Vrai problème de sécurité ? Un accès physique à la machine est-il
nécessaire ?
http://www.20minutes.fr/high-tech/1449883-20140925-bash-bug-vraiment-pire-heartbleed#xtor=EPR-182-[welcomemedia]--[article_hightech]--
Vrai problème de sécurité ? Un accès physique à la machine est-il nécessaire ? http://www.20minutes.fr/high-tech/1449883-20140925-bash-bug-vraiment-pire-heartbleed
On 2014-09-26, Jo Kerr <jo.kerr@jo.invalid> wrote:
Vrai problème de sécurité ? Un accès physique à la machine est-il
nécessaire ?
http://www.20minutes.fr/high-tech/1449883-20140925-bash-bug-vraiment-pire-heartbleed
Vrai problème de sécurité ? Un accès physique à la machine est-il nécessaire ? http://www.20minutes.fr/high-tech/1449883-20140925-bash-bug-vraiment-pire-heartbleed
Du coup tous les serveurs utilisant OpenVPN sont pwnables:
<https://news.ycombinator.com/item?id85332>
-- The drug cartels and the computer industry are the only two industries that call their customers 'users'. Felix Lindner
Doug713705
Le 30-09-2014, The Mover nous expliquait dans fr.comp.os.linux.debats () :
Ouais des failles de plus de 10 ans, le concept "le code source est ouvert on peut l'auditer" en prend un sacrée coup.
Difficile d'exploiter une faille qui n'a pas encore été découverte. Une faille de plus de 10 ans découverte il y a deux jours devient donc une faille de deux jours.
Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un tas d'expert sécurité qui passent leurs journées à les chercher a peu de chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.
Restent les services secrets et autres armées mais eux n'ont pas besoin de failles.
Par contre "on" dit qu'elles sont _corrigées_ plus vite.
Ça oui, la réactivité est là.
Et c'est bien ce qui compte.
-- Maintenant tu me regardes avec les yeux flétris Bouffés par la machine à plastiquer les rêves Tu me tends ton ticket pour la foire aux zombies Et m'invites à trinquer au doomsday qui se lève -- H.F. Thiéfaine, Une fille au rhésus négatif
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
(<pan.2014.09.30.12.27.10@insane.in.a.bad.brain>) :
Ouais des failles de plus de 10 ans, le concept "le code source est
ouvert on peut l'auditer" en prend un sacrée coup.
Difficile d'exploiter une faille qui n'a pas encore été découverte.
Une faille de plus de 10 ans découverte il y a deux jours devient donc
une faille de deux jours.
Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un
tas d'expert sécurité qui passent leurs journées à les chercher a peu de
chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche
ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.
Restent les services secrets et autres armées mais eux n'ont pas besoin
de failles.
Par contre "on" dit qu'elles sont _corrigées_ plus vite.
Ça oui, la réactivité est là.
Et c'est bien ce qui compte.
--
Maintenant tu me regardes avec les yeux flétris
Bouffés par la machine à plastiquer les rêves
Tu me tends ton ticket pour la foire aux zombies
Et m'invites à trinquer au doomsday qui se lève
-- H.F. Thiéfaine, Une fille au rhésus négatif
Le 30-09-2014, The Mover nous expliquait dans fr.comp.os.linux.debats () :
Ouais des failles de plus de 10 ans, le concept "le code source est ouvert on peut l'auditer" en prend un sacrée coup.
Difficile d'exploiter une faille qui n'a pas encore été découverte. Une faille de plus de 10 ans découverte il y a deux jours devient donc une faille de deux jours.
Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un tas d'expert sécurité qui passent leurs journées à les chercher a peu de chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.
Restent les services secrets et autres armées mais eux n'ont pas besoin de failles.
Par contre "on" dit qu'elles sont _corrigées_ plus vite.
Ça oui, la réactivité est là.
Et c'est bien ce qui compte.
-- Maintenant tu me regardes avec les yeux flétris Bouffés par la machine à plastiquer les rêves Tu me tends ton ticket pour la foire aux zombies Et m'invites à trinquer au doomsday qui se lève -- H.F. Thiéfaine, Une fille au rhésus négatif
Doug713705
Le 30-09-2014, The Mover nous expliquait dans fr.comp.os.linux.debats () :
Du coup tous les serveurs utilisant OpenVPN sont pwnables:
<https://news.ycombinator.com/item?id85332>
Non, tous les serveurs utilisant "auth-user-pass-verify". Mon serveur n'utilise pas cette méthode d'authentification, il n'a donc rien à caindre de ce coté là.
-- Ton blues a dérapé sur mon corps de chacal Dans cet hôtel paumé aux murs glacés d'ennui Et pendant que le lit croise l'aéropostale Tu me dis "Reprends ton fric. Aujourd'hui c'est gratuit. -- H.F. Thiéfaine, Loreleï Sebasto Cha
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
(<pan.2014.09.30.12.29.14@insane.in.a.bad.brain>) :
Du coup tous les serveurs utilisant OpenVPN sont pwnables:
<https://news.ycombinator.com/item?id85332>
Non, tous les serveurs utilisant "auth-user-pass-verify".
Mon serveur n'utilise pas cette méthode d'authentification, il n'a donc
rien à caindre de ce coté là.
--
Ton blues a dérapé sur mon corps de chacal
Dans cet hôtel paumé aux murs glacés d'ennui
Et pendant que le lit croise l'aéropostale
Tu me dis "Reprends ton fric. Aujourd'hui c'est gratuit.
-- H.F. Thiéfaine, Loreleï Sebasto Cha
Le 30-09-2014, The Mover nous expliquait dans fr.comp.os.linux.debats () :
Du coup tous les serveurs utilisant OpenVPN sont pwnables:
<https://news.ycombinator.com/item?id85332>
Non, tous les serveurs utilisant "auth-user-pass-verify". Mon serveur n'utilise pas cette méthode d'authentification, il n'a donc rien à caindre de ce coté là.
-- Ton blues a dérapé sur mon corps de chacal Dans cet hôtel paumé aux murs glacés d'ennui Et pendant que le lit croise l'aéropostale Tu me dis "Reprends ton fric. Aujourd'hui c'est gratuit. -- H.F. Thiéfaine, Loreleï Sebasto Cha
pehache
Le 30/09/2014 20:54, Doug713705 a écrit :
Le 30-09-2014, The Mover nous expliquait dans fr.comp.os.linux.debats () :
Ouais des failles de plus de 10 ans, le concept "le code source est ouvert on peut l'auditer" en prend un sacrée coup.
Difficile d'exploiter une faille qui n'a pas encore été découverte. Une faille de plus de 10 ans découverte il y a deux jours devient donc une faille de deux jours.
Sauf que personne ne sait réellement depuis combien de temps elle a été découverte.
Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un tas d'expert sécurité qui passent leurs journées à les chercher a peu de chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.
Restent les services secrets et autres armées mais eux n'ont pas besoin de failles.
mouais...
Le 30/09/2014 20:54, Doug713705 a écrit :
Le 30-09-2014, The Mover nous expliquait dans
fr.comp.os.linux.debats
(<pan.2014.09.30.12.27.10@insane.in.a.bad.brain>) :
Ouais des failles de plus de 10 ans, le concept "le code source est
ouvert on peut l'auditer" en prend un sacrée coup.
Difficile d'exploiter une faille qui n'a pas encore été découverte.
Une faille de plus de 10 ans découverte il y a deux jours devient donc
une faille de deux jours.
Sauf que personne ne sait réellement depuis combien de temps elle a été
découverte.
Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un
tas d'expert sécurité qui passent leurs journées à les chercher a peu de
chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche
ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.
Restent les services secrets et autres armées mais eux n'ont pas besoin
de failles.
Le 30-09-2014, The Mover nous expliquait dans fr.comp.os.linux.debats () :
Ouais des failles de plus de 10 ans, le concept "le code source est ouvert on peut l'auditer" en prend un sacrée coup.
Difficile d'exploiter une faille qui n'a pas encore été découverte. Une faille de plus de 10 ans découverte il y a deux jours devient donc une faille de deux jours.
Sauf que personne ne sait réellement depuis combien de temps elle a été découverte.
Sauf coup de bol, une faille vicieuse restée cachée aux yeux de tout un tas d'expert sécurité qui passent leurs journées à les chercher a peu de chance d'être découverte par Jean-Kevin Michu, script kiddy du dimanche ou par Igor Oulianov Zakhraov , DSI de la Don Corleone corporation.
Restent les services secrets et autres armées mais eux n'ont pas besoin de failles.
mouais...
Nicolas George
Doug713705 , dans le message , a écrit :
Non, tous les serveurs utilisant "auth-user-pass-verify".
Même tous pas : « If the called script uses a vulnerable shell ».
Ton interlocuteur devrait se limiter à parler déménagement.
Doug713705 , dans le message <e1brfbx7el.ln2@actarus.redatomik.org>, a
écrit :
Non, tous les serveurs utilisant "auth-user-pass-verify".
Même tous pas : « If the called script uses a vulnerable shell ».
Ton interlocuteur devrait se limiter à parler déménagement.
