D'après un article comptabilisant les annonces de failles de sécurité
des différents OS par Secunia : http://www.theinquirer.net/?article=13420
on a relevé en 2003 :
IBM OS/400 : zéro faille.
...
FreeBSD 5.x : 21 failles.
...
Noyau Linux 2.4.x : 10 failles.
Windows 2003 server : 15 failles.
Windows XP professional : 34 failles.
...
Redhat Linux 9 : 72 failles.
Redhat Linux 8 : 119 failles.
Mandrake Linux 9.x : 126 failles.
Ces chiffres sont à relativiser car ils ne comparent pas la même chose :
des distributions Linux comportant des milliers de logiciels, avec des
OS simples, voire le noyau seul. Néanmoins je crois qu'il faut rester
humble quand on dit que Linux est un système sûr... c'est loin d'être le
cas. D'après ce même article, 70% des failles trouvés en 2002 était sur
Linux et 50% des failles en 2003. Dans le même sens, on peut aussi
remarquer que le vieux redhat8 a plus de plus failles que le récent
redhat9. Donc ça s'améliore, mais il reste des progrès à faire....
PS : Afin de ne pas enfreindre ma résolution pour 2004, je ne cite pas
le nom ni les chiffres de la lanterne rouge.
SI ta machine sert de serveur web et que seul apache est accessible de l'extérieur ( etrégulièrepment patché), en quoi ne pourrait-on conserver un 2.4.8 en service? Je ne vois pas.
Parce que ça ne sert à rien d'avoir un apache chrooté et avec privilèges restreints si c'est pour qu'il y ait des failles locales, non ?
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Emmanuel Florac wrote:
SI ta machine sert de serveur web et que seul apache est accessible de
l'extérieur ( etrégulièrepment patché), en quoi ne pourrait-on conserver
un 2.4.8 en service? Je ne vois pas.
Parce que ça ne sert à rien d'avoir un apache chrooté et avec privilèges
restreints si c'est pour qu'il y ait des failles locales, non ?
pierre
--
Pierre LALET -- http://www.enseirb.fr/~lalet/
Droids Corporation -- http://www.rstack.org/droids/
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
SI ta machine sert de serveur web et que seul apache est accessible de l'extérieur ( etrégulièrepment patché), en quoi ne pourrait-on conserver un 2.4.8 en service? Je ne vois pas.
Parce que ça ne sert à rien d'avoir un apache chrooté et avec privilèges restreints si c'est pour qu'il y ait des failles locales, non ?
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Emmanuel Florac
Dans article <btfc8a$1s2$, disait...
Parce que ça ne sert à rien d'avoir un apache chrooté et avec privilèges restreints si c'est pour qu'il y ait des failles locales, non ?
Eb général, un serveur web a des accès locaux plus que restreints (en gros un login pour le webmaster), donc je ne vois pas trop où est le problème (on suppose généralement que le webmaster n'a pas d'intérêt particulier à attaquer sa machine).
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Dans article <btfc8a$1s2$1@news.u-bordeaux.fr>, lalet@enseirb.fr
disait...
Parce que ça ne sert à rien d'avoir un apache chrooté et avec privilèges
restreints si c'est pour qu'il y ait des failles locales, non ?
Eb général, un serveur web a des accès locaux plus que restreints (en
gros un login pour le webmaster), donc je ne vois pas trop où est le
problème (on suppose généralement que le webmaster n'a pas d'intérêt
particulier à attaquer sa machine).
--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Parce que ça ne sert à rien d'avoir un apache chrooté et avec privilèges restreints si c'est pour qu'il y ait des failles locales, non ?
Eb général, un serveur web a des accès locaux plus que restreints (en gros un login pour le webmaster), donc je ne vois pas trop où est le problème (on suppose généralement que le webmaster n'a pas d'intérêt particulier à attaquer sa machine).
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Emmanuel Florac
Dans article <btf90p$jfg$, disait...
Je n'ai pas eu le temps mais vu la modestie des différences entre le .23 et le .24, je ne crois pas qu'il y ai de risque.
C'est ce qui ressort des discussions sur linux.kernel (Marcello n'a fait que peu de changements et tout le reste est parti dans 2.4.25-pre4)
Personnellement il faut seulement que je vérifie que mes patches pour le 2.4.23 s'appliquent bien...
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Dans article <btf90p$jfg$1@news-reader2.wanadoo.fr>, billaud@interpc.fr
disait...
Je n'ai pas eu le temps mais vu la modestie des différences entre le .23
et le .24, je ne crois pas qu'il y ai de risque.
C'est ce qui ressort des discussions sur linux.kernel (Marcello n'a fait
que peu de changements et tout le reste est parti dans 2.4.25-pre4)
Personnellement il faut seulement que je vérifie que mes patches pour le
2.4.23 s'appliquent bien...
--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Je n'ai pas eu le temps mais vu la modestie des différences entre le .23 et le .24, je ne crois pas qu'il y ai de risque.
C'est ce qui ressort des discussions sur linux.kernel (Marcello n'a fait que peu de changements et tout le reste est parti dans 2.4.25-pre4)
Personnellement il faut seulement que je vérifie que mes patches pour le 2.4.23 s'appliquent bien...
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Pierre LALET
Emmanuel Florac wrote:
Eb général, un serveur web a des accès locaux plus que restreints (en gros un login pour le webmaster), donc je ne vois pas trop où est le problème (on suppose généralement que le webmaster n'a pas d'intérêt particulier à attaquer sa machine).
Je ne sais pas (je suis pas un 'crack'), mais il me semble qu'être "root", c'est mieux qu'être "nobody" (par exemple) pour installer une backdoor discrète (et ainsi pouvoir revenir autant qu'on le souhaite), non ?
pierre
PS: d'autre part, si j'ai la charge d'une machine et que je ne donne pas de compte root à un webmaster, c'est parce que je ne veux pas qu'il en ait un. Donc je ne veux pas qu'il puisse passer root, pour la même raison que je ne veux pas que l'utilisateur qui fait tourner apache puisse passer root.
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Emmanuel Florac wrote:
Eb général, un serveur web a des accès locaux plus que restreints (en
gros un login pour le webmaster), donc je ne vois pas trop où est le
problème (on suppose généralement que le webmaster n'a pas d'intérêt
particulier à attaquer sa machine).
Je ne sais pas (je suis pas un 'crack'), mais il me semble qu'être
"root", c'est mieux qu'être "nobody" (par exemple) pour installer une
backdoor discrète (et ainsi pouvoir revenir autant qu'on le souhaite), non ?
pierre
PS: d'autre part, si j'ai la charge d'une machine et que je ne donne pas
de compte root à un webmaster, c'est parce que je ne veux pas qu'il en
ait un. Donc je ne veux pas qu'il puisse passer root, pour la même
raison que je ne veux pas que l'utilisateur qui fait tourner apache
puisse passer root.
--
Pierre LALET -- http://www.enseirb.fr/~lalet/
Droids Corporation -- http://www.rstack.org/droids/
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Eb général, un serveur web a des accès locaux plus que restreints (en gros un login pour le webmaster), donc je ne vois pas trop où est le problème (on suppose généralement que le webmaster n'a pas d'intérêt particulier à attaquer sa machine).
Je ne sais pas (je suis pas un 'crack'), mais il me semble qu'être "root", c'est mieux qu'être "nobody" (par exemple) pour installer une backdoor discrète (et ainsi pouvoir revenir autant qu'on le souhaite), non ?
pierre
PS: d'autre part, si j'ai la charge d'une machine et que je ne donne pas de compte root à un webmaster, c'est parce que je ne veux pas qu'il en ait un. Donc je ne veux pas qu'il puisse passer root, pour la même raison que je ne veux pas que l'utilisateur qui fait tourner apache puisse passer root.
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Pierre A
Arnaud ARZUFFI wrote:
Certaines failles étant tout simplement jamais corrigées, comme cette séquence d'échappement de quelques caractères stupides qui permet de bloquer complètement toute machine sous les dérivés de MS Windows NT (d'ailleurs, on se demande comment des failles aussi DÉBILES peuvent exister dans un logiciel, les programmeurs ont ajouté volontairement une fontion de plantage pour sponsoriser un futur concours "cherchez la séquence de caractères magiques" destiné à stimuler l'activité créatrice des enfants ou quoi ??!!) On finirait par se demander qui, parmi les développeurs de Linux ou de MS Windows, gagne de l'argent en programmant étant donnée la motivation constatée !
Allez, c'est quoi la séquence qu'on se marre !!!!
-- Pierre AUSSAGUEL ACHROME photographies : http://www.geocities.com/pierre_aussaguel/
"Linux, cause rebooting is for adding new hardware"
Arnaud ARZUFFI wrote:
Certaines failles étant tout simplement jamais corrigées, comme cette
séquence d'échappement de quelques caractères stupides qui permet de
bloquer complètement toute machine sous les dérivés de MS Windows NT
(d'ailleurs, on se demande comment des failles aussi DÉBILES peuvent
exister dans un logiciel, les programmeurs ont ajouté volontairement une
fontion de plantage pour sponsoriser un futur concours "cherchez la
séquence de caractères magiques" destiné à stimuler l'activité créatrice
des enfants ou quoi ??!!)
On finirait par se demander qui, parmi les développeurs de Linux ou de MS
Windows, gagne de l'argent en programmant étant donnée la motivation
constatée !
Allez, c'est quoi la séquence qu'on se marre !!!!
--
Pierre AUSSAGUEL
ACHROME photographies : http://www.geocities.com/pierre_aussaguel/
"Linux, cause rebooting is for adding new hardware"
Certaines failles étant tout simplement jamais corrigées, comme cette séquence d'échappement de quelques caractères stupides qui permet de bloquer complètement toute machine sous les dérivés de MS Windows NT (d'ailleurs, on se demande comment des failles aussi DÉBILES peuvent exister dans un logiciel, les programmeurs ont ajouté volontairement une fontion de plantage pour sponsoriser un futur concours "cherchez la séquence de caractères magiques" destiné à stimuler l'activité créatrice des enfants ou quoi ??!!) On finirait par se demander qui, parmi les développeurs de Linux ou de MS Windows, gagne de l'argent en programmant étant donnée la motivation constatée !
Allez, c'est quoi la séquence qu'on se marre !!!!
-- Pierre AUSSAGUEL ACHROME photographies : http://www.geocities.com/pierre_aussaguel/
"Linux, cause rebooting is for adding new hardware"
Pierre LALET
Oui, je sais, on ne doit pas répondre à une signature, c'est mal, tout ça... Mais là, quand même :
Pierre A wrote: [SNIP] "Linux, cause rebooting is for adding new hardware"
mouais... ou pour changer de kernel suite à une faille.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Oui, je sais, on ne doit pas répondre à une signature, c'est mal, tout
ça... Mais là, quand même :
Pierre A wrote:
[SNIP]
"Linux, cause rebooting is for adding new hardware"
mouais... ou pour changer de kernel suite à une faille.
pierre
--
Pierre LALET -- http://www.enseirb.fr/~lalet/
Droids Corporation -- http://www.rstack.org/droids/
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Oui, je sais, on ne doit pas répondre à une signature, c'est mal, tout ça... Mais là, quand même :
Pierre A wrote: [SNIP] "Linux, cause rebooting is for adding new hardware"
mouais... ou pour changer de kernel suite à une faille.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
george
Emmanuel Florac , dans le message , a écrit :
Eb général, un serveur web a des accès locaux plus que restreints
Précisément : le but est que si le serveur lui-même est compromis, seul un compte est exposé, et pas la machine entière. S'il y a un trou local derrière, c'est tout de suite plus dangereux.
Emmanuel Florac , dans le message
<MPG.1a654ee52b632e1998d3da@news.free.fr>, a écrit :
Eb général, un serveur web a des accès locaux plus que restreints
Précisément : le but est que si le serveur lui-même est compromis, seul
un compte est exposé, et pas la machine entière. S'il y a un trou local
derrière, c'est tout de suite plus dangereux.
Eb général, un serveur web a des accès locaux plus que restreints
Précisément : le but est que si le serveur lui-même est compromis, seul un compte est exposé, et pas la machine entière. S'il y a un trou local derrière, c'est tout de suite plus dangereux.
Patrice Karatchentzeff
Emmanuel Florac writes:
[...]
SI ta machine sert de serveur web et que seul apache est accessible de l'extérieur ( etrégulièrepment patché), en quoi ne pourrait-on conserver un 2.4.8 en service? Je ne vois pas.
Vue la VM de cette série-là, le serveur tombera bien tout seul de lui-même ;-)
SI ta machine sert de serveur web et que seul apache est accessible de
l'extérieur ( etrégulièrepment patché), en quoi ne pourrait-on conserver
un 2.4.8 en service? Je ne vois pas.
Vue la VM de cette série-là, le serveur tombera bien tout seul de
lui-même ;-)
SI ta machine sert de serveur web et que seul apache est accessible de l'extérieur ( etrégulièrepment patché), en quoi ne pourrait-on conserver un 2.4.8 en service? Je ne vois pas.
Vue la VM de cette série-là, le serveur tombera bien tout seul de lui-même ;-)
Certaines failles étant tout simplement jamais corrigées, comme cette séquence d'échappement de quelques caractères stupides qui permet de bloquer complètement toute machine sous les dérivés de MS Windows NT (d'ailleurs, on se demande comment des failles aussi DÉBILES peuvent exister dans un logiciel, les programmeurs ont ajouté volontairement une fontion de plantage pour sponsoriser un futur concours "cherchez la séquence de caractères magiques" destiné à stimuler l'activité créatrice des enfants ou quoi ??!!) On finirait par se demander qui, parmi les développeurs de Linux ou de MS Windows, gagne de l'argent en programmant étant donnée la motivation constatée !
Allez, c'est quoi la séquence qu'on se marre !!!!
#include <stdio.h>
int main ( void ) {
for ( ; ; )
{
printf( "tbbbbbb" ) ;
}
return 0;
}
-- Arnaud ARZUFFI
Pierre A wrote:
Arnaud ARZUFFI wrote:
Certaines failles étant tout simplement jamais corrigées, comme cette
séquence d'échappement de quelques caractères stupides qui permet de
bloquer complètement toute machine sous les dérivés de MS Windows NT
(d'ailleurs, on se demande comment des failles aussi DÉBILES peuvent
exister dans un logiciel, les programmeurs ont ajouté volontairement une
fontion de plantage pour sponsoriser un futur concours "cherchez la
séquence de caractères magiques" destiné à stimuler l'activité créatrice
des enfants ou quoi ??!!)
On finirait par se demander qui, parmi les développeurs de Linux ou de MS
Windows, gagne de l'argent en programmant étant donnée la motivation
constatée !
Certaines failles étant tout simplement jamais corrigées, comme cette séquence d'échappement de quelques caractères stupides qui permet de bloquer complètement toute machine sous les dérivés de MS Windows NT (d'ailleurs, on se demande comment des failles aussi DÉBILES peuvent exister dans un logiciel, les programmeurs ont ajouté volontairement une fontion de plantage pour sponsoriser un futur concours "cherchez la séquence de caractères magiques" destiné à stimuler l'activité créatrice des enfants ou quoi ??!!) On finirait par se demander qui, parmi les développeurs de Linux ou de MS Windows, gagne de l'argent en programmant étant donnée la motivation constatée !
Allez, c'est quoi la séquence qu'on se marre !!!!
#include <stdio.h>
int main ( void ) {
for ( ; ; )
{
printf( "tbbbbbb" ) ;
}
return 0;
}
-- Arnaud ARZUFFI
manuelleclerc
[...]
printf( "tbbbbbb" );
Marchait nickel sous NT4 (BSOD) mais ne marche plus sous XP
-- Je vous ait mis la chanson de windows en mp3 ! :)))))))))) --ackboo
[...]
printf( "tbbbbbb" );
Marchait nickel sous NT4 (BSOD) mais ne
marche plus sous XP
--
Je vous ait mis la chanson de windows en mp3 ! :))))))))))
--ackboo
