Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1381 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Sécurité Linux

 
 


Dernière réponse
Sujet : Sécurité Linux
asphro mais si ils osnt reactif microsoft ...
 

Citation :

Posté par Victor Vuillard. Approuvé le Jeudi 13 Juin à 13:49 [M]  
Dépt: pour ceux qui ne sont pas encore convaincus  
 Voici un nouveau problème dans les serveurs IIS de Microsoft qui fait préférer l'OpenSource...  
 
Le fait que l'on puisse executer du code à distance sur le serveur IIS grâce à ce bug dans la gestion des requetes HTR n'est probablement pas le plus grave !  
 
En effet, comme le dévoile un article de Wired, Microsoft avait passé un accord avec Eeye, à l'origine de la découverte du problème, et a pris tout son temps (plusieurs mois) pour sortir un patch...  
Il est assez simple de voir en faisant une recherche dans Google avec "iis htr" comme mots clé que Eeye ne devaient pas etre les seuls à chercher ce genre de bugs ;-)  
 
Donc MS à préféré cacher pendant des mois le problème plutot que de sortir un correctif rapidement.  
 
La NSA, apparemment au courant aurait conseillé pendant plusieurs mois d'enlever la fonctionnalité la plupart du temps inutile mais activée par défaut... No comment.  


Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
asphro mais si ils osnt reactif microsoft ...
 

Citation :

Posté par Victor Vuillard. Approuvé le Jeudi 13 Juin à 13:49 [M]  
Dépt: pour ceux qui ne sont pas encore convaincus  
 Voici un nouveau problème dans les serveurs IIS de Microsoft qui fait préférer l'OpenSource...  
 
Le fait que l'on puisse executer du code à distance sur le serveur IIS grâce à ce bug dans la gestion des requetes HTR n'est probablement pas le plus grave !  
 
En effet, comme le dévoile un article de Wired, Microsoft avait passé un accord avec Eeye, à l'origine de la découverte du problème, et a pris tout son temps (plusieurs mois) pour sortir un patch...  
Il est assez simple de voir en faisant une recherche dans Google avec "iis htr" comme mots clé que Eeye ne devaient pas etre les seuls à chercher ce genre de bugs ;-)  
 
Donc MS à préféré cacher pendant des mois le problème plutot que de sortir un correctif rapidement.  
 
La NSA, apparemment au courant aurait conseillé pendant plusieurs mois d'enlever la fonctionnalité la plupart du temps inutile mais activée par défaut... No comment.  

djoh

asphro a écrit a écrit :

ben oui si tu mais le mod-ssl
c dvlpt a part pour les version 1.x.x www.modssl.org
et c integre directement dans apache2 now




 
ouai
enfin de toute façon je critiquais pas apache, je trouve juste dommage qu'ils aient tant de pb en ce moment
en espérant que les pro retourne pas leur veste juste pour ça
après tout, le principal, c'est que apache est vraiment réactif par rapport à ces concurrents , en cas de pb
et pis y-a pas  tant que ça de faille à mon avis, donc on en verra le bout un jour   ;)  
 
PS : remarquer que j'ai réussi à me retenir de faire une comparaison directe avec M$, et ça a vraiment été dur, parce que ...
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
c'est vraiment de la grosse merde les produits M$, ils sont pas réactif pour deux sous, ils coûtent la peau des fesses ! bref, comparons ce qui est comparable !   :o  
je parlais surtout pour tetedeiech là, mais je désespere qu'il remette un jour son cerveau en route celui là :fuck:

asphro ben oui si tu mais le mod-ssl
c dvlpt a part pour les version 1.x.x www.modssl.org
et c integre directement dans apache2 now
djoh

asphro a écrit a écrit :

c po apache c le mod-ssl




 
c'est une bibliothèque d'apache a priori   :heink:

asphro c po apache c le mod-ssl
djoh

asphro a écrit a écrit :

non c est une nouvellem j avew vu un post de axey sur le comme koi il avait touver une faille dans le mod-ssl
j ai bien fait d attendre avant de le mettre




 
ils sont pas à la faite en ce moment chez apache  :-/
en tout cas, ils sont très réactif chez debian : déjà un nouveau package pour les dns, et à chaque fois que j'apprends l'existence d'une nouvelle faille , c'est sur le site de debian que je l'apprends :jap:

asphro non c est une nouvellem j avew vu un post de axey sur le comme koi il avait touver une faille dans le mod-ssl
j ai bien fait d attendre avant de le mettre
djoh c'est quoi cette faille :
http://www.debian.org/security/2002/dsa-135
 
c'est celle dont vous parlez tous, ou c'est encore une nouvelle ?
djoh

Max2jordan a écrit a écrit :

 
 
J'ai pas dit que Windows était sur Banane... Je fais un constat... Chaque jour apporte son lot de failles M£ et de plus en plus de failles Linux... Voila.




 
t'as pas du lire la page en entier ? (tu sais peut-être pas lire l'anglais ?) : ça dit que le dns de linux n'est pas vulnérable :sol:

asphro y a que sur windows que les faille trouvé son facilement exploitable ;)
Jar Jar

Max2jordan a écrit a écrit :

Mais elle existe mon cher et un bon hacker sait ce qu'il a à faire....


Mouahahahahaa !  Mais bien sûr, des mecs capables de trouver une faille dans openssh (car je le répète, rien ne garantit que cette faille existe sur un système n'utilisant pas certaines options exotiques de ssh), et capables d'écrire un exploit à partir de cette faille, ça court les rues.
 
Tu devrais réviser ton dictionnaire du geek.
thenubi http://forum.hardware.fr/forum2.ph [...] h=&subcat=
 
 
 
bon ben y a des cho ici, vous voulez bien maider pour apache plz
 
aider le nubi est une bonne action
Max2jordan

Jar Jar a écrit a écrit :

Bon, t'arrêtes de faire chier sans savoir de quoi tu parles ?
Pour l'instant, il n'existe aucun moyen, même théorique, d'exploiter cette faille sur quasiment tous les systèmes, vu la configuration de SSH qu'ils utilisent.




 
Mais elle existe mon cher et un bon hacker sait ce qu'il a à faire....
thenubi

Jar Jar a écrit a écrit :

Il faut que le système en question soit très mal administré, alors, puisqu'il faut :
- que l'Apache ne soit pas patché (ça commence à faire un bout de temps qu'il devrait l'être),
- qu'il y ait une faille locale permettant de devenir root (et là, on en trouve sur certains BSD pas à jour, mais sous Linux, ça ne court pas les rues).




jen ai trouvé un, il a été ataqué.
 
puré, g chopé le disque, et g plus voulu le rendre. c'est trop précieux.
 
:)
Jar Jar

Max2jordan a écrit a écrit :

Une speciale pour toi ne concernant pas apache:
http://solutions.journaldunet.com/ [...] nssh.shtml


Bon, t'arrêtes de faire chier sans savoir de quoi tu parles ?
Pour l'instant, il n'existe aucun moyen, même théorique, d'exploiter cette faille sur quasiment tous les systèmes, vu la configuration de SSH qu'ils utilisent.
Jar Jar

---- a écrit a écrit :

il s'agit de deborder le buffer de apache, et sous certaine condition, on peut passer root sur le systeme. bug tres grave. ki touche les 1.30 à 2.36. et ceux sur tous les bsd, tous les linux et aussi les M$


Il faut que le système en question soit très mal administré, alors, puisqu'il faut :
- que l'Apache ne soit pas patché (ça commence à faire un bout de temps qu'il devrait l'être),
- qu'il y ait une faille locale permettant de devenir root (et là, on en trouve sur certains BSD pas à jour, mais sous Linux, ça ne court pas les rues).
Max2jordan

---- a écrit a écrit :

aahhhhh  
M$
les mouvais joueurs
 
g pas tout lu, mais bon, je suis à 90% sur kil sagit de chunk encoding
 
il s'agit de deborder le buffer de apache, et sous certaine condition, on peut passer root sur le systeme. bug tres grave. ki touche les 1.30 à 2.36. et ceux sur tous les bsd, tous les linux et aussi les M$
 
pire, certains correctifs ne fonctionnent pas sous M$. il faut passer à la 2.0.39
 
c'est pas linux ou bsd ki ont un trou , mais apache. comme dab, M$ nous demontre une fois plus, leur mouvaise volonté apres leur mouvaise competence  
 




 
 
Une speciale pour toi ne concernant pas apache:
http://solutions.journaldunet.com/ [...] nssh.shtml
asphro parler des service dns ;)
---- aahhhhh  
M$
les mouvais joueurs
 
g pas tout lu, mais bon, je suis à 90% sur kil sagit de chunk encoding
 
il s'agit de deborder le buffer de apache, et sous certaine condition, on peut passer root sur le systeme. bug tres grave. ki touche les 1.30 à 2.36. et ceux sur tous les bsd, tous les linux et aussi les M$
 
pire, certains correctifs ne fonctionnent pas sous M$. il faut passer à la 2.0.39
 
c'est pas linux ou bsd ki ont un trou , mais apache. comme dab, M$ nous demontre une fois plus, leur mouvaise volonté apres leur mouvaise competence  
Max2jordan

asphro a écrit a écrit :

faut tout lire et po lire des truc de mec qui suy connaisse a moitie  
 
http://www.cert.org/advisories/CA-2002-19.html




 
J'ai pas dit que Windows était sur Banane... Je fais un constat... Chaque jour apporte son lot de failles M£ et de plus en plus de failles Linux... Voila.
asphro faut tout lire et po lire des truc de mec qui suy connaisse a moitie  
 
http://www.cert.org/advisories/CA-2002-19.html
Max2jordan

asphro a écrit a écrit :

La faille touche un parc de machines très étendu : "la plupart des distributions de Linux et d'Unix sont livrées avec l'une ou l'autre des librairies de DNS (Domain Name System - NDLR) qui posent problème" explique Ludovic Blin, expert en sécurité informatique. Les librairies en question sont très répandues : elles ont été écrites il y a fort longtemps et ont été distribuées gratuitement. Une grande partie des serveurs et des postes clients tournant sous un OS libre sont concernés, ainsi que certains matériels du type routeur ou switch. Selon Microsoft, les différentes versions de Windows seraient épargnées.
 
selon microsoft windows c pas chere ;)
 
A toi de prouver la faille mister...sur windobes
 
 
 
asphro La faille touche un parc de machines très étendu : "la plupart des distributions de Linux et d'Unix sont livrées avec l'une ou l'autre des librairies de DNS (Domain Name System - NDLR) qui posent problème" explique Ludovic Blin, expert en sécurité informatique. Les librairies en question sont très répandues : elles ont été écrites il y a fort longtemps et ont été distribuées gratuitement. Une grande partie des serveurs et des postes clients tournant sous un OS libre sont concernés, ainsi que certains matériels du type routeur ou switch. Selon Microsoft, les différentes versions de Windows seraient épargnées.
 
selon microsoft windows c pas chere ;)
 
 
Max2jordan

Max2jordan a écrit a écrit :

Un autre pour la route
http://solutions.journaldunet.com/ [...] ille.shtml




 
Un jour on va avoir autant de failles Nunux que de failles M$
Max2jordan Un autre pour la route
http://solutions.journaldunet.com/ [...] ille.shtml
asphro ca ne touche que freebsd pour l instant les correctif on ete fais
 
donc oui dans l opensource il attendent  po 100ans comme microsoft
Max2jordan

asphro a écrit a écrit :

3j de retard ;)




Pas grave...
Max2jordan Et si tout le tapage pour dire que Linux s'est sûr c'est du pipo...
Et après l'enquete, qui affirme que les logiciels propriétaires sont aussi surs et/ou vulnérables que l'open source, la seule chose qui reste à l'open source c'est le prix et un peu de fiabilité.
 
Le débat est lancé.
M2j.
asphro 3j de retard ;)
Max2jordan http://www.weblmi.com/daily/2002/0703/securite.htm

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR