Attention, ceci n'est pas un troll, je considere que chaque distribution
(même les plus critiqué) ont leur avantage et leur problème.
Voila, je cherche une distribution qui me conviendrait.
En faite, j'ai dejà chez moi un server en mode texte qui tourne sous Debian.
J'aime beaucoup Debian, mais voila, je souhaite aujourd'hui passer ma
station de travail (qui était encore sous Windows, car j'était étudiant
et on nous obligait a utiliser des logiciel qui n'existait pas sous
linux) sous Linux.
Bon, j'aimerais avoir de l'XGL le plus rapidement possible et un Desktop
joile a voir et bien stylé.
Mes principale application sont Firefox, OpenOffice, Thunderbird....
Ensuite, je fait beaucoup de dévellopement avec Scite, mais toute les
distrib me le permettrons sans problème.
Avant de poster ici, j'ai fait ma petite recherche et voici mes points
de vue, j'aimerais que vous me les commentiez :
Mon matos d'abord :
CM : Asus P4C800-E Delux
CPU : P4c 2.8GHz
Disque dure SERIAL ATA
GPU : NVidia GeForce 6
Debian Sarge : Trop dépasser pour XGL
Debian Etch : Impossible de l'installer depuis deja 2 semaine : je pense
que le problème est dut au disque Serial ATA, le noyaux se perd les
pedale dans le nom du disque (/dev/hda puis /dev/sdb) du coup, Fatal
error lors de l'installation de Grub.... si je ruse, que j'install une
vielle testing du moi de juillet et que j'upgrade, le noyaux ne demare
plus a cause d'un pb de udev....... Dommage, j'adore Debian....
Ubduntu : Alors, pourquoi pas ubuntu... oui mais je deteste son principe
de sudo.... alors....
Debian unstable : N'est ce pas trop instable ?? je suis pret a essayer..
Gentoo : La, je m'y interesse depuis une semaine, pourquoi pas..... mais
pourrais-je faire du XGL avec ? Sans trop trop me prendre la tête ?
Installer en Stage1 2 ou 3 ?????
Slackware : pourquoi pas, mais je ne connais pas
Suse : Pourquoi pas.... mais j'aimais bien les .deb.... enfin, je suis
tres ouvert donc
Mandriva : Le live CD m'a plus au niveau interface graphique et XGL....
mais avant je connaissait bien Mandrake jusqu'a la 6; et je n'aimais pas
trop les package RPM.... de plus, compiler un noyau sous debian est un
jeu d'enfant... sous Mandrake, je n'y était jamais arrivé...
Autre ??
J'aimerais vos point de vu OBJECTIF (en gros, les debian ça pu, Gentoo
c'est mieu sans argument, --->DEHORS ;-) )
Oui, toi et moi on connaît d'anciennes failles, les hackers en connaissent de nouvelles, ne te fais pas de souci. Linux a été écrit, comme Windows, par des gens qui n'avaient pas grand souci de la sécurité et probablement pas de grandes connaissances à ce sujet. Donc on peut considérer comme un axiome qu'un hacker ayant un accés local a ipso-facto un accès root.
MB
--
Michel TALON
Michel Billaud <billaud@serveur5.labri.fr> wrote:
On connait d'_anciennes_ failles.
Oui, toi et moi on connaît d'anciennes failles, les hackers en connaissent de
nouvelles, ne te fais pas de souci. Linux a été écrit, comme Windows, par des
gens qui n'avaient pas grand souci de la sécurité et probablement pas de
grandes connaissances à ce sujet. Donc on peut considérer comme un axiome
qu'un hacker ayant un accés local a ipso-facto un accès root.
Oui, toi et moi on connaît d'anciennes failles, les hackers en connaissent de nouvelles, ne te fais pas de souci. Linux a été écrit, comme Windows, par des gens qui n'avaient pas grand souci de la sécurité et probablement pas de grandes connaissances à ce sujet. Donc on peut considérer comme un axiome qu'un hacker ayant un accés local a ipso-facto un accès root.
MB
--
Michel TALON
remy
Ou encore Linux Kernel 2.4.22 "do_brk()" Privilege Escalation La faille à l'origine du piratage de quatre serveurs du Projet Debian a été identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur non privilégié et qui permet d'accéder librement à la totalité de la mémoire, y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que depuis un bon moment les micros sont equipes de mmu ce qui revient a dire que oui l'on peut mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur pour ensuite le lancer
oui oui cela doit etre possible mais pas a tous les coups because mmu
les depassements de buffeur legende urbaine par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de plantage que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
-- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
Ou encore
Linux Kernel 2.4.22 "do_brk()" Privilege Escalation
La faille à l'origine du piratage de quatre serveurs du Projet Debian a été
identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur
non privilégié et qui permet d'accéder librement à la totalité de la mémoire,
y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que
depuis un bon moment les micros sont
equipes de mmu ce qui revient a dire que oui l'on peut
mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur
pour ensuite le lancer
oui oui cela doit etre possible
mais pas a tous les coups because mmu
les depassements de buffeur legende urbaine
par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de
plantage que d'obtention de privilege root
çà tu peux eventuellement le reconnaitre
--
des conneries j'en ai dites oui oui je vous assure...
mais elles n'engagent que votre perception
la preuve http://remyaumeunier.chez-alice.fr/
remy
Ou encore Linux Kernel 2.4.22 "do_brk()" Privilege Escalation La faille à l'origine du piratage de quatre serveurs du Projet Debian a été identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur non privilégié et qui permet d'accéder librement à la totalité de la mémoire, y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que depuis un bon moment les micros sont equipes de mmu ce qui revient a dire que oui l'on peut mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur pour ensuite le lancer
oui oui cela doit etre possible mais pas a tous les coups because mmu
les depassements de buffeur legende urbaine par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de plantage que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
-- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
Kevin Denis
Le 27-09-2006, remy a écrit :
les depassements de buffeur legende urbaine
ouf.. celle la est a encadrer.
par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de plantage
un depassement de memoire va lancer l'OOM killer :)
que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
eh oui, le but du depassement de buffer est de faire faire quelque chose
au systeme de non prevu. Ce "quelque chose" est generalement l'execution de code choisi par ses soins. Et ce code ne vise qu'a une seule chose: l'elevation de privileges. Beaucoup de conditionnels, hein? Mais il faut croire que certaines personnes reussissent a faire mieux qu'un plantage... -- Si ton labeur est dur, et si tes résultats sont minces, rappelle-toi qu'un jour le grand chêne a été un gland comme toi.
Le 27-09-2006, remy <remy@fctpas.fr> a écrit :
les depassements de buffeur legende urbaine
ouf.. celle la est a encadrer.
par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de
plantage
un depassement de memoire va lancer l'OOM killer :)
que d'obtention de privilege root
çà tu peux eventuellement le reconnaitre
eh oui, le but du depassement de buffer est de faire faire quelque chose
au systeme de non prevu. Ce "quelque chose" est generalement l'execution
de code choisi par ses soins. Et ce code ne vise qu'a une seule chose:
l'elevation de privileges. Beaucoup de conditionnels, hein? Mais il faut
croire que certaines personnes reussissent a faire mieux qu'un
plantage...
--
Si ton labeur est dur, et si tes résultats sont minces, rappelle-toi
qu'un jour le grand chêne a été un gland comme toi.
par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de plantage
un depassement de memoire va lancer l'OOM killer :)
que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
eh oui, le but du depassement de buffer est de faire faire quelque chose
au systeme de non prevu. Ce "quelque chose" est generalement l'execution de code choisi par ses soins. Et ce code ne vise qu'a une seule chose: l'elevation de privileges. Beaucoup de conditionnels, hein? Mais il faut croire que certaines personnes reussissent a faire mieux qu'un plantage... -- Si ton labeur est dur, et si tes résultats sont minces, rappelle-toi qu'un jour le grand chêne a été un gland comme toi.
talon
remy wrote:
Ou encore Linux Kernel 2.4.22 "do_brk()" Privilege Escalation La faille à l'origine du piratage de quatre serveurs du Projet Debian a été identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur non privilégié et qui permet d'accéder librement à la totalité de la mémoire, y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que depuis un bon moment les micros sont equipes de mmu ce qui revient a dire que oui l'on peut mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur pour ensuite le lancer
Je ne comprends pas ce que tu veux dire. La présence d'un mmu est standard sur tous les PC depuis longtemps, et même quasiment toujours, ce qui ne change rien au fait que les dépassements de buffer permettent de faire des choses.
oui oui cela doit etre possible mais pas a tous les coups because mmu
A mon avis la mmu ne change absolument rien à l'affaire. Tout le problème est de remplacer dans la pile l'adresse de retour d'une fonction vers un bloc de code qu'on a introduit dans un buffer. Tout ça se passe dans l'espace d'adressage du processus, au niveau de la mémoire virtuelle, et n'a rien à foutre de la position en mémoire physique des choses.
les depassements de buffeur legende urbaine par contre plantage suite a cela beaucoup plus que probable
Non, obtention d'un shell garanti par le moins compétent des hackers.
un depassement de memoire donne plus de chance de plantage que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
Evidemment si le programme trafiqué n'est pas suid root, ça ne va pas faire devenir root. Mais contrairement à ce que tu crois le plus petit dépassement de pile suffit presque toujours à placer un exploit. Il y a eu des coups réalisés avec des dépassements absolument ridicules, quelques octets. Mais outre ça il y a une possibilité infinie d'exploiter des "race conditions" qui sont excessivement difficiles à repérer et donc traînent dans tous les coins dans un système comme Linux.
--
Michel TALON
remy <remy@fctpas.fr> wrote:
Ou encore
Linux Kernel 2.4.22 "do_brk()" Privilege Escalation
La faille à l'origine du piratage de quatre serveurs du Projet Debian a été
identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur
non privilégié et qui permet d'accéder librement à la totalité de la mémoire,
y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que
depuis un bon moment les micros sont
equipes de mmu ce qui revient a dire que oui l'on peut
mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur
pour ensuite le lancer
Je ne comprends pas ce que tu veux dire. La présence d'un mmu est standard sur
tous les PC depuis longtemps, et même quasiment toujours, ce qui ne change
rien au fait que les dépassements de buffer permettent de faire des choses.
oui oui cela doit etre possible
mais pas a tous les coups because mmu
A mon avis la mmu ne change absolument rien à l'affaire. Tout le problème est
de remplacer dans la pile l'adresse de retour d'une fonction vers un bloc de
code qu'on a introduit dans un buffer. Tout ça se passe dans l'espace
d'adressage du processus, au niveau de la mémoire virtuelle, et n'a rien à
foutre de la position en mémoire physique des choses.
les depassements de buffeur legende urbaine
par contre plantage suite a cela beaucoup plus que probable
Non, obtention d'un shell garanti par le moins compétent des hackers.
un depassement de memoire donne plus de chance de
plantage que d'obtention de privilege root
çà tu peux eventuellement le reconnaitre
Evidemment si le programme trafiqué n'est pas suid root, ça ne va pas faire
devenir root. Mais contrairement à ce que tu crois le plus petit dépassement
de pile suffit presque toujours à placer un exploit. Il y a eu des coups
réalisés avec des dépassements absolument ridicules, quelques octets.
Mais outre ça il y a une possibilité infinie d'exploiter des "race conditions"
qui sont excessivement difficiles à repérer et donc traînent dans tous les
coins dans un système comme Linux.
Ou encore Linux Kernel 2.4.22 "do_brk()" Privilege Escalation La faille à l'origine du piratage de quatre serveurs du Projet Debian a été identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur non privilégié et qui permet d'accéder librement à la totalité de la mémoire, y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que depuis un bon moment les micros sont equipes de mmu ce qui revient a dire que oui l'on peut mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur pour ensuite le lancer
Je ne comprends pas ce que tu veux dire. La présence d'un mmu est standard sur tous les PC depuis longtemps, et même quasiment toujours, ce qui ne change rien au fait que les dépassements de buffer permettent de faire des choses.
oui oui cela doit etre possible mais pas a tous les coups because mmu
A mon avis la mmu ne change absolument rien à l'affaire. Tout le problème est de remplacer dans la pile l'adresse de retour d'une fonction vers un bloc de code qu'on a introduit dans un buffer. Tout ça se passe dans l'espace d'adressage du processus, au niveau de la mémoire virtuelle, et n'a rien à foutre de la position en mémoire physique des choses.
les depassements de buffeur legende urbaine par contre plantage suite a cela beaucoup plus que probable
Non, obtention d'un shell garanti par le moins compétent des hackers.
un depassement de memoire donne plus de chance de plantage que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
Evidemment si le programme trafiqué n'est pas suid root, ça ne va pas faire devenir root. Mais contrairement à ce que tu crois le plus petit dépassement de pile suffit presque toujours à placer un exploit. Il y a eu des coups réalisés avec des dépassements absolument ridicules, quelques octets. Mais outre ça il y a une possibilité infinie d'exploiter des "race conditions" qui sont excessivement difficiles à repérer et donc traînent dans tous les coins dans un système comme Linux.
--
Michel TALON
remy
les depassements de buffeur legende urbaine
ouf.. celle la est a encadrer.
par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de plantage
un depassement de memoire va lancer l'OOM killer :)
que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
eh oui, le but du depassement de buffer est de faire faire quelque chose
au systeme de non prevu. Ce "quelque chose" est generalement l'execution de code choisi par ses soins. Et ce code ne vise qu'a une seule chose: l'elevation de privileges. Beaucoup de conditionnels, hein? Mais il faut croire que certaines personnes reussissent a faire mieux qu'un plantage...
tables de translation c'est chiant non ? -- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
les depassements de buffeur legende urbaine
ouf.. celle la est a encadrer.
par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de
plantage
un depassement de memoire va lancer l'OOM killer :)
que d'obtention de privilege root
çà tu peux eventuellement le reconnaitre
eh oui, le but du depassement de buffer est de faire faire quelque chose
au systeme de non prevu. Ce "quelque chose" est generalement l'execution
de code choisi par ses soins. Et ce code ne vise qu'a une seule chose:
l'elevation de privileges. Beaucoup de conditionnels, hein? Mais il faut
croire que certaines personnes reussissent a faire mieux qu'un
plantage...
tables de translation c'est chiant non ?
--
des conneries j'en ai dites oui oui je vous assure...
mais elles n'engagent que votre perception
la preuve http://remyaumeunier.chez-alice.fr/
remy
par contre plantage suite a cela beaucoup plus que probable
un depassement de memoire donne plus de chance de plantage
un depassement de memoire va lancer l'OOM killer :)
que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
eh oui, le but du depassement de buffer est de faire faire quelque chose
au systeme de non prevu. Ce "quelque chose" est generalement l'execution de code choisi par ses soins. Et ce code ne vise qu'a une seule chose: l'elevation de privileges. Beaucoup de conditionnels, hein? Mais il faut croire que certaines personnes reussissent a faire mieux qu'un plantage...
tables de translation c'est chiant non ? -- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
remy
remy wrote:
Ou encore Linux Kernel 2.4.22 "do_brk()" Privilege Escalation La faille à l'origine du piratage de quatre serveurs du Projet Debian a été identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur non privilégié et qui permet d'accéder librement à la totalité de la mémoire, y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que depuis un bon moment les micros sont equipes de mmu ce qui revient a dire que oui l'on peut mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur pour ensuite le lancer
Je ne comprends pas ce que tu veux dire. La présence d'un mmu est standard sur tous les PC depuis longtemps, et même quasiment toujours, ce qui ne change rien au fait que les dépassements de buffer permettent de faire des choses.
oui oui cela doit etre possible mais pas a tous les coups because mmu
A mon avis la mmu ne change absolument rien à l'affaire. Tout le problème est de remplacer dans la pile l'adresse de retour d'une fonction vers un bloc de code qu'on a introduit dans un buffer.
par depassement et se buffer doit devenir exécutable avec privilège root
Tout ça se passe dans l'espace d'adressage du processus, au niveau de la mémoire virtuelle, et n'a rien à foutre de la position en mémoire physique des choses.
les depassements de buffeur legende urbaine par contre plantage suite a cela beaucoup plus que probable
Non, obtention d'un shell garanti par le moins compétent des hackers.
un depassement de memoire donne plus de chance de plantage que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
Evidemment si le programme trafiqué n'est pas suid root, ça ne va pas faire devenir root.
bingo et il est ou ?
Mais contrairement à ce que tu crois le plus petit dépassement de pile suffit presque toujours à placer un exploit. Il y a eu des coups réalisés avec des dépassements absolument ridicules, quelques octets. Mais outre ça il y a une possibilité infinie d'exploiter des "race conditions" qui sont excessivement difficiles à repérer et donc traînent dans tous les coins dans un système comme Linux.
-- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
remy <remy@fctpas.fr> wrote:
Ou encore
Linux Kernel 2.4.22 "do_brk()" Privilege Escalation
La faille à l'origine du piratage de quatre serveurs du Projet Debian a été
identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur
non privilégié et qui permet d'accéder librement à la totalité de la mémoire,
y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que
depuis un bon moment les micros sont
equipes de mmu ce qui revient a dire que oui l'on peut
mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur
pour ensuite le lancer
Je ne comprends pas ce que tu veux dire. La présence d'un mmu est standard sur
tous les PC depuis longtemps, et même quasiment toujours, ce qui ne change
rien au fait que les dépassements de buffer permettent de faire des choses.
oui oui cela doit etre possible
mais pas a tous les coups because mmu
A mon avis la mmu ne change absolument rien à l'affaire. Tout le problème est
de remplacer dans la pile l'adresse de retour d'une fonction vers un bloc de
code qu'on a introduit dans un buffer.
par depassement et se buffer doit devenir exécutable avec privilège root
Tout ça se passe dans l'espace
d'adressage du processus, au niveau de la mémoire virtuelle, et n'a rien à
foutre de la position en mémoire physique des choses.
les depassements de buffeur legende urbaine
par contre plantage suite a cela beaucoup plus que probable
Non, obtention d'un shell garanti par le moins compétent des hackers.
un depassement de memoire donne plus de chance de
plantage que d'obtention de privilege root
çà tu peux eventuellement le reconnaitre
Evidemment si le programme trafiqué n'est pas suid root, ça ne va pas faire
devenir root.
bingo et il est ou ?
Mais contrairement à ce que tu crois le plus petit dépassement
de pile suffit presque toujours à placer un exploit. Il y a eu des coups
réalisés avec des dépassements absolument ridicules, quelques octets.
Mais outre ça il y a une possibilité infinie d'exploiter des "race conditions"
qui sont excessivement difficiles à repérer et donc traînent dans tous les
coins dans un système comme Linux.
--
des conneries j'en ai dites oui oui je vous assure...
mais elles n'engagent que votre perception
la preuve http://remyaumeunier.chez-alice.fr/
remy
Ou encore Linux Kernel 2.4.22 "do_brk()" Privilege Escalation La faille à l'origine du piratage de quatre serveurs du Projet Debian a été identifiée. Il s'agit d'une attaque exploitable par n'importe quel utilisateur non privilégié et qui permet d'accéder librement à la totalité de la mémoire, y compris celle gérée par le noyau.
je prends celui la il est en français ce qui evite toute mauvaise
je note le conditionnel dans le texte et pourquoi parce que depuis un bon moment les micros sont equipes de mmu ce qui revient a dire que oui l'on peut mais c'est pas gagne et en plus il faut pouvoir y mettre de l'assembleur pour ensuite le lancer
Je ne comprends pas ce que tu veux dire. La présence d'un mmu est standard sur tous les PC depuis longtemps, et même quasiment toujours, ce qui ne change rien au fait que les dépassements de buffer permettent de faire des choses.
oui oui cela doit etre possible mais pas a tous les coups because mmu
A mon avis la mmu ne change absolument rien à l'affaire. Tout le problème est de remplacer dans la pile l'adresse de retour d'une fonction vers un bloc de code qu'on a introduit dans un buffer.
par depassement et se buffer doit devenir exécutable avec privilège root
Tout ça se passe dans l'espace d'adressage du processus, au niveau de la mémoire virtuelle, et n'a rien à foutre de la position en mémoire physique des choses.
les depassements de buffeur legende urbaine par contre plantage suite a cela beaucoup plus que probable
Non, obtention d'un shell garanti par le moins compétent des hackers.
un depassement de memoire donne plus de chance de plantage que d'obtention de privilege root çà tu peux eventuellement le reconnaitre
Evidemment si le programme trafiqué n'est pas suid root, ça ne va pas faire devenir root.
bingo et il est ou ?
Mais contrairement à ce que tu crois le plus petit dépassement de pile suffit presque toujours à placer un exploit. Il y a eu des coups réalisés avec des dépassements absolument ridicules, quelques octets. Mais outre ça il y a une possibilité infinie d'exploiter des "race conditions" qui sont excessivement difficiles à repérer et donc traînent dans tous les coins dans un système comme Linux.
-- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
Jerome Lambert
remy wrote:
Ensuite tout hacker compétent a immédiatement un accés root s'il a un accès simple utilisateur, ha oui et tu fait comment ?
Tu exploites un bug qui permet d'augmenter les privilèges, chose qui ne manque pas d'exister en abondance dans Linux. Comme je ne suis pas un hacker professionnel, je ne vais pas t'en citer, mais tu peux être sûr que les professionnels en connaissent une bonne panoplie.
planter un programme oui mais de la a donner des droits root
a un scripte
Il y a nettement plus simple: il suffit d'accéder à une page ayant des scripts genre scripts cgi dans un formulaire, de bidouiller la réponse pour que le formulaire affiche p.ex. la page ../../../../../etc/passwd (ou shadow), de prendre ce qui s'affiche, de faire tourner un crackeur de mots de passe chez soi sur ce contenu et puis de revenir tranquillement avec les bons mots de passe. C'est en gros ce qui était arrivé dans le cas que j'ai évoqué ailleurs.
remy <remy@fctpas.fr> wrote:
Ensuite tout hacker compétent a immédiatement un accés root s'il
a un accès simple utilisateur,
ha oui et tu fait comment ?
Tu exploites un bug qui permet d'augmenter les privilèges, chose qui
ne manque
pas d'exister en abondance dans Linux. Comme je ne suis pas un hacker
professionnel, je ne vais pas t'en citer, mais tu peux être sûr que les
professionnels en connaissent une bonne panoplie.
planter un programme oui mais de la a donner des droits root
a un scripte
Il y a nettement plus simple: il suffit d'accéder à une page ayant des
scripts genre scripts cgi dans un formulaire, de bidouiller la réponse
pour que le formulaire affiche p.ex. la page ../../../../../etc/passwd
(ou shadow), de prendre ce qui s'affiche, de faire tourner un crackeur
de mots de passe chez soi sur ce contenu et puis de revenir
tranquillement avec les bons mots de passe.
C'est en gros ce qui était arrivé dans le cas que j'ai évoqué ailleurs.
Ensuite tout hacker compétent a immédiatement un accés root s'il a un accès simple utilisateur, ha oui et tu fait comment ?
Tu exploites un bug qui permet d'augmenter les privilèges, chose qui ne manque pas d'exister en abondance dans Linux. Comme je ne suis pas un hacker professionnel, je ne vais pas t'en citer, mais tu peux être sûr que les professionnels en connaissent une bonne panoplie.
planter un programme oui mais de la a donner des droits root
a un scripte
Il y a nettement plus simple: il suffit d'accéder à une page ayant des scripts genre scripts cgi dans un formulaire, de bidouiller la réponse pour que le formulaire affiche p.ex. la page ../../../../../etc/passwd (ou shadow), de prendre ce qui s'affiche, de faire tourner un crackeur de mots de passe chez soi sur ce contenu et puis de revenir tranquillement avec les bons mots de passe. C'est en gros ce qui était arrivé dans le cas que j'ai évoqué ailleurs.
wl4d
Jérémy JUST wrote:
Le Tue, 26 Sep 2006 14:30:10 +0000 (UTC),
[Ubuntu vs Gentoo] Tu compares la distribution la plus facile à installer et à maintenir
à la plus difficile. Tu ne te trouves pas un peu bizarre dès fois?
N'exagérons rien. Ubuntu est peut-être difficile à installer, mais il y a pire.
Haha pas mal :)
Jérémy JUST wrote:
Le Tue, 26 Sep 2006 14:30:10 +0000 (UTC),
[Ubuntu vs Gentoo]
Tu compares la distribution la plus facile à installer et à maintenir
à la plus difficile. Tu ne te trouves pas un peu bizarre dès fois?
N'exagérons rien. Ubuntu est peut-être difficile à installer, mais il
y a pire.
[Ubuntu vs Gentoo] Tu compares la distribution la plus facile à installer et à maintenir
à la plus difficile. Tu ne te trouves pas un peu bizarre dès fois?
N'exagérons rien. Ubuntu est peut-être difficile à installer, mais il y a pire.
Haha pas mal :)
remy
Mais contrairement à ce que tu crois le plus petit dépassement de pile suffit presque toujours à placer un exploit. Il y a eu des coups réalisés avec des dépassements absolument ridicules, quelques octets. Mais outre ça il y a une possibilité infinie d'exploiter des "race conditions" qui sont excessivement difficiles à repérer et donc traînent dans tous les coins dans un système comme Linux.
peut etre mais c'est quand meme assez bien foutu les droits que tu critiques par exemple
tapes cat /proc/[pid]/maps
tu ne peux meme pas ecrire ou tu veux
-- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
Mais contrairement à ce que tu crois le plus petit dépassement
de pile suffit presque toujours à placer un exploit. Il y a eu des coups
réalisés avec des dépassements absolument ridicules, quelques octets.
Mais outre ça il y a une possibilité infinie d'exploiter des "race
conditions"
qui sont excessivement difficiles à repérer et donc traînent dans tous
les
coins dans un système comme Linux.
peut etre mais c'est quand meme assez bien foutu les droits que tu critiques
par exemple
tapes cat /proc/[pid]/maps
tu ne peux meme pas ecrire ou tu veux
--
des conneries j'en ai dites oui oui je vous assure...
mais elles n'engagent que votre perception
la preuve http://remyaumeunier.chez-alice.fr/
remy
Mais contrairement à ce que tu crois le plus petit dépassement de pile suffit presque toujours à placer un exploit. Il y a eu des coups réalisés avec des dépassements absolument ridicules, quelques octets. Mais outre ça il y a une possibilité infinie d'exploiter des "race conditions" qui sont excessivement difficiles à repérer et donc traînent dans tous les coins dans un système comme Linux.
peut etre mais c'est quand meme assez bien foutu les droits que tu critiques par exemple
tapes cat /proc/[pid]/maps
tu ne peux meme pas ecrire ou tu veux
-- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
remy
remy wrote:
Ensuite tout hacker compétent a immédiatement un accés root s'il a un accès simple utilisateur, ha oui et tu fait comment ?
Tu exploites un bug qui permet d'augmenter les privilèges, chose qui ne manque pas d'exister en abondance dans Linux. Comme je ne suis pas un hacker professionnel, je ne vais pas t'en citer, mais tu peux être sûr que les professionnels en connaissent une bonne panoplie.
planter un programme oui mais de la a donner des droits root
a un scripte
Il y a nettement plus simple: il suffit d'accéder à une page ayant des scripts genre scripts cgi dans un formulaire, de bidouiller la réponse pour que le formulaire affiche p.ex. la page ../../../../../etc/passwd (ou shadow), de prendre ce qui s'affiche, de faire tourner un crackeur de mots de passe chez soi sur ce contenu et puis de revenir tranquillement avec les bons mots de passe. C'est en gros ce qui était arrivé dans le cas que j'ai évoqué ailleurs. là je suis d'accord les scripts cgi sont une veritable passoire
mais cela s'apparente a de la force brute et donc a un mauvais choix de mot de passe
-- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
remy <remy@fctpas.fr> wrote:
Ensuite tout hacker compétent a immédiatement un accés root s'il
a un accès simple utilisateur,
ha oui et tu fait comment ?
Tu exploites un bug qui permet d'augmenter les privilèges, chose qui
ne manque
pas d'exister en abondance dans Linux. Comme je ne suis pas un hacker
professionnel, je ne vais pas t'en citer, mais tu peux être sûr que les
professionnels en connaissent une bonne panoplie.
planter un programme oui mais de la a donner des droits root
a un scripte
Il y a nettement plus simple: il suffit d'accéder à une page ayant des
scripts genre scripts cgi dans un formulaire, de bidouiller la réponse
pour que le formulaire affiche p.ex. la page ../../../../../etc/passwd
(ou shadow), de prendre ce qui s'affiche, de faire tourner un crackeur
de mots de passe chez soi sur ce contenu et puis de revenir
tranquillement avec les bons mots de passe.
C'est en gros ce qui était arrivé dans le cas que j'ai évoqué ailleurs.
là je suis d'accord les scripts cgi sont une veritable passoire
mais cela s'apparente a de la force brute et donc a un mauvais choix de
mot de passe
--
des conneries j'en ai dites oui oui je vous assure...
mais elles n'engagent que votre perception
la preuve http://remyaumeunier.chez-alice.fr/
remy
Ensuite tout hacker compétent a immédiatement un accés root s'il a un accès simple utilisateur, ha oui et tu fait comment ?
Tu exploites un bug qui permet d'augmenter les privilèges, chose qui ne manque pas d'exister en abondance dans Linux. Comme je ne suis pas un hacker professionnel, je ne vais pas t'en citer, mais tu peux être sûr que les professionnels en connaissent une bonne panoplie.
planter un programme oui mais de la a donner des droits root
a un scripte
Il y a nettement plus simple: il suffit d'accéder à une page ayant des scripts genre scripts cgi dans un formulaire, de bidouiller la réponse pour que le formulaire affiche p.ex. la page ../../../../../etc/passwd (ou shadow), de prendre ce qui s'affiche, de faire tourner un crackeur de mots de passe chez soi sur ce contenu et puis de revenir tranquillement avec les bons mots de passe. C'est en gros ce qui était arrivé dans le cas que j'ai évoqué ailleurs. là je suis d'accord les scripts cgi sont une veritable passoire
mais cela s'apparente a de la force brute et donc a un mauvais choix de mot de passe
-- des conneries j'en ai dites oui oui je vous assure... mais elles n'engagent que votre perception la preuve http://remyaumeunier.chez-alice.fr/ remy
