Faille -potentielle* proftpd
Le
RV Lardin
Salut à tous,
Malgrés mon abonnement à plusieurs listes "sécu",
je n'ai eu l'info que Vendredi soir (26/09).
ça m'énerve d'autant plus que je passe pas mal
de temps à lire différentes listes.
J'ai vite arrété BugTraq (même avant Symantec)
car trop de flux pour moi mais je ne trouve pas la
bonne petite liste généraliste qui fait un point hebdo
avec une alerte sur les "gros" (en français ce serait top).
Une adresse de liste ? Un forum ? Un sîte ?
Merci.
:-)
Bon, donc pour ceux (si cela existe) qui
serait encore moins renseigné que moi, il
y a une faille potentielle dans proftpd qui
permettrai à un attaquant possédant des
droits d'écriture sur le serveur d'utiliser le
transfert ASCII pour provoquer un buffer
overflow (/n /n) et lancer un exécutable avec
les droits du daemon (si j'ai à peu prêt pigé).
Le patch est dispo sur le site proftpd.org.
http://www.proftpd.org/
http://xforce.iss.net/xforce/alerts/id/154
A+,
RV.
-
"Ceux qui abandonnent un peu de leurs libertés essentielles
en échange d'un peu plus de sécurité ne méritent ni la liberté,
ni la sécurité, et vont perdre les deux."- Thomas Jefferson .
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."
Malgrés mon abonnement à plusieurs listes "sécu",
je n'ai eu l'info que Vendredi soir (26/09).
ça m'énerve d'autant plus que je passe pas mal
de temps à lire différentes listes.
J'ai vite arrété BugTraq (même avant Symantec)
car trop de flux pour moi mais je ne trouve pas la
bonne petite liste généraliste qui fait un point hebdo
avec une alerte sur les "gros" (en français ce serait top).
Une adresse de liste ? Un forum ? Un sîte ?
Merci.
:-)
Bon, donc pour ceux (si cela existe) qui
serait encore moins renseigné que moi, il
y a une faille potentielle dans proftpd qui
permettrai à un attaquant possédant des
droits d'écriture sur le serveur d'utiliser le
transfert ASCII pour provoquer un buffer
overflow (/n /n) et lancer un exécutable avec
les droits du daemon (si j'ai à peu prêt pigé).
Le patch est dispo sur le site proftpd.org.
http://www.proftpd.org/
http://xforce.iss.net/xforce/alerts/id/154
A+,
RV.
-
"Ceux qui abandonnent un peu de leurs libertés essentielles
en échange d'un peu plus de sécurité ne méritent ni la liberté,
ni la sécurité, et vont perdre les deux."- Thomas Jefferson .
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."
Poser une question
BugTraq reste une référence. Tu peux quand même filtrer avec une liste de
mots clefs (genre proftpd, sendmail, openssh etc.) pour te balancer ce qui
t'interresse dans un coin. Si tu as la flemme de filtrer manuellement (sic)
le reste tu le vire d'un coup. Ce sera de toute façon mieux que de te priver
de l'info à coup sur.
Sinon le réflexe du "matin[1]", un tour rapide sur les sites de tes
serveurs. Ca prend moins d'un quart d'heure et ça peut éviter quelques gags
(si tu as vraiment laissé passer l'alerte). Mais tu passera à côté des bugs
kernels & co.
De plus tu as aussi les mailing-lists qui vont avec les produits. Mais si
tu te plains déjà du "bruit".... (encore que certaines listes sont
resteintes à la sécurité ou aux annonces officielles). Pour proftpd jette un
oeil sur :
http://www.proftpd.org/lists.html#announce )
Quand tu vois que la faille critique de bind n'était pas patchée plusieurs
moi après par des "gros", tu peux être sur que ça existe!
Merci, mais ça va bientôt faire une semaine (le 23 au soir) :)
Cool, je n'arrivais plus à remettre la main dessus. C'est pour faire une
carte postale et l'envoyer à l'andouille qui propose des CNI inviolables!
Eric
[1] quand tu peux mais régulièrement :)
juste par curiosité, ces listes sont-elles payantes ? parce que je suis
actuellement tenté de m'inscrire à des listes mais payantes, alors j'hésite
... AHMA payer pour être au courant de la publication d'une faille/exploit
c'est vraiment pas le top :^^ dès fois qq mois après la trouvaille ....
et à l'heure actuelle, je ne connais pas ce genre de listes gratuites !
bon évidemment on peut toujours me répondre que si l'on suit plusieurs
listes de développement (dans le monde du libre...windows n'en parlons pas),
on peut trouver pas mal de choses intéressantes...mais faut de la ressource
!:
oui c'est vrai, le vrendredi soir (pour nous french) c'est pas super cool,
mais il est environ 12h au US et de toutes façons les chinois sont au
courant depuis qq jours :) (les chinois c'est juste une hallu...)
si tu es seul à t'occuper de la sécurité sur ton réseau c'est normal, tu ne
peux pas travailler 7j*24h :o) au moins ça montre la faiblesse des hommes
sur de petites structures (ce n'est peut-etre pas ton cas), le week-end ils
se reposent :p moralité pour notre exemple français : déchainer vous sur
les serveurs le soir après 18h et le week-end : le vendredi soir à 17h =>
au lundi matin 8h :o) cet exemple bannal s'applique partout dans le
monde pour de ptites structures ! (maxi 2000 users mais très recherché pour
être proxy)
A+
Bon alors mauvaises listes, changer de liste. Clairement. Des listes en
français on publié mercredi après-midi.
Dommage :
. Bugtraq : mardi 23, 18h25
. Bugtraq-French (en français) : mercredi 24, 16h43
. Secunia : mercredi 24, 17h36
. SecuriTeam : mercredi 24, 11h02
. K-Otic (en français) : mercredi 24, 16h20
Maintenant que tu as les noms : http://www.google.com/
--
BOFH excuse #214:
Fluorescent lights are generating negative ions. If turning them off doesn't
work, take them out and put tin foil on the ends.
Chic, une liste :
- Bugtraq
- CERT
- listes d'éditeurs (Redhat, Debian , Cisco, MS, ...)
- Full-Disclosure
- ISN
- ISS X-Force
- K-Otik (Bugtraq French + advisories + exploits)
- Ossir (Unix et NT)
- SANS
- SecurityFocus SecNews/SecTools/SecPapers
- Secunia
- Securiteam
- Vuln-dev
- VulnWatch
Plus les listes privées, semi-privées, de discussion hors-failles
(PenTest), spécifiques à certains outils (Nmap, Nessus), ...
Nicob
qualifier un peu cette liste à partir de cet exemple
(faille proftpd publié le 23/09 ).
Attention : les "résultats" sont à prendre avec des
pincettes *et* à valider car il est possible que je n'ai
pas cherché au bon endroit sur les archives des listes.
Debian : Que dalle
Mandrake : 26/09
(Noyé dans la masse)
J'ajoute :
CERTA : nada à ce jour.
Au suivant, pour se faire une liste qualifiée ?
A+,
RV.
----
"Ceux qui abandonnent un peu de leurs libertés essentielles
en échange d'un peu plus de sécurité ne méritent ni la liberté,
ni la sécurité, et vont perdre les deux."- Thomas Jefferson .
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."