dépôts squeeze « normaux » ?



Non, seul squeeze-lts évolue encore.



Ok, merci pour la réponse.

En même temps ma question était sans doute un peu bête, car le dépôt LTS perdrait
tout son sens si le dépôt squeeze évoluait encore. ;)

--
François Lafont

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/maaldd$m52$
andre_debian
Le #26336011
On Wednesday 28 January 2015 13:41:22 Francois Lafont wrote:
Le 28/01/2015 12:47, Bernard Isambert a écrit :
>> Est-ce qu'il y a une chance que le correctif soit tout simplement
>> disponible sur les dépôts squeeze « normaux » ?

> Non, seul squeeze-lts évolue encore.

Ok, merci pour la réponse.

En même temps ma question était sans doute un peu bête, ca r le dépôt LTS
perdrait tout son sens si le dépôt squeeze évoluait encore . ;)



Pourrait-on avoir le mode opératoire sous Debian,
sans faire ce que propose ce site :
www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-cen tos-rhel-linux/#GHOSTVulnerabilityCheck
à savoir "# apt-get dist-upgrade"
ce qui semble être un peu "un canon pour tuer la mouche" (même si elle est grosse).

N'y a t-il pas une méthode plus soft ?

Merci.

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Francois Lafont
Le #26336015
Le 28/01/2015 14:19, a écrit :

Non, seul squeeze-lts évolue encore.





Ok, merci pour la réponse.

En même temps ma question était sans doute un peu bête, car le dépôt LTS
perdrait tout son sens si le dépôt squeeze évoluait encore. ;)



Pourrait-on avoir le mode opératoire sous Debian,



Sous Squeeze ?
Et bien comme indiqué ici par exemple : https://wiki.debian.org/fr/LTS/Using

Perso, je ne me suis pas embêté :

echo "deb http://http.debian.net/debian/ squeeze-lts main contrib non-free" > /etc/apt/sources.list.d/squeeze-lts.list
apt-get update
apt-get upgrade

sans faire ce que propose ce site :
www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora-centos-rhel-linux/#GHOSTVulnerabilityCheck
à savoir "# apt-get dist-upgrade"



Perso, j'avoue que je l'utilise quotidiennement cette commande
et je n'ai jamais eu de souci. Ai-je tort ?

Si j'ai bien compris ce que dit la page man, avec upgrade aucune
chance de voir un paquet supprimé etc. alors qu'avec dist-upgrade
ça peut arriver.

Évidemment si je mets des dépôts de la distribution n+1 dans les
sources.list alors là un dist-upgrade peut faire des dégats mais
sinon j'ai l'impression que dans 99% des cas un upgrade et un
dist-upgrade font au final la même chose.

De toute façon, si tu veux être prudent, tu fais un upgrade et
puis voilà (en plus même avec un dist-upgrade, tu jettes un œil
sur les modifications que souhaite faire la commande avant de
confirmer).

--
François Lafont

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/maaohh$fco$
andre_debian
Le #26336014
> Pourrait-on avoir le mode opératoire sous Debian,

Sous Squeeze ?
Et bien comme indiqué ici par exemple :
https://wiki.debian.org/fr/LTS/Using



Je suis sous Wheezy...

Perso, je ne me suis pas embêté :
echo "deb http://http.debian.net/debian/ squeeze-lts main contrib non-fre e"
> /etc/apt/sources.list.d/squeeze-lts.list apt-get update
apt-get upgrade
> sans faire ce que propose ce site :
> www.cyberciti.biz/faq/cve-2015-0235-patch-ghost-on-debian-ubuntu-fedora -c
>entos-rhel-linux/#GHOSTVulnerabilityCheck à savoir "# apt-get
> dist-upgrade"

Perso, j'avoue que je l'utilise quotidiennement cette commande
et je n'ai jamais eu de souci. Ai-je tort ?
Si j'ai bien compris ce que dit la page man, avec upgrade aucune
chance de voir un paquet supprimé etc. alors qu'avec dist-upgrade
ça peut arriver.
Évidemment si je mets des dépôts de la distribution n+1 da ns les
sources.list alors là un dist-upgrade peut faire des dégats mais
sinon j'ai l'impression que dans 99% des cas un upgrade et un
dist-upgrade font au final la même chose.
De toute façon, si tu veux être prudent, tu fais un upgrade et
puis voilà (en plus même avec un dist-upgrade, tu jettes un Å “il
sur les modifications que souhaite faire la commande avant de
confirmer).
François Lafont



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Francois Lafont
Le #26336013
Le 28/01/2015 14:34, Francois Lafont a écrit :

Sous Squeeze ?
Et bien comme indiqué ici par exemple : https://wiki.debian.org/fr/LTS/Using

Perso, je ne me suis pas embêté :

echo "deb http://http.debian.net/debian/ squeeze-lts main contrib non-free" > /etc/apt/sources.list.d/squeeze-lts.list
apt-get update
apt-get upgrade



Ah, au fait, petite question. Après les commandes ci-dessus,
faut-il que je fasse un reboot ?

Si j'ai bien compris, si un daemon dépend d'une lib, il faut
redémarrer le-dit daemon après la mise à jour de la-dite lib.
Seulement j'ai cru comprendre que globalement, quasiment tous
les daemons (sous Debian) dépendent in fine de la glibc et
qu'au final un reboot est globalement nécessaire. Bref, j'ai
lu je ne sais plus où que l'idée selon laquelle seule la
màj du noyau nécessitait un reboot était inexacte et que le
reboot était également nécessaire pour la màj de la glic.

Bref, ce serait possible d'avoir un avis d'expert sur la question ? ;)
Merci d'avance.

--
François Lafont

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/maap2l$ofv$
Publicité
Poster une réponse
Anonyme