Linux : découverte et correction d'une faille critique
44 réponses
Pandi - Panda
Deux ingénieurs employés par Google ont découvert la semaine dernière
l'existence d'une faille de sécurité affectant les principales
révisions du noyau Linux sorties depuis 2001, de la version 2.4 à
l'actuelle 2.6.30. Qualifiée de critique par la plupart des
observateurs, cette faille permet à un attaquant d'obtenir l'exécution
de code avec le niveau de privilège accordé au noyau. Correctement
utilisée, elle autoriserait un attaquant à prendre le contrôle d'une
machine à distance.
Sur son blog, Julien Tinnes explique la nature de cette faille,
découverte avec son collègue Tavis Ormandy. Le problème vient selon eux
de la façon dont sont gérés les pointeurs nuls au sein de certains
protocoles.
Bien que différents exploits soient déjà disponibles sur la Toile,
l'impact devrait se révéler des plus limités. Quelques minutes
seulement après l'annonce de cette découverte, Linus Torvalds a publié
un patch destiné à corriger à cette faille au sein du noyau Linux. De
nouvelles versions de ce dernier (2.6.30.5 et 2.4.37.5) ont par
ailleurs été mises en ligne dimanche.
Cumbalero , dans le message <h704eg$mo2$, a écrit :
Ce qui est particulièrement réactif pour une faille qui serait découverte le 2eme mercredi du mois.
Note, à la décharge de microsoft, que le 2e mercredi du mois peut très bien être avant le 2e mardi du mois.
Thierry B
On 2009-08-25, Professeur Méphisto wrote:
Linux bénéficie d'ailleurs des mêmes méchanismes
non, d'ailleurs c'est quoi un méchanisme ?
Ce qui permet aux méchants de faire les 0days.
-- Dès fois, il faut se laisser aller a un peu d'humour car les débats idéologiques ont tendances à être comme un groupe abélien : l'idéologie a une base d'affirmation limitée qui permet de s'auto-justifier et prétend expliquer intégralement l'univers. <[Jul, in fcol.debats]>
On 2009-08-25, Professeur Méphisto <professeur.mephisto@wanadooooo.fr> wrote:
Linux bénéficie d'ailleurs des mêmes méchanismes
non, d'ailleurs c'est quoi un méchanisme ?
Ce qui permet aux méchants de faire les 0days.
--
Dès fois, il faut se laisser aller a un peu d'humour car les débats
idéologiques ont tendances à être comme un groupe abélien : l'idéologie
a une base d'affirmation limitée qui permet de s'auto-justifier et
prétend expliquer intégralement l'univers. <[Jul, in fcol.debats]>
-- Dès fois, il faut se laisser aller a un peu d'humour car les débats idéologiques ont tendances à être comme un groupe abélien : l'idéologie a une base d'affirmation limitée qui permet de s'auto-justifier et prétend expliquer intégralement l'univers. <[Jul, in fcol.debats]>
Kevin Denis
Le 24-08-2009, Yves Lambert a écrit :
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant quelques minutes. Blast a été publé en avril 2002 et exploité à partir de juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans internet :)))
Un jour, il faudra définir vraiment ce que le terme 0-day recouvre.
Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que du 0. -- Kevin
Le 24-08-2009, Yves Lambert <yl@la.cc.invalid> a écrit :
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que
pendant quelques minutes. Blast a été publé en avril 2002 et exploité à
partir de juillet. "O day" pendant 3 mois, bravo windows. Et
heureusement que les serveurs web sont sous linux ou BSD, autrement ça
aurait été 3 mois sans internet :)))
Un jour, il faudra définir vraiment ce que le terme 0-day recouvre.
Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que
du 0.
--
Kevin
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant quelques minutes. Blast a été publé en avril 2002 et exploité à partir de juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans internet :)))
Un jour, il faudra définir vraiment ce que le terme 0-day recouvre.
Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que du 0. -- Kevin
Cumbalero
Kevin Denis a écrit :
Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que du 0.
Bof, en temps Microsoft, ça change rien. A chaque fois que je copie ou déplace un fichier sous windows, il m'annonce 3s de temps de transfert, puis, au bout de 20 minutes il m'annonce 40 jours restants, puis 20 secondes et d'un coup ça y est, c'est fini.
Elastique et relatif qu'il est le temps Microsoft. Depuis qu'un PDG qui a une tête de premier de la classe a cru comprendre la Théorie de la Relativité Généralisée.
A+ JF
Kevin Denis a écrit :
Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que
du 0.
Bof, en temps Microsoft, ça change rien. A chaque fois que je copie ou
déplace un fichier sous windows, il m'annonce 3s de temps de transfert,
puis, au bout de 20 minutes il m'annonce 40 jours restants, puis 20
secondes et d'un coup ça y est, c'est fini.
Elastique et relatif qu'il est le temps Microsoft. Depuis qu'un PDG qui
a une tête de premier de la classe a cru comprendre la Théorie de la
Relativité Généralisée.
Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que du 0.
Bof, en temps Microsoft, ça change rien. A chaque fois que je copie ou déplace un fichier sous windows, il m'annonce 3s de temps de transfert, puis, au bout de 20 minutes il m'annonce 40 jours restants, puis 20 secondes et d'un coup ça y est, c'est fini.
Elastique et relatif qu'il est le temps Microsoft. Depuis qu'un PDG qui a une tête de premier de la classe a cru comprendre la Théorie de la Relativité Généralisée.
A+ JF
Stéphane CARPENTIER
Jo Kerr wrote:
Stéphane CARPENTIER avait prétendu :
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le service pack quand ils sont corrigés.
Non, MS sort des correctifs de sécurité tous les mois. Les services packs ne font que regrouper tous les patchs publiés.
Si tous les mois Microsoft sortait des correctifs pour la majorité des failles critiques, ce serait déjà bien.
Les milliers de contributeurs/programmeurs qui ont accès aux sources n'ont rien trouvé depuis tout ce temps ?
Toi, tu n'es pas un programmeur. Tu ne réalises ps ce que c'est.
Je sais ce qu'est la programmation. J'en ai fait, même si ce n'est pas mon activité principale.
Je ne te parle pas de faire un programme de quelques centaines de lignes.
Quoique déjà, si tu maîtrisais un programme de quelques centaines de lignes de code que tu n'as pas écris, tu pourrais avoir une idée de ce que représente la compréhension complète d'un programme de plusieurs millions de lignes de code.
Jo Kerr wrote:
Stéphane CARPENTIER avait prétendu :
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le
service pack quand ils sont corrigés.
Non, MS sort des correctifs de sécurité tous les mois. Les services
packs ne font que regrouper tous les patchs publiés.
Si tous les mois Microsoft sortait des correctifs pour la majorité des
failles critiques, ce serait déjà bien.
Les milliers de contributeurs/programmeurs qui ont accès aux sources
n'ont rien trouvé depuis tout ce temps ?
Toi, tu n'es pas un programmeur. Tu ne réalises ps ce que c'est.
Je sais ce qu'est la programmation. J'en ai fait, même si ce n'est pas
mon activité principale.
Je ne te parle pas de faire un programme de quelques centaines de lignes.
Quoique déjà, si tu maîtrisais un programme de quelques centaines de
lignes de code que tu n'as pas écris, tu pourrais avoir une idée de ce
que représente la compréhension complète d'un programme de plusieurs
millions de lignes de code.
Elle est là la leçon. Contrairement aux patchs MS qui sortent avec le service pack quand ils sont corrigés.
Non, MS sort des correctifs de sécurité tous les mois. Les services packs ne font que regrouper tous les patchs publiés.
Si tous les mois Microsoft sortait des correctifs pour la majorité des failles critiques, ce serait déjà bien.
Les milliers de contributeurs/programmeurs qui ont accès aux sources n'ont rien trouvé depuis tout ce temps ?
Toi, tu n'es pas un programmeur. Tu ne réalises ps ce que c'est.
Je sais ce qu'est la programmation. J'en ai fait, même si ce n'est pas mon activité principale.
Je ne te parle pas de faire un programme de quelques centaines de lignes.
Quoique déjà, si tu maîtrisais un programme de quelques centaines de lignes de code que tu n'as pas écris, tu pourrais avoir une idée de ce que représente la compréhension complète d'un programme de plusieurs millions de lignes de code.
Yves Lambert
Pandi - Panda wrote:
Yves Lambert a écrit :
Pandi - Panda wrote:
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait est noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant quelques minutes. Blast a été publé en avril 2002 et exploité à partir de juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans internet :)))
C'est sûre qu'un système utilié par 1% de la population
50% des serveurs Web, les autres 50% étant constitué à 95% d'Unices, 3,5% de systèmes dédiés et 1,5% de systèmes Microsoft - Souvent en panne, ceux-là et rarement d'une version plus récente que Windows 2000 (qui a subi blast aussi et des vers http aussi.
Même Microsoft utilise à l'occasion des serveurs LAMP.
peut se contenter de failles éternels
Microsoft windows XP contient des failles critiques non corrigées et qui ne le seront jamais. Elles sont par voie de conséquence éternelles 'idem 95, 98 Me 2000 et bientôt Vista (vu que les bugs fonctionnels ne seront probablement plus corigés d'ici 6 mois un an après la sortie de leur /dernière/ bouse que vous êtes en train d'alpha-tester (vista étant sorti en phase beta :)
-- Les vices entrent dans la composition des vertus comme les poisons entrent dans la composition des remèdes. La prudence les assemble et les tempère, et elle s'en sert utilement contre les maux de la vie. -+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
Pandi - Panda wrote:
Yves Lambert a écrit :
Pandi - Panda wrote:
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait
est noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que
pendant quelques minutes. Blast a été publé en avril 2002 et exploité
à partir de juillet. "O day" pendant 3 mois, bravo windows. Et
heureusement que les serveurs web sont sous linux ou BSD, autrement ça
aurait été 3 mois sans internet :)))
C'est sûre qu'un système utilié par 1% de la population
50% des serveurs Web, les autres 50% étant constitué à 95% d'Unices,
3,5% de systèmes dédiés et 1,5% de systèmes Microsoft - Souvent en
panne, ceux-là et rarement d'une version plus récente que Windows 2000
(qui a subi blast aussi et des vers http aussi.
Même Microsoft utilise à l'occasion des serveurs LAMP.
peut se
contenter de failles éternels
Microsoft windows XP contient des failles critiques non corrigées et qui
ne le seront jamais. Elles sont par voie de conséquence éternelles 'idem
95, 98 Me 2000 et bientôt Vista (vu que les bugs fonctionnels ne seront
probablement plus corigés d'ici 6 mois un an après la sortie de leur
/dernière/ bouse que vous êtes en train d'alpha-tester (vista étant
sorti en phase beta :)
--
Les vices entrent dans la composition des vertus comme les poisons
entrent dans la composition des remèdes. La prudence les assemble et
les tempère, et elle s'en sert utilement contre les maux de la vie.
-+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
Voilà le supersystèmesécuriséanticriseleplussûredumondesuperparfait est noyauté par la vermine
La faille a peut-être dix ans mais elle n'a eu le statut 0-day que pendant quelques minutes. Blast a été publé en avril 2002 et exploité à partir de juillet. "O day" pendant 3 mois, bravo windows. Et heureusement que les serveurs web sont sous linux ou BSD, autrement ça aurait été 3 mois sans internet :)))
C'est sûre qu'un système utilié par 1% de la population
50% des serveurs Web, les autres 50% étant constitué à 95% d'Unices, 3,5% de systèmes dédiés et 1,5% de systèmes Microsoft - Souvent en panne, ceux-là et rarement d'une version plus récente que Windows 2000 (qui a subi blast aussi et des vers http aussi.
Même Microsoft utilise à l'occasion des serveurs LAMP.
peut se contenter de failles éternels
Microsoft windows XP contient des failles critiques non corrigées et qui ne le seront jamais. Elles sont par voie de conséquence éternelles 'idem 95, 98 Me 2000 et bientôt Vista (vu que les bugs fonctionnels ne seront probablement plus corigés d'ici 6 mois un an après la sortie de leur /dernière/ bouse que vous êtes en train d'alpha-tester (vista étant sorti en phase beta :)
-- Les vices entrent dans la composition des vertus comme les poisons entrent dans la composition des remèdes. La prudence les assemble et les tempère, et elle s'en sert utilement contre les maux de la vie. -+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
Yves Lambert
Thierry B wrote:
On 2009-08-24, Pandi - Panda <pandi> wrote:
C'est sûre qu'un système utilié par 1% de la population peut se contenter de failles éternels
Du moins en France, je pense qu'il y a nettement plus de 1% de la population qui utilise Linux, et ce, tous les jours.
Pratiquement toute la population qui a accès à Internet utilise linux, bsd et surtout c i s c o. Et très peu Vista (uniquement sur leur poste, et encore :)
-- Les vices entrent dans la composition des vertus comme les poisons entrent dans la composition des remèdes. La prudence les assemble et les tempère, et elle s'en sert utilement contre les maux de la vie. -+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
Thierry B wrote:
On 2009-08-24, Pandi - Panda <pandi> wrote:
C'est sûre qu'un système utilié par 1% de la population peut se
contenter de failles éternels
Du moins en France, je pense qu'il y a nettement plus de 1% de
la population qui utilise Linux, et ce, tous les jours.
Pratiquement toute la population qui a accès à Internet utilise linux,
bsd et surtout c i s c o. Et très peu Vista (uniquement sur leur poste,
et encore :)
--
Les vices entrent dans la composition des vertus comme les poisons
entrent dans la composition des remèdes. La prudence les assemble et
les tempère, et elle s'en sert utilement contre les maux de la vie.
-+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
C'est sûre qu'un système utilié par 1% de la population peut se contenter de failles éternels
Du moins en France, je pense qu'il y a nettement plus de 1% de la population qui utilise Linux, et ce, tous les jours.
Pratiquement toute la population qui a accès à Internet utilise linux, bsd et surtout c i s c o. Et très peu Vista (uniquement sur leur poste, et encore :)
-- Les vices entrent dans la composition des vertus comme les poisons entrent dans la composition des remèdes. La prudence les assemble et les tempère, et elle s'en sert utilement contre les maux de la vie. -+- François de La Rochefoucauld (1613-1680), Maximes 182 -+-
Yannick Palanque
On Tue, 25 Aug 2009 15:00:27 +0200 Cumbalero wrote:
> Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que > du 0.
Bof, en temps Microsoft, ça change rien. A chaque fois que je copie ou déplace un fichier sous windows, il m'annonce 3s de temps de transfert, puis, au bout de 20 minutes il m'annonce 40 jours restants, puis 20 secondes et d'un coup ça y est, c'est fini.
Voilà qui me fait penser à cette hilarante planche de xkcd : http://www.xkcd.com/612/
-- Yannick Palanque
On Tue, 25 Aug 2009 15:00:27 +0200
Cumbalero <cumbalero@NOSPAM.yahoo.fr> wrote:
> Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que
> du 0.
Bof, en temps Microsoft, ça change rien. A chaque fois que je copie
ou déplace un fichier sous windows, il m'annonce 3s de temps de
transfert, puis, au bout de 20 minutes il m'annonce 40 jours
restants, puis 20 secondes et d'un coup ça y est, c'est fini.
Voilà qui me fait penser à cette hilarante planche de xkcd :
http://www.xkcd.com/612/
On Tue, 25 Aug 2009 15:00:27 +0200 Cumbalero wrote:
> Parceque bon, 3mois après un 0-day, on est plus prêt du 90days que > du 0.
Bof, en temps Microsoft, ça change rien. A chaque fois que je copie ou déplace un fichier sous windows, il m'annonce 3s de temps de transfert, puis, au bout de 20 minutes il m'annonce 40 jours restants, puis 20 secondes et d'un coup ça y est, c'est fini.
Voilà qui me fait penser à cette hilarante planche de xkcd : http://www.xkcd.com/612/
