Auteur Sujet: Dirty COW (CVE-2016-5195) - Plus importante faille Linux jamais découverte  (Lu 16496 fois)

0 Membres et 1 Invité sur ce sujet

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 959
  • Saint-Médard-en-Jalles (33)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #24 le: 23 octobre 2016 à 16:17:27 »
Dans le cas de CVE-2016-5195 la vulnerabilité a été corrigée 1 jour avant la notification.

Corrigée, ça dépend de quelle source on parle.
Certains distributeurs majeurs comme RedHat ne l'ont toujours pas fait alors que les exploits sont disponibles.

vivien

  • Administrateur
  • *
  • Messages: 46 994
    • Twitter LaFibre.info
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #25 le: 23 octobre 2016 à 22:05:10 »
Tu es sur que RedHat n'a pas distribué le correctif ?

Cela m'étonne fortement.

Pour Ubuntu, il est disponible depuis le 20 octobre à 5h45 du matin, sur le serveur de mise à jour utilisé par défaut en France (http://fr.archive.ubuntu.com)

Comme je gère ce serveur, j'ai réalisé quelques stats. J'ai bien nettoyé les log de tout ce qui est script et j'ai également par mégarde supprimé les mises à jour réalisées depuis un mobile (le serveur reçois le code 304 - Document non modifié depuis la dernière requête, car il est en cache coté FAI).

Nombre de mises à jour du noyau correctif par heure :


Le nombre de machines non patchées dois être encore très important.

Nombre de mises à jour du noyau correctif par heure et par distribution :


Je rappelle que les autres version d'Ubuntu ne sont plus maintenues.

Nombre de mises à jour du noyau correctif par heure par architecture : (i386 = 32bits / AMD64 = 64bits)


Voici un fichier Calc avec les données sources, si vous pensez qu'il y a d'autres graphes à faire : 201610_stats_ubuntu.ods

(lisible avec Libre office Calc et Microsoft Excel)

vivien

  • Administrateur
  • *
  • Messages: 46 994
    • Twitter LaFibre.info
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #26 le: 23 octobre 2016 à 22:11:41 »
D'autres statistiques, sur les 3 premiers jours et demi de mise à disposition du correctif :

Répartition par distribution :


Répartition par distribution et par architecture :
(i386 = 32bits / AMD64 = 64bits)


vivien

  • Administrateur
  • *
  • Messages: 46 994
    • Twitter LaFibre.info
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #27 le: 23 octobre 2016 à 22:12:24 »
Kernel utilisés pour Ubuntu 16.04 LTS :


Kernel utilisés pour Ubuntu 14.04 LTS :
(les autres kernels d'Ubuntu 14.04 ne sont plus maintenus depuis août 2016, il est demandé à ceux qui ont un kernel autre de migrer vers le 4.4 pour avoir la mise à jour de sécurité)


Kernel utilisés pour Ubuntu 12.04 LTS : (les autres kernels d'Ubuntu 12.04 ne sont plus maintenus depuis août 2014)

vivien

  • Administrateur
  • *
  • Messages: 46 994
    • Twitter LaFibre.info
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #28 le: 23 octobre 2016 à 22:18:23 »
Statistiques sur l'architecture utilisée pour les Kernel low-latency (seuls Ubuntu 14.04 / 16.04 / 16.10 sont concernés)


Statistiques sur l'architecture utilisée pour les Kernel génériques avec Ubuntu 14.04 / 16.04 / 16.10 :


Ubuntu 12.04 à un kernel PAE et non PAE pour le 32bits, voici la répartition des kernel 3.2 :


PAE permet de dépasser 4Go de ram avec un kernel 32bits, mais il n'est pas pris en charge par tous les processeurs (pour Intel c'est depuis le Pentium Pro, mais des intels compatibles l'ont mis en place bien plus tard)

Note : 3.2.0-113-virtuel-i386 existe bien mais il est très peu utilisé.

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 959
  • Saint-Médard-en-Jalles (33)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #29 le: 23 octobre 2016 à 22:20:23 »
Tu es sur que RedHat n'a pas distribué le correctif ?

Cela m'étonne fortement.


Oui certain c'est toujours en statut pending et ça commence à sérieusement râler chez les clients...

https://access.redhat.com/security/vulnerabilities/2706661

vivien

  • Administrateur
  • *
  • Messages: 46 994
    • Twitter LaFibre.info
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #30 le: 24 octobre 2016 à 13:24:00 »
Effectivement... c'est toujours en pending.

On sait pourquoi l'info a fuitée ?

Normalement une faille n'est pas détaillée avant que la majorité des clients ait patché la chose...


jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #31 le: 24 octobre 2016 à 13:25:31 »
Effectivement... c'est toujours en pending.

On sait pourquoi l'info a fuitée ?

Normalement une faille n'est pas détaillée avant que la majorité des clients ait patché la chose...

Fuitée ?

Y'a un bug, il est corrigé, fin de l'histoire

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 128
  • Delta S 10G-EPON sur Les Ulis (91)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #32 le: 24 octobre 2016 à 13:42:17 »
Effectivement... c'est toujours en pending.

On sait pourquoi l'info a fuitée ?

Normalement une faille n'est pas détaillée avant que la majorité des clients ait patché la chose...

En fait, RedHat ne la considère pas comme critique, mais "importante", donc sans urgence de corriger. Il n'y a pas d'exécution à distance.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 128
  • Delta S 10G-EPON sur Les Ulis (91)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #33 le: 24 octobre 2016 à 19:18:04 »
Le correctif a été publié par RedHat. Il faut attendre maintenant qu'il soit mis à disposition dans les distributions dérivées, CentOS, Scientific Linux...., mais cela devrait être rapide.

https://rhn.redhat.com/errata/RHSA-2016-2098.html

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 959
  • Saint-Médard-en-Jalles (33)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #34 le: 24 octobre 2016 à 19:34:38 »
Le correctif a été publié par RedHat.

Uniquement pour RH7, donc pas la majorité des RHEL, loin de là.
Ceci dit Oracle fait encore pire : ils ne référencent même pas le CVE alors que tous les Oracle Linux, Oracle VM sont probablement vulnérables...

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 128
  • Delta S 10G-EPON sur Les Ulis (91)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #35 le: 24 octobre 2016 à 19:39:04 »
A priori, de ce que j'ai lu, RHEL 6 et 5 n'étaient pas vulnérables.

P. S :
Citer
From what I have read and test, the exploit is working only on Centos 7/ RHEL7 / Cloudlinux 7 distros .

https://gryzli.info/2016/10/21/protect-cve-2016-5195-dirtycow-centos-7rhel7cpanelcloudlinux/