0 day vulnerabilities: Qui patch le plus vite ?

Le 15/02/2013 13:38, P4nd1-P4nd4 a écrit :

Et ben pas forcément ceux que l'on croit

http://www.zdnet.com/linux-trailed-windows-in-patching-zero-days-in-2012-report-says-7000011326/

Article en anglais ... Pas sur que tu ais tout compris ...

Maintenant, combien de ces failles (qui ne sont pas des Zero Days mais
tu peux pas comprendre) on été exploitées avant d'être patchées, tant
sous Linux que sous Windows ?

Je ramasse ta copie à 19h00 !

--
Le mode sans échec de Windows est la preuve que son
mode normal est un échec !

SONY : It only does everything ... until we remove !
PS3 Firmware update 3.21 :
The first software update which downgrade !

Le 15-02-2013, NiKo <NiKo@nomail.svp> a écrit :

Le 15/02/2013 13:38, P4nd1-P4nd4 a écrit :

Et ben pas forcément ceux que l'on croit

http://www.zdnet.com/linux-trailed-windows-in-patching-zero-days-in-2012-report-says-7000011326/

Article en anglais ... Pas sur que tu ais tout compris ...

Maintenant, combien de ces failles (qui ne sont pas des Zero Days mais
tu peux pas comprendre) on été exploitées avant d'être patchées, tant
sous Linux que sous Windows ?

Je ramasse ta copie à 19h00 !

Surtout que si on lit un peu l'article:

"Correction to the fix detailed in CVE-2009-4307, which did not fully work
on the common x86 platform. Trustwave considered this a zero-day due to
availability of exploit information from the time of the original
patch."

En gros, il s'agit d'une correction d'un fix qui, en effet, ne
fonctionnait pas à 100% sur plateforme x86. Trustwave considère donc le
zero-day à partir de la release du premier fix.

"CVE-2012-2319 is a follow-up to CVE-2009-4020; issues in the HFS file
system were detailed and patched on Dec. 3, 2009, but HFSPlus was left
vulnerable until May 4, 2012."

Sérieusement, dans le monde professionnel, y'en a beaucoup qui utilisent
HFS et HFS+ (systèmes de fichiers OS X), sur un serveur? Genre, est-ce
que beaucoup de monde utilise Windows 2008R2 ou 2012 avec, par exemple,
des volumes en FAT32, ou alors avec des volumes en HPFS? C'est une
blague?

Désolé, mais en général, du serveur et/ou workstation Linux, ça va être
du ext3/ext4 et prochainement btrfs dès que ce sera considéré
suffisamment stable pour de la prod', il y a aussi quelques malades qui
font mumuse avec du ZFS ou quelques tenants de ReiserFS. Sous windows,
NTFS et point barre. Il n'y a strictement aucun intérêt à utiliser
HFS/HFS+ sur des machines de prod, et encore moins sur du desktop. Le
fait que cette "faille" soit mentionnée montre bien deux choses:

- On s'en branle d'HFS+, personne ne s'en sert sauf sur mac, et même les
utilisateurs de Macs utilisent d'autres systèmes de fichiers pour
échanger leurs fichiers avec le reste du monde
- Trustwave et zdnet font du sensationnalisme histoire de "buzzer" un
peu.

J'en profite pour rajouter que, me colletant du Windows Server 2008R2
(core, pas l'usine à gaz full GUI où tout se règle à coup de clics dans
le "Server Manager", dont l'inconsistance des raccourcis claviers
suffirait à rendre dingue n'importe quel admin un tant soit peu
raisonnable: non, on n'administre pas un putain de serveur avec une
interface graphique déportée via RSAT ou autre… Et encore, 2008R2 Core,
en admin à distance, c'est du RDP, olol, ou l'ersatz console de RSAT),
plusieurs distros gnu/linux (centos et debian pour ne pas les nommer),
en prod au boulot, le taf' d'administration "classique" est bien plus
important sur les machines Server 2008R2 (et non, Server2012 n'est *pas*
une alternative crédible). Pour tout dire, j'attends avec impatience que
Samba4 sorte de sa phase "essuyage de plâtres" pour le passer en prod,
le seul truc utile des 2008R2 étant Active Directory - et il faut quand
même bien reconnaître que, ouais, c'est pas mal fait. Par contre si
l'orientation objet de powershell peut sembler intéressante, c'est juste
une grosse resucée de Perl (oh, foreach et $_ ) niveau syntaxe
apparente, en moins puissant, et avec de nombreux côtés pénibles (au
hasard, la gestion de certains objets, notamment LDAP et, un comble, AD,
rébarbative au possible là où je te torcherai ça en 2/2 avec un ou deux
scripts bien sentis, la manipulation de flux purement textuels, la
gestion des sockets, et je peux continuer, on pourrait parler des FIFOs
aussi) La doc, par contre, est très bien faite, et il y a de bonnes
idées. Mais en gros, rien de bien intéressant et de gros défauts par
rapport à du Perl.

La fin termine d'achever le titre sensationnaliste de zdnet, comme
d'habitude, qu'est ce qu'on ferait pas pour générer du click:

"The Trustwave report says the number of critical vulnerabilities, as
determined by the Common Vulnerability Scoring System (CVSS) assessment
of factors like potential impact and exploitability, identified in the
Linux kernel was lower than in Windows last year, with nine in Linux
compared to 34 in Windows. The overall seriousness of vulnerabilities
was also lower in Linux than Windows, with Linux having an average CVSS
score of 7.68 for its vulnerabilities, compared to 8.41 for Microsoft."

Le rapport de Trustwave nous explique que le nombre de vulnérabilités
critiques, déterminées par le CVSS (j'abrège un peu le jargon),
identifiées dans le noyau Linux est moins important que sous Windows
l'an dernier, avec 9 failles critiques sous linux et 34 sous windows.
L'importance moyenne de ces failles était aussi plus basse pour le noyau
Linux que sous windows, avec un score moyen de 7.68 contre 8.41 pour
l'environnement de Microsoft.

En gros, P4nd1-P4nd4 ne sait toujours pas lire l'anglais. Mais entre 9
failles "critiques" et 34 failles "critiques"… mwarf. Et faudrait voir
ce que ça donne avec un noyau patché soit avec les patches de
PAX/grsecurity, soit SELinux (disponibles sans compilation de noyau si
chère à P4 sur n'importe quelle distro digne de ce nom, ou au pire via
des dépôts alternatifs). Hey P4, t'es conscient que ton OS fétiche se
fait juste violer, dans le rapport de "TrustWave"?

Sur ce, bonne nuit à tous, y'en a qui bossent demain :)