Linux : découverte et correction d'une faille critique
44 réponses
Pandi - Panda
Deux ingénieurs employés par Google ont découvert la semaine dernière
l'existence d'une faille de sécurité affectant les principales
révisions du noyau Linux sorties depuis 2001, de la version 2.4 à
l'actuelle 2.6.30. Qualifiée de critique par la plupart des
observateurs, cette faille permet à un attaquant d'obtenir l'exécution
de code avec le niveau de privilège accordé au noyau. Correctement
utilisée, elle autoriserait un attaquant à prendre le contrôle d'une
machine à distance.
Sur son blog, Julien Tinnes explique la nature de cette faille,
découverte avec son collègue Tavis Ormandy. Le problème vient selon eux
de la façon dont sont gérés les pointeurs nuls au sein de certains
protocoles.
Bien que différents exploits soient déjà disponibles sur la Toile,
l'impact devrait se révéler des plus limités. Quelques minutes
seulement après l'annonce de cette découverte, Linus Torvalds a publié
un patch destiné à corriger à cette faille au sein du noyau Linux. De
nouvelles versions de ce dernier (2.6.30.5 et 2.4.37.5) ont par
ailleurs été mises en ligne dimanche.
Tu veux une liste de bugs critiques publiés et jamais corrigés sur les produits MS?
C'est vraiment l'hôpital qui se fout de la charité...
Politique de l'autruche. Comme c'est pire chez les autres, etc...
-- Laurent P.
Cumbalero
Laurent P. a écrit :
Comme c'est pire chez les autres, etc...
En l'occurrence, c'est plutôt le kroteux qui est venu nous dire ça... mais à propos d'une faille déjà corrigée et dont le correctif pou r toutes les versions des noyaux concernées de chaque distrib est dispo, ce qui n'est pas le cas chez MS.
Le fait que ce soit pire ailleurs ne veut pas dire que "de notre côté " tout soit parfait, mais raisonnablement, c'est carrément mieux!
A+ JF
Laurent P. a écrit :
Comme c'est pire chez les autres, etc...
En l'occurrence, c'est plutôt le kroteux qui est venu nous dire ça...
mais à propos d'une faille déjà corrigée et dont le correctif pou r
toutes les versions des noyaux concernées de chaque distrib est dispo,
ce qui n'est pas le cas chez MS.
Le fait que ce soit pire ailleurs ne veut pas dire que "de notre côté "
tout soit parfait, mais raisonnablement, c'est carrément mieux!
En l'occurrence, c'est plutôt le kroteux qui est venu nous dire ça... mais à propos d'une faille déjà corrigée et dont le correctif pou r toutes les versions des noyaux concernées de chaque distrib est dispo, ce qui n'est pas le cas chez MS.
Le fait que ce soit pire ailleurs ne veut pas dire que "de notre côté " tout soit parfait, mais raisonnablement, c'est carrément mieux!
A+ JF
Yves Lambert
Pandi - Panda wrote:
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait est noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant quelques minutes. Blast a été publé en avril 2002 et exploité à partir de juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans internet :)))
-- Les vices entrent dans la composition des vertus comme les poisons entrent dans la composition des remèdes. La prudence les assemble et les tempère, et elle s'en sert utilement contre les maux de la vie. -+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
Pandi - Panda wrote:
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait est
noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que
pendant quelques minutes. Blast a été publé en avril 2002 et exploité à
partir de juillet. "O day" pendant 3 mois, bravo windows. Et
heureusement que les serveurs web sont sous linux ou BSD, autrement ça
aurait été 3 mois sans internet :)))
--
Les vices entrent dans la composition des vertus comme les poisons
entrent dans la composition des remèdes. La prudence les assemble et
les tempère, et elle s'en sert utilement contre les maux de la vie.
-+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait est noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant quelques minutes. Blast a été publé en avril 2002 et exploité à partir de juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans internet :)))
-- Les vices entrent dans la composition des vertus comme les poisons entrent dans la composition des remèdes. La prudence les assemble et les tempère, et elle s'en sert utilement contre les maux de la vie. -+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
Stéphane CARPENTIER
Jo Kerr wrote:
Professeur Méphisto a formulé ce lundi :
Le Mon, 24 Aug 2009 11:07:15 +0200, Jo Kerr a écrit :
Tout à fait d'accord, mais tu as oublier de citer la suite de la phrase qui a son importance:
pour un système qui veut donner des lecons au monde
non :
corriger une faille en quelques minutes et avoir une mise à jour au niveau des paquets de distrib' en quelques jour *EST* donner une leçon au monde.
Avoir une faille "en sommeil" pendant 8 ans,
Il y en a d'autres. Dans tout système un tant soit peu conséquent, il y a des bugs.
il vaut mieux éviter de donner des leçons.
Elle n'est pas là la leçon.
N'empêche que "chapeau bas" pour le réactivité.
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le service pack quand ils sont corrigés.
Les milliers de contributeurs/programmeurs qui ont accès aux sources n'ont rien trouvé depuis tout ce temps ?
Toi, tu n'es pas un programmeur. Tu ne réalises ps ce que c'est.
Jo Kerr wrote:
Professeur Méphisto a formulé ce lundi :
Le Mon, 24 Aug 2009 11:07:15 +0200, Jo Kerr a écrit :
Tout à fait d'accord, mais tu as oublier de citer la suite de la phrase
qui a son importance:
pour un système qui veut donner des lecons au monde
non :
corriger une faille en quelques minutes et avoir une mise à jour au
niveau des paquets de distrib' en quelques jour *EST* donner une leçon
au monde.
Avoir une faille "en sommeil" pendant 8 ans,
Il y en a d'autres. Dans tout système un tant soit peu conséquent, il y
a des bugs.
il vaut mieux éviter de
donner des leçons.
Elle n'est pas là la leçon.
N'empêche que "chapeau bas" pour le réactivité.
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le
service pack quand ils sont corrigés.
Les milliers de contributeurs/programmeurs qui ont accès aux sources
n'ont rien trouvé depuis tout ce temps ?
Toi, tu n'es pas un programmeur. Tu ne réalises ps ce que c'est.
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le service pack quand ils sont corrigés.
Encore une pointure de l'informatique
Pandi - Panda
Yves Lambert a écrit :
Pandi - Panda wrote:
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait est noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant quelques minutes. Blast a été publé en avril 2002 et exploité à partir de juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans internet :)))
C'est sûre qu'un système utilié par 1% de la population peut se contenter de failles éternels
Yves Lambert a écrit :
Pandi - Panda wrote:
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait est
noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant
quelques minutes. Blast a été publé en avril 2002 et exploité à partir de
juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les
serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans
internet :)))
C'est sûre qu'un système utilié par 1% de la population peut se
contenter de failles éternels
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait est noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant quelques minutes. Blast a été publé en avril 2002 et exploité à partir de juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans internet :)))
C'est sûre qu'un système utilié par 1% de la population peut se contenter de failles éternels
Professeur M
Le Mon, 24 Aug 2009 20:52:25 +0200, Pandi - Panda a écrit :
failles éternels
tellement con qu'il ne comprend même pas ce qu'il poste.
Le Mon, 24 Aug 2009 20:52:25 +0200, Pandi - Panda a écrit :
failles éternels
tellement con qu'il ne comprend même pas ce qu'il poste.
Le Mon, 24 Aug 2009 20:51:42 +0200, Pandi - Panda a gâché de la bande passante pour nous écrire :
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le service pack quand ils sont corrigés.
Encore une pointure de l'informatique
Encore un couillon.
-- @+ Doug - Linux user #307925 - Slamd64 roulaize ;-) [ Plus ou moins avec une chance de peut-être ]
Doug713705
Le Mon, 24 Aug 2009 20:52:25 +0200, Pandi - Panda a gâché de la bande passante pour nous écrire :
C'est sûre qu'un système utilié par 1% de la population peut se contenter de failles éternels
Une faille qui n'a pas été découverte devient un problème le jour de sa découverte et non pas avant.
On imagine très bien qu'il doit bien y avoir au moins 45 failles critiques (dont 44 ne seront jamais corrigées) dans IE8 mais on ne les a pas encore découvertes. En l'état, elles ne posent aucun problème pour le moment.
-- @+ Doug - Linux user #307925 - Slamd64 roulaize ;-) [ Plus ou moins avec une chance de peut-être ]
Le Mon, 24 Aug 2009 20:52:25 +0200, Pandi - Panda a gâché de la bande
passante pour nous écrire :
C'est sûre qu'un système utilié par 1% de la population peut se
contenter de failles éternels
Une faille qui n'a pas été découverte devient un problème le jour de sa
découverte et non pas avant.
On imagine très bien qu'il doit bien y avoir au moins 45 failles
critiques (dont 44 ne seront jamais corrigées) dans IE8 mais on ne les
a pas encore découvertes.
En l'état, elles ne posent aucun problème pour le moment.
--
@+
Doug - Linux user #307925 - Slamd64 roulaize ;-)
[ Plus ou moins avec une chance de peut-être ]
Le Mon, 24 Aug 2009 20:52:25 +0200, Pandi - Panda a gâché de la bande passante pour nous écrire :
C'est sûre qu'un système utilié par 1% de la population peut se contenter de failles éternels
Une faille qui n'a pas été découverte devient un problème le jour de sa découverte et non pas avant.
On imagine très bien qu'il doit bien y avoir au moins 45 failles critiques (dont 44 ne seront jamais corrigées) dans IE8 mais on ne les a pas encore découvertes. En l'état, elles ne posent aucun problème pour le moment.
-- @+ Doug - Linux user #307925 - Slamd64 roulaize ;-) [ Plus ou moins avec une chance de peut-être ]
Jo Kerr
Stéphane CARPENTIER avait prétendu :
Jo Kerr wrote:
Professeur Méphisto a formulé ce lundi :
Le Mon, 24 Aug 2009 11:07:15 +0200, Jo Kerr a écrit :
Tout à fait d'accord, mais tu as oublier de citer la suite de la phrase qui a son importance:
pour un système qui veut donner des lecons au monde
non :
corriger une faille en quelques minutes et avoir une mise à jour au niveau des paquets de distrib' en quelques jour *EST* donner une leçon au monde.
Avoir une faille "en sommeil" pendant 8 ans,
Il y en a d'autres. Dans tout système un tant soit peu conséquent, il y a des bugs.
On est d'accord.
il vaut mieux éviter de donner des leçons.
Elle n'est pas là la leçon.
En général pour les zélotes linuxiens, Linux n'a pas de problème de sécurité et ce discours fait "donneur de leçons".
N'empêche que "chapeau bas" pour le réactivité.
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le service pack quand ils sont corrigés.
Non, MS sort des correctifs de sécurité tous les mois. Les services packs ne font que regrouper tous les patchs publiés.
Les milliers de contributeurs/programmeurs qui ont accès aux sources n'ont rien trouvé depuis tout ce temps ?
Toi, tu n'es pas un programmeur. Tu ne réalises ps ce que c'est.
Je sais ce qu'est la programmation. J'en ai fait, même si ce n'est pas mon activité principale.
-- In gold we trust (c)
Stéphane CARPENTIER avait prétendu :
Jo Kerr wrote:
Professeur Méphisto a formulé ce lundi :
Le Mon, 24 Aug 2009 11:07:15 +0200, Jo Kerr a écrit :
Tout à fait d'accord, mais tu as oublier de citer la suite de la phrase
qui a son importance:
pour un système qui veut donner des lecons au monde
non :
corriger une faille en quelques minutes et avoir une mise à jour au niveau
des paquets de distrib' en quelques jour *EST* donner une leçon au monde.
Avoir une faille "en sommeil" pendant 8 ans,
Il y en a d'autres. Dans tout système un tant soit peu conséquent, il y a des
bugs.
On est d'accord.
il vaut mieux éviter de donner des leçons.
Elle n'est pas là la leçon.
En général pour les zélotes linuxiens, Linux n'a pas de problème de
sécurité et ce discours fait "donneur de leçons".
N'empêche que "chapeau bas" pour le réactivité.
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le service
pack quand ils sont corrigés.
Non, MS sort des correctifs de sécurité tous les mois. Les services
packs ne font que regrouper tous les patchs publiés.
Les milliers de contributeurs/programmeurs qui ont accès aux sources n'ont
rien trouvé depuis tout ce temps ?
Toi, tu n'es pas un programmeur. Tu ne réalises ps ce que c'est.
Je sais ce qu'est la programmation. J'en ai fait, même si ce n'est pas
mon activité principale.
