En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE (surtout les dates, quand c'est découvert, quand c'est public...).
-- "Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir." Emil Cioran
Doug713705 a écrit :
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je
dirai que cete faille a été bouchée uniquement parce qu'une autre bien
plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les
confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme
Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE
(surtout les dates, quand c'est découvert, quand c'est public...).
--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE (surtout les dates, quand c'est découvert, quand c'est public...).
-- "Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir." Emil Cioran
The Mover
Nicolas George a écrit :
le code libre est plus sûr que le code propriétaire du fait de la possibilité de relecture,
Certes mais de nos jours, une 0day ça se monnaye, légalement ou pas. Openssl aurait eu un bounty-program digne de ce nom, ça se serait passé autrement.
-- "Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir." Emil Cioran
Nicolas George a écrit :
le code libre est plus sûr que le code propriétaire du fait de la
possibilité de relecture,
Certes mais de nos jours, une 0day ça se monnaye, légalement ou pas.
Openssl aurait eu un bounty-program digne de ce nom, ça se serait passé
autrement.
--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran
le code libre est plus sûr que le code propriétaire du fait de la possibilité de relecture,
Certes mais de nos jours, une 0day ça se monnaye, légalement ou pas. Openssl aurait eu un bounty-program digne de ce nom, ça se serait passé autrement.
-- "Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir." Emil Cioran
Baton .rouge
On Fri, 18 Apr 2014 14:32:42 +0000 (UTC), The Mover wrote:
Doug713705 a écrit :
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE (surtout les dates, quand c'est découvert, quand c'est public...).
Tu peux developper ou donner un url. Pour ma culture perso. merci.
-- Les assistés du CAC 40 : http://www.youtube.com/watch?feature=player_detailpage&v=W5Yx_diRxA8#tH
On Fri, 18 Apr 2014 14:32:42 +0000 (UTC), The Mover
<the.mover@bsdmail.invalid> wrote:
Doug713705 a écrit :
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je
dirai que cete faille a été bouchée uniquement parce qu'une autre bien
plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les
confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme
Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE
(surtout les dates, quand c'est découvert, quand c'est public...).
Tu peux developper ou donner un url.
Pour ma culture perso.
merci.
--
Les assistés du CAC 40 :
http://www.youtube.com/watch?feature=player_detailpage&v=W5Yx_diRxA8#tH
On Fri, 18 Apr 2014 14:32:42 +0000 (UTC), The Mover wrote:
Doug713705 a écrit :
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE (surtout les dates, quand c'est découvert, quand c'est public...).
Tu peux developper ou donner un url. Pour ma culture perso. merci.
-- Les assistés du CAC 40 : http://www.youtube.com/watch?feature=player_detailpage&v=W5Yx_diRxA8#tH
Leger
The Mover wrote:
Doug713705 a écrit :
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE (surtout les dates, quand c'est découvert, quand c'est public...).
Ca veut dire quoi tout ça? Que je dois acheter un ordinateur sous Windows 8.1 et que Linux est complètement pourri?
Je ne suis pas du tout informaticien mais il y à 7 ou 8 ans je suis passer sous Linux justement pour être tranquille niveau sécurité. En plus visiblement je ne constate rien d'anormal malgré tout là dessus.
J'ai cette version d'openssl : OpenSSL 1.0.1g 7 Apr 2014
Est-ce qu'un simple utilisateur comme moi est concerné par cette actualité avec ma modeste distribution de chez Rosa? -- @+ Leger
The Mover wrote:
Doug713705 a écrit :
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je
dirai que cete faille a été bouchée uniquement parce qu'une autre bien
plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les
confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme
Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE
(surtout les dates, quand c'est découvert, quand c'est public...).
Ca veut dire quoi tout ça?
Que je dois acheter un ordinateur sous Windows 8.1 et que Linux est
complètement pourri?
Je ne suis pas du tout informaticien mais il y à 7 ou 8 ans je suis passer
sous Linux justement pour être tranquille niveau sécurité.
En plus visiblement je ne constate rien d'anormal malgré tout là dessus.
J'ai cette version d'openssl :
OpenSSL 1.0.1g 7 Apr 2014
Est-ce qu'un simple utilisateur comme moi est concerné par cette actualité
avec ma modeste distribution de chez Rosa?
--
@+
Leger
En mode complotiste (ST tiens toi au pinceau, j'enlève l'échelle) je dirai que cete faille a été bouchée uniquement parce qu'une autre bien plus exploitable a été préalablement créée par ailleurs.
Pas besoin d'être parano, regarde qui fait annuler certains talk dans les confs et pourquoi.
Regarde aussi avec qui travaille (exclusivement) des sociétés comme Vupen...Tiens et si t'as le temps, regarde leurs contributions aux CVE (surtout les dates, quand c'est découvert, quand c'est public...).
Ca veut dire quoi tout ça? Que je dois acheter un ordinateur sous Windows 8.1 et que Linux est complètement pourri?
Je ne suis pas du tout informaticien mais il y à 7 ou 8 ans je suis passer sous Linux justement pour être tranquille niveau sécurité. En plus visiblement je ne constate rien d'anormal malgré tout là dessus.
J'ai cette version d'openssl : OpenSSL 1.0.1g 7 Apr 2014
Est-ce qu'un simple utilisateur comme moi est concerné par cette actualité avec ma modeste distribution de chez Rosa? -- @+ Leger
Nicolas George
Leger , dans le message <lit9a6$1o5b$, a écrit :
Je ne suis pas du tout informaticien mais il y à 7 ou 8 ans je suis passer sous Linux justement pour être tranquille niveau sécurité.
On ne peut jamais être tranquille niveau sécurité. JAMAIS.
En étant sous Linux, tu seras plus tranquille que si tu utilisais macos, et a fortiori windows. Mais aussi moins tranquille que si tu utilisais openbsd.
Est-ce qu'un simple utilisateur comme moi est concerné par cette actualité avec ma modeste distribution de chez Rosa?
Tous les utilisateurs d'Internet sont concernés par cette actualité.
Tu es, personnellement, plus particulièrement affecté si ton ordinateur fait tourner des serveurs utilisant TLS accessibles depuis l'extérieur.
Leger , dans le message <lit9a6$1o5b$1@obelix.gegeweb.org>, a écrit :
Je ne suis pas du tout informaticien mais il y à 7 ou 8 ans je suis passer
sous Linux justement pour être tranquille niveau sécurité.
On ne peut jamais être tranquille niveau sécurité. JAMAIS.
En étant sous Linux, tu seras plus tranquille que si tu utilisais macos, et
a fortiori windows. Mais aussi moins tranquille que si tu utilisais openbsd.
Est-ce qu'un simple utilisateur comme moi est concerné par cette actualité
avec ma modeste distribution de chez Rosa?
Tous les utilisateurs d'Internet sont concernés par cette actualité.
Tu es, personnellement, plus particulièrement affecté si ton ordinateur fait
tourner des serveurs utilisant TLS accessibles depuis l'extérieur.
Je ne suis pas du tout informaticien mais il y à 7 ou 8 ans je suis passer sous Linux justement pour être tranquille niveau sécurité.
On ne peut jamais être tranquille niveau sécurité. JAMAIS.
En étant sous Linux, tu seras plus tranquille que si tu utilisais macos, et a fortiori windows. Mais aussi moins tranquille que si tu utilisais openbsd.
Est-ce qu'un simple utilisateur comme moi est concerné par cette actualité avec ma modeste distribution de chez Rosa?
Tous les utilisateurs d'Internet sont concernés par cette actualité.
Tu es, personnellement, plus particulièrement affecté si ton ordinateur fait tourner des serveurs utilisant TLS accessibles depuis l'extérieur.
Leger
Nicolas George wrote:
Mais aussi moins tranquille que si tu utilisais openbsd.
Ah oui?! Bon à savoir merci.
Est-ce qu'un simple utilisateur comme moi est concerné par cette actualité avec ma modeste distribution de chez Rosa?
Tous les utilisateurs d'Internet sont concernés par cette actualité.
D'accord.
Tu es, personnellement, plus particulièrement affecté si ton ordinateur fait tourner des serveurs utilisant TLS accessibles depuis l'extérieur.
Là non, ce n'est pas mon cas. Merci pour ces précisions.
-- @+ Leger
Nicolas George wrote:
Mais aussi moins tranquille que si tu utilisais openbsd.
Ah oui?!
Bon à savoir merci.
Est-ce qu'un simple utilisateur comme moi est concerné par cette
actualité avec ma modeste distribution de chez Rosa?
Tous les utilisateurs d'Internet sont concernés par cette actualité.
D'accord.
Tu es, personnellement, plus particulièrement affecté si ton ordinateur
fait tourner des serveurs utilisant TLS accessibles depuis l'extérieur.
Là non, ce n'est pas mon cas.
Merci pour ces précisions.
Mais aussi moins tranquille que si tu utilisais openbsd.
Ah oui?! Bon à savoir merci.
Est-ce qu'un simple utilisateur comme moi est concerné par cette actualité avec ma modeste distribution de chez Rosa?
Tous les utilisateurs d'Internet sont concernés par cette actualité.
D'accord.
Tu es, personnellement, plus particulièrement affecté si ton ordinateur fait tourner des serveurs utilisant TLS accessibles depuis l'extérieur.
Là non, ce n'est pas mon cas. Merci pour ces précisions.
-- @+ Leger
The Mover
Baton .rouge a écrit :
Tu peux developper ou donner un url.
Et bien Éric Filiol devait faire une conférence, elle a été annulée par le ministère de la défense (fr) et le FBI, car il allait parler d'une faille (volontaire?) dans un protocole (lequel on sait pas). Manque de bol, cette faille est "d’intérêt national" et ne doit pas tomber dans de "mauvaises mains" (les hackers chinois). Tout comme à Lille, la conf sur la saisie de SilkRoad a été annulé : du coup on sait pas si les .onion ont été cassé si Tormail et d'autres services cachés étaient bel et bien hébéergé chez OVH (roubaix).
Pour les liens : <http://www.vupen.com/english/services/>
Et la soutenance de thèse en comité réduit, car classée "secret défense" <http://cvo-lab.blogspot.fr/2013/10/lavance-technologique-de-vupen.html>
-- "Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir." Emil Cioran
Baton .rouge a écrit :
Tu peux developper ou donner un url.
Et bien Éric Filiol devait faire une conférence, elle a été annulée par
le ministère de la défense (fr) et le FBI, car il allait parler d'une
faille (volontaire?) dans un protocole (lequel on sait pas). Manque de
bol, cette faille est "d’intérêt national" et ne doit pas tomber dans de
"mauvaises mains" (les hackers chinois). Tout comme à Lille, la conf sur
la saisie de SilkRoad a été annulé : du coup on sait pas si les .onion
ont été cassé si Tormail et d'autres services cachés étaient bel et bien
hébéergé chez OVH (roubaix).
Pour les liens :
<http://www.vupen.com/english/services/>
Et la soutenance de thèse en comité réduit, car classée "secret défense"
<http://cvo-lab.blogspot.fr/2013/10/lavance-technologique-de-vupen.html>
--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran
Et bien Éric Filiol devait faire une conférence, elle a été annulée par le ministère de la défense (fr) et le FBI, car il allait parler d'une faille (volontaire?) dans un protocole (lequel on sait pas). Manque de bol, cette faille est "d’intérêt national" et ne doit pas tomber dans de "mauvaises mains" (les hackers chinois). Tout comme à Lille, la conf sur la saisie de SilkRoad a été annulé : du coup on sait pas si les .onion ont été cassé si Tormail et d'autres services cachés étaient bel et bien hébéergé chez OVH (roubaix).
Pour les liens : <http://www.vupen.com/english/services/>
Et la soutenance de thèse en comité réduit, car classée "secret défense" <http://cvo-lab.blogspot.fr/2013/10/lavance-technologique-de-vupen.html>
-- "Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir." Emil Cioran
The Mover
Leger a écrit :
Ca veut dire quoi tout ça?
Que ton ordi est sur, jusqu’à ce qu'une nouvelle faille soit découverte.
Et y'a des boites, leur métier c'est de trouver ses failles sur n'importe quel OS, support, pouvoir les exploiter et revendre ses infos aux états.
"Sécurité offensive" ça s'appel.
Tu regardes les CVE de Vupen, tu vois, par exemple, "date de découverte 2011", "public disclosure 2014"
-- "Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir." Emil Cioran
Leger a écrit :
Ca veut dire quoi tout ça?
Que ton ordi est sur, jusqu’à ce qu'une nouvelle faille soit découverte.
Et y'a des boites, leur métier c'est de trouver ses failles sur n'importe
quel OS, support, pouvoir les exploiter et revendre ses infos aux états.
"Sécurité offensive" ça s'appel.
Tu regardes les CVE de Vupen, tu vois, par exemple, "date de découverte
2011", "public disclosure 2014"
--
"Ne nous suicidons pas tout de suite il y a encore quelqu'un à décevoir."
Emil Cioran
