Twitter iPhone pliant OnePlus 12 PS5 Disney+ Orange Livebox Windows 11 ChatGPT

bash bug

18 réponses
Avatar
Jo Kerr
Vrai problème de sécurité ? Un accès physique à la machine est-il
nécessaire ?
http://www.20minutes.fr/high-tech/1449883-20140925-bash-bug-vraiment-pire-heartbleed#xtor=EPR-182-[welcomemedia]--[article_hightech]--

--
In gold we trust (c)

10 réponses

1 2
Avatar
Tonton Th
On 2014-09-26, Jo Kerr wrote:
Vrai problème de sécurité ? Un accès physique à la machine est-il
nécessaire ?
http://www.20minutes.fr/high-tech/1449883-20140925-bash-bug-vraiment-pire-heartbleed




https://www.trustedsec.com/september-2014/shellshock-dhcp-rce-proof-concept/

--
_/°< coin http://weblog.mixart-myrys.org/?post/2014/09/Radio-Myrys
Avatar
Jo Kerr
Après mûre réflexion, Nicolas George a écrit :
Jo Kerr , dans le message , a
écrit :
Ben, un bug découvert 22 ans après sa création, c'est du niveau MS,
voire pire.



Qu'est-ce que tu en sais ? Que sais-tu des bugs qui n'ont pas encore été
trouvés ?



Je n'en sais rien. Il y en a peut-être autant chez MS que dans Linux.
Aucun système n'est sûr à 100%.

--
In gold we trust (c)
Avatar
The Mover
Jo Kerr a écrit :

Vrai problème de sécurité ?



Oui

Un accès physique à la machine est-il nécessaire ?



Surement pas vu qu'il est déjà dans metasploit:

<https://github.com/rapid7/metasploit-framework/tree/master/modules>

Du coup tous les serveurs utilisant OpenVPN sont pwnables:

<https://news.ycombinator.com/item?idƒ85332>

--
The drug cartels and the computer industry are the only two industries
that call their customers 'users'.
Felix Lindner
Avatar
The Mover
Doug713705 a écrit :

Paradoxalement la découverte de failles n'est pas plus rapide
qu'ailleurs



Comment le sais-tu ?




Et ceux qui affirment tout le temps qu'avec les codes libres les
failles sont découvertes plus vite, ils le savent comment ?



Personne n'a dit qu'elles étaient découvertes plus vite.



Ouais des failles de plus de 10 ans, le concept "le code source est
ouvert on peut l'auditer" en prend un sacrée coup.

Par contre "on" dit qu'elles sont _corrigées_ plus vite.



Ça oui, la réactivité est là.

--
The drug cartels and the computer industry are the only two industries
that call their customers 'users'.
Felix Lindner
Avatar
The Mover
Jo Kerr a écrit :

Vrai problème de sécurité ?



Oui

Un accès physique à la machine est-il nécessaire ?



Surement pas vu qu'il est déjà dans metasploit:

<https://github.com/rapid7/metasploit-framework/tree/master/modules/
exploits/unix>

ou si lien cassé :

<http://past.is/0P8G3>

Du coup tous les serveurs utilisant OpenVPN sont pwnables:

<https://news.ycombinator.com/item?idƒ85332>


--
The drug cartels and the computer industry are the only two industries
that call their customers 'users'.
Felix Lindner
Avatar
Doug713705
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
() :

Ouais des failles de plus de 10 ans, le concept "le code source est
ouvert on peut l'auditer" en prend un sacrée coup.



Difficile d'exploiter une faille qui n'a pas encore été découverte.
Une faille de plus de 10 ans découverte il y a deux jours devient donc
une faille de deux jours.

Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un
tas d'expert sécurité qui passent leurs journées à les chercher a peu de
chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche
ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.

Restent les services secrets et autres armées mais eux n'ont pas besoin
de failles.

Par contre "on" dit qu'elles sont _corrigées_ plus vite.



Ça oui, la réactivité est là.



Et c'est bien ce qui compte.

--
Maintenant tu me regardes avec les yeux flétris
Bouffés par la machine à plastiquer les rêves
Tu me tends ton ticket pour la foire aux zombies
Et m'invites à trinquer au doomsday qui se lève
-- H.F. Thiéfaine, Une fille au rhésus négatif
Avatar
Doug713705
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
() :

Du coup tous les serveurs utilisant OpenVPN sont pwnables:

<https://news.ycombinator.com/item?idƒ85332>



Non, tous les serveurs utilisant "auth-user-pass-verify".
Mon serveur n'utilise pas cette méthode d'authentification, il n'a donc
rien à caindre de ce coté là.

--
Ton blues a dérapé sur mon corps de chacal
Dans cet hôtel paumé aux murs glacés d'ennui
Et pendant que le lit croise l'aéropostale
Tu me dis "Reprends ton fric. Aujourd'hui c'est gratuit.
-- H.F. Thiéfaine, Loreleï Sebasto Cha
Avatar
pehache
Le 30/09/2014 20:54, Doug713705 a écrit :
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
() :

Ouais des failles de plus de 10 ans, le concept "le code source est
ouvert on peut l'auditer" en prend un sacrée coup.



Difficile d'exploiter une faille qui n'a pas encore été découverte.
Une faille de plus de 10 ans découverte il y a deux jours devient donc
une faille de deux jours.



Sauf que personne ne sait réellement depuis combien de temps elle a été
découverte.


Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un
tas d'expert sécurité qui passent leurs journées à les chercher a peu de
chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche
ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.

Restent les services secrets et autres armées mais eux n'ont pas besoin
de failles.



mouais...
Avatar
Nicolas George
Doug713705 , dans le message , a
écrit :
Non, tous les serveurs utilisant "auth-user-pass-verify".



Même tous pas : « If the called script uses a vulnerable shell ».

Ton interlocuteur devrait se limiter à parler déménagement.
Avatar
Tonton Th
On 2014-09-27, Jo Kerr wrote:

Paradoxalement la découverte de failles n'est pas plus rapide
qu'ailleurs



Comment le sais-tu ?



Ben, un bug découvert 22 ans après sa création, c'est du niveau MS,



Quelqu'un pour vérifier ?
http://i.imgur.com/cTD5b5D.png


--
_/°< coin http://weblog.mixart-myrys.org/?post/2014/09/Radio-Myrys
1 2