Auteur Sujet: Dirty COW (CVE-2016-5195) - Plus importante faille Linux jamais découverte  (Lu 8543 fois)

0 Membres et 1 Invité sur ce sujet

Thornhill

  • Client SFR fibre FTTH
  • *
  • Messages: 2 317
  • Saint-Médard-en-Jalles (33)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #36 le: 24 octobre 2016 à 20:27:09 »
A priori, de ce que j'ai lu, RHEL 6 et 5 n'étaient pas vulnérables.

Tu as mal compris :-)
Ils sont bien vulnérables mais l'exploit initiale qui circulait ne fonctionnait pas sur ces versions car basée sur /proc/self/mem qui n'est accessible qu'en lecture sous RH5/6.
Mais d'autres exploit circulent basées sur ptrace et fonctionnent bien sous RH5/6

vivien

  • Administrateur
  • *
  • Messages: 33 135
    • Twitter LaFibre.info
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #37 le: 24 octobre 2016 à 20:32:42 »
La réponse officiel de RedHat sur RHEL5 et RHEL6 :
RHEL5 and RHEL6 are vulnerable. However, the in the wild exploit we are aware of doesn't work on RHEL5 and RHEL6 out of the box, see Bugzilla bug for details.

vivien

  • Administrateur
  • *
  • Messages: 33 135
    • Twitter LaFibre.info
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #38 le: 24 octobre 2016 à 20:40:26 »
Fuitée ?

Y'a un bug, il est corrigé, fin de l'histoire

Les bug, il y en a tous les jours et quel que soit le produit (os, navigateur web, ...), ils attendent toujours que le bug soit corrigé et largement distribué avant de donner les détails permettant de réaliser un exploit.

Là tout a été révélé le lendemain de la sortie du correctif, donc je me pose des questions.
Pour rappel, là j'imagine que la publication n'a pas été réalisée suite à une expiration de délai comme c'est de temps en temps le cas avec les failles Microsoft et Apple.




Microsoft se fâche contre Google après la publication de failles zero-day dans Windows

Le géant du Web a publié par deux fois sur le web des failles de Windows 8 dans le cadre de son programme « Projet Zero ». Mais la méthode suscite des critiques de la part de Microsoft.

C’est une lettre au ton mesuré, mais qui transpire le mécontentement. Elle est signée Chris Bentz, patron du Microsoft Security Response Center, et fait suite à la publication de deux failles zero-day dans Windows 8.1 par les équipes du Projet Zero de Google.

Cette « unité d’élite » de hackers, en croisade contre les failles de sécurité, a des méthodes expéditives. Lorsqu’elle découvre une faille, le Projet Zero prévient l’éditeur concerné et lui laisse 90 jours pour la réparer. S’il ne corrige pas le problème, la faille est alors publiée sur le Web et est donc accessible à tous, y compris à de potentiels cybercriminels.

C’est exactement ce qui est arrivé par deux fois à Microsoft, qui n’a pas comblé les failles de Windows 8 avant le délai des 90 jours. Et de voir des millions de ses clients Windows 8 exposés à une faille de sécurité par Google ne plait pas du tout, du côté de Redmond. « Google a publié des informations sur une vulnérabilité dans un produit Microsoft deux jours avant la publication de notre correctif dans le cadre de notre fameux Patch Tuesday, alors que nous leur avions demandé de ne pas le faire » écrit Bentz. Qui précise : « nous avions demandé à Google de travailler avec nous afin de protéger nos clients en ne révélant pas de détails avant mardi 13 janvier, au moment où nous publierons le correctif. »

« Ce qui est bon pour Google ne l’est pas forcèment pour les clients »

Alors que Google estime que ses « coups de pression » vont forcer les éditeurs à corriger les failles plus vite, Microsoft préfère ce qu’il appelle « la divulgation coordonnée de vulnérabilités ». Autrement dit : celui qui découvre la faille prévient discrètement l’éditeur visé, qui la corrige avant que des informations ne soient publiées sur la Toile. Selon Bentz, la décision de Google « tient moins de principes que du ‘je t’ai eu !’ […] Ce qui est bon pour Google ne l’est pas forcèment pour les clients. Et nous exhortons Google de faire de la protection des consommateurs notre but collectif premier ».

Une défense louable, mais qui vient peut-être un peu tard. Car Microsoft a une longue histoire de vulnérabilités qu’il a tardé à corriger, comme le rappelle Robert Graham, hacker et patron d’Errata Security. Sur son blog, ce vieux brisard de la sécurité informatique décrit comment les vulnérabilités étaient gérées par l’éditeur de Windows il y a une dizaine d’années. « Microsoft dictait à l’époque la manière dont les vulnérabilités étaient reportées. Les chercheurs qui découvraient de tels bugs devaient informer les éditeurs en secret et leur donner tout le temps nécessaire pour les corriger. Microsoft a parfois attendu des années avant d’en corriger certains et profitait du fait qu’il était en mesure de blacklister des chercheurs pour les faire taire. » Visiblement, les temps ont changé…


Source : Microsoft, le 11 janvier 2015 traduction 01net

Thornhill

  • Client SFR fibre FTTH
  • *
  • Messages: 2 317
  • Saint-Médard-en-Jalles (33)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #39 le: 24 octobre 2016 à 20:40:53 »
Le catalogue des exploits : ceux basés sur ptrace fonctionnent sous RH5/6 :
https://github.com/dirtycow/dirtycow.github.io/wiki/PoCs

Il me semble que celui qui a redécouvert le bug a annoncé qu'il avait tracé un exploit à l'occasion d'une analyse d'attaque, donc cet exploit circulait depuis un moment...

Expliqué ici : http://www.v3.co.uk/v3-uk/news/2474845/linux-users-urged-to-protect-against-dirty-cow-security-flaw

corrector

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #40 le: 24 octobre 2016 à 20:54:16 »
En fait, RedHat ne la considère pas comme critique, mais "importante", donc sans urgence de corriger. Il n'y a pas d'exécution à distance.
Ah ah MDR lol

corrector

  • Invité
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #41 le: 24 octobre 2016 à 21:32:00 »
Effectivement... c'est toujours en pending.

On sait pourquoi l'info a fuitée ?

Normalement une faille n'est pas détaillée avant que la majorité des clients ait patché la chose...
Heu... n'importe quoi!

Déjà il faut bien expliquer le problème aux gens. Est-ce que tu penses que "logiciel libre" rime avec "un petit cercle de oins du seigneurs qui s'échangent et conservent des informations confidentielles critiques ce qui leur donne un avantage énorme sur la populace"?

Ensuite :

Citer
"The exploit in the wild is trivial to execute, never fails and has probably been around for years - the version I obtained was compiled with gcc 4.8," he said.

"As Linus [Torvalds] notes in his commit, this is an ancient bug and impacts kernels going back many years. All Linux users need to take this bug very seriously, and patch their systems ASAP."
http://www.v3.co.uk/v3-uk/news/2474845/linux-users-urged-to-protect-against-dirty-cow-security-flaw

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 597
  • La Madeleine (59)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #42 le: 25 octobre 2016 à 12:28:09 »
Les bug, il y en a tous les jours et quel que soit le produit (os, navigateur web, ...), ils attendent toujours que le bug soit corrigé et largement distribué avant de donner les détails permettant de réaliser un exploit.

Là tout a été révélé le lendemain de la sortie du correctif, donc je me pose des questions.
Pour rappel, là j'imagine que la publication n'a pas été réalisée suite à une expiration de délai comme c'est de temps en temps le cas avec les failles Microsoft et Apple.


Beuhh, tu vis dans un triste monde
On parle d'un monde ouvert, le code est disponible, les corrections sont disponibles, toute personne intelligente et culturé peut se renseigner sur les implications d'un bug, et en déduire une exploitation éventuelle


Marco POLO

  • Client Free fibre
  • *
  • Messages: 1 854
  • FTTH 1 Gb/s sur Paris (75)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #43 le: 26 octobre 2016 à 03:11:45 »
Beuhh, tu vis dans un triste monde
On parle d'un monde ouvert, le code est disponible, les corrections sont disponibles, toute personne intelligente et culturée peut se renseigner sur les implications d'un bug, et en déduire une exploitation éventuelle.
 

Thornhill

  • Client SFR fibre FTTH
  • *
  • Messages: 2 317
  • Saint-Médard-en-Jalles (33)
ALERTE - Plus importante faille Linux jamais découverte
« Réponse #44 le: 26 octobre 2016 à 17:55:18 »
At last :

Citer
errata-xmlrpc 2016-10-26 07:42:50 EDT

This issue has been addressed in the following products:

  Red Hat Enterprise Linux 6

Via RHSA-2016:2105 https://rhn.redhat.com/errata/RHSA-2016-2105.html

Manque plus que RH5, encore un effort...

 

Mobile View