Auteur Sujet: Dirty COW (CVE-2016-5195) - Plus importante faille Linux jamais découverte  (Lu 16545 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #12 le: 22 octobre 2016 à 16:00:10 »
On a déjà connu ptrace dans le passé qui a fait bien des dégâts ()
Tu peux préciser?

Synack

  • AS16080 Rentabiliweb Telecom
  • Expert
  • *
  • Messages: 689
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #13 le: 22 octobre 2016 à 16:10:45 »
Tu peux préciser?

https://www.google.fr/?gws_rd=ssl#q=ptrace+exploit
https://linuxfr.org/news/faille-de-s%C3%A9curit%C3%A9-dans-le-noyau-linux
https://www.giac.org/paper/gcih/467/tracing-ptrace-case-study-internal-root-compromise-incident-handling/105271

Couplé à l'époque dans un timing assez proche à une faille de sécurité PHP qui permettait de lancer des commandes systèmes avec le user web, le combo a permis à des gens de prendre le contrôle en remote de serveurs et d'y exécuter ptrace pour en devenir root.


Anonyme

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #14 le: 22 octobre 2016 à 18:13:58 »
J'ai vu passé une information à ce sujet de Linus Torvald, (il me semble que la faille provenait de l'intégration de matériel IBM S90 ,et que c'était un contournement pour la gestion de la mémoire )
La modification a été prise en compte pour le noyau le 20161013

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 976
  • Saint-Médard-en-Jalles (33)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #15 le: 22 octobre 2016 à 18:50:04 »
J'ai vu passé une information à ce sujet de Linus Torvald, (il me semble que la faille provenait de l'intégration de matériel IBM S90 ,et que c'était un contournement pour la gestion de la mémoire )

En fait la faille n'est pas liée à S390, mais une tentative de correction du bug il y a 11 ans avait été retirée car elle posait problème sous S390 :
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=19be0eaffa3ac7d8eb6784ad9bdbc7d67ed8e619.

Chose intéressante, personne n'a su mesurer la conséquence de ce bug pourtant identifié et la faille de sécurité que cela pourrait représenter quelques années plus tard :
Citer
Also, the VM has become more scalable, and what used a purely theoretical race back then has become easier to trigger.

Une partie non négligeable des distributions (RHEL5/6 et dérivés), bien que vulnérable, n'a pas d'exploit public :

Citer
> The in the wild exploit we are aware of doesn't work on Red Hat Enterprise
> Linux 5 and 6 out of the box because on one side of the race it writes to
> /proc/self/mem, but /proc/self/mem is not writable on Red Hat Enterprise
> Linux 5 and 6.


EDIT : en fait, si :  il y a une autre exploit qui fonctionne sans /proc/self/mem (avec ptrace) :

https://github.com/dirtycow/dirtycow.github.io/blob/master/pokemon.c

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #16 le: 22 octobre 2016 à 23:14:59 »
Ce journaliste cite un 'expert' qui travaille pour une boite de sécurité... boites dont le CA augmente chaque fois que la presse parle de ce genre de chose.
...Mouais ! Ça me rappelle un certain article "Samsung veut écraser le Raspberry Pi 3 avec Artik 10" et la réponse que tu avais faite à l'époque !!! 

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #17 le: 22 octobre 2016 à 23:28:43 »
"plus importante faille Linux jamais découverte" <- euh c'est pas un poil racoleur et exagéré ?

Ouais c'est pas la première, puis elle a été corrigée, c'est pas un Zero Day.

corrector

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #18 le: 23 octobre 2016 à 05:20:00 »
Ouais c'est pas la première, puis elle a été corrigée, c'est pas un Zero Day.
Définis "Zero Day"!

Ou alors, n'utilise pas une notion aussi mal définie!

Et oserais-je dire merdique?

Oui, j'ose.

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #19 le: 23 octobre 2016 à 14:44:23 »
Ou alors, n'utilise pas une notion aussi mal définie!

lol?

Citer
A zero-day (also known as zero-hour or 0-day or day zero) vulnerability is an undisclosed computer-software vulnerability that hackers can exploit to adversely affect computer programs, data, additional computers or a network. It is known as a "zero-day" because it is not publicly reported or announced before becoming active, leaving the software's author with zero days in which to create patches or advise workarounds to mitigate against its actions.
https://en.wikipedia.org/wiki/Zero-day_(computing)

corrector

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #20 le: 23 octobre 2016 à 15:00:42 »
Voilà, c'est donc absolument indéfinissable.

CQFD

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #21 le: 23 octobre 2016 à 15:04:23 »
Voilà, c'est donc absolument indéfinissable.

CQFD

Effectivement, qu'est-ce que tu as bien démontré !

corrector

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #22 le: 23 octobre 2016 à 15:16:56 »
Si tu en entends parler, c'est que la vulnérabilité n'est pas inconnue.

Donc, une vuln donnée n'est pas une 0 day.

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 401
    • Ukrainian Resilient Data Network
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #23 le: 23 octobre 2016 à 15:46:23 »
Si tu en entends parler, c'est que la vulnérabilité n'est pas inconnue.

Donc, une vuln donnée n'est pas une 0 day.

Tu peux en parler sans en avoir les détails. Tu peux aussi avoir les informations sans qu'elles soient publiques.

Dans le cas de CVE-2016-5195 la vulnerabilité a été corrigée 1 jour avant la notification.