Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1417 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [ENORME FAILLE] Debian et Suse

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

[ENORME FAILLE] Debian et Suse

n°827972
Tamahome
⭐⭐⭐⭐⭐
Posté le 18-07-2006 à 15:40:10  profilanswer
 

http://www.futura-sciences.com/new [...] s_9340.php
 
MA GNI FIQUE
 
Edit : http://www.futura-sciences.com/new [...] r_8086.php
 
[:rofl]


Message édité par Tamahome le 18-07-2006 à 15:41:12

---------------
Hobby eien /人◕ ‿‿ ◕人\
mood
Publicité
Posté le 18-07-2006 à 15:40:10  profilanswer
 

n°827973
memaster
ki a volé mon 62?
Posté le 18-07-2006 à 15:48:47  profilanswer
 

ni debian ni suse ni kde pour ma part :p

n°827975
mikala
Souviens toi du 5 Novembre...
Posté le 18-07-2006 à 15:51:38  profilanswer
 

les articles cités sont tellement précis que les copier ici est par contre risible.
(c'est surement d'ailleurs l'origine du [:rofl] enfin j'espère .. )


---------------
Intermittent du GNU
n°827988
mirtouf
Light is right !
Posté le 18-07-2006 à 16:13:08  profilanswer
 

de la merde en barre c'est 2 articles...


---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
n°827994
francoispg​p
Posté le 18-07-2006 à 16:30:37  profilanswer
 

en plus c'est pas une faille puisque l'exploitation de la faille ne fonctionne meme pas sur suse elle est juste presente. ...en plus il faut etre local bonjour la faille......  
 
autant  dire que voler une voiture quand on a deja les clef est possible...
 
 
c'est du meme niveau

n°827996
Mikouze
Universe Owner
Posté le 18-07-2006 à 16:37:54  profilanswer
 

Tant mieux. Sans critiques du genre, le kernel paraitrait trop-beau-pour-etre-vrai :o

n°828146
Tamahome
⭐⭐⭐⭐⭐
Posté le 19-07-2006 à 08:49:23  profilanswer
 

mirtouf a écrit :

de la merde en barre c'est 2 articles...


 
comme ton orthographe/grammaire ? :D Elle est open-source peut-être (ceci expliquerait la qualité) ;o)))


---------------
Hobby eien /人◕ ‿‿ ◕人\
n°828195
M300A
Posté le 19-07-2006 à 11:30:05  profilanswer
 

Je vois qu'on a a faire a un intellectuel une fois de plus :o)
 
Retourne jouer avec ton pack windows xp, ici on est pas dans ton monde.
 
PS : Debian n'est pas foutu d'avoir des kernels up-to-date dans leur infra, on le sait, ca finirait forcément par arriver :)
 
PS2 : Y'a encore de woody qui trainent...

n°828235
Tamahome
⭐⭐⭐⭐⭐
Posté le 19-07-2006 à 12:59:55  profilanswer
 

si vous voulez on peut vous prêter un serveur windows 2003 avec IIS6, ca sera plus sécurisé que votre OS bourré de failles la ;o))))


---------------
Hobby eien /人◕ ‿‿ ◕人\
n°828246
Fork Bomb
Obsédé textuel
Posté le 19-07-2006 à 13:20:24  profilanswer
 

Kick-Ban-Sodo-Gravier :o


---------------
Décentralisons Internet-Bépo-Troll Bingo - "Pour adoucir le mélange, pressez trois quartiers d’orange !"
mood
Publicité
Posté le 19-07-2006 à 13:20:24  profilanswer
 

n°828253
pinguin007
a npe error
Posté le 19-07-2006 à 13:29:53  profilanswer
 

bah voyons un serveur debian qui serais sur un 2.6.x [:mouais]
retourne donc sur prog :o


---------------
LoD 4 ever && PWC spirit|Le topak de l'iMP-450|inDATOUNEwe trust
n°828254
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 19-07-2006 à 13:32:15  profilanswer
 

j'ai demandé à ce qu'ils viennent récupérer leur boulet, on a déjà les notres :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°828260
mikala
Souviens toi du 5 Novembre...
Posté le 19-07-2006 à 13:39:45  profilanswer
 

il a le droit de lire hein :o (bon pas de poster depuis peu [:cupra] )


---------------
Intermittent du GNU
n°828293
Le_Tolier
Hello IT ?
Posté le 19-07-2006 à 14:17:11  profilanswer
 

merci mikala :D


---------------
Never f**k with your systems administrator. Why? Because they know what you do with all that free time! |?? | SAVE Jericho !
n°828298
kadreg
profil: Utilisateur
Posté le 19-07-2006 à 14:28:29  profilanswer
 

black_lord a écrit :

j'ai demandé à ce qu'ils viennent récupérer leur boulet, on a déjà les notres :o


 
non merci, on vous le laisse :o


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
n°828299
Hermes le ​Messager
Breton Quiétiste
Posté le 19-07-2006 à 14:29:45  profilanswer
 

black_lord a écrit :

j'ai demandé à ce qu'ils viennent récupérer leur boulet, on a déjà les notres :o


 
oué enfin on peut être aussi ici et là-bas. :o Envoyez le plutôt sur WS&R [:spamafote] Il y sera plus à sa place.  :o  

n°828301
Le_Tolier
Hello IT ?
Posté le 19-07-2006 à 14:43:47  profilanswer
 

plutôt sur discu dans la cat foot :o

n°828304
Tomate
Posté le 19-07-2006 à 14:49:19  profilanswer
 

[:rofl]


---------------
:: Light is Right ::
n°828358
pinguin007
a npe error
Posté le 19-07-2006 à 18:11:52  profilanswer
 

ou alors sur seti :o


---------------
LoD 4 ever && PWC spirit|Le topak de l'iMP-450|inDATOUNEwe trust
n°828477
Benweb83
Profil: iwinter
Posté le 20-07-2006 à 06:17:58  profilanswer
 

pinguin007 a écrit :

ou alors sur seti :o


 
[:toad666]
 
Non c'est bon ... on les a totalement éradiqués, à part un ou deux spams de temps en temps on est complétement clean maintenant !!! :D
On est tellement civilisés qu'on est la seule cat en quasi-autogestion d'HFR :o
 
C'est pas pour tout repourrir en nous balançant vos vieilleries ! [:marda gadol]


---------------
HFRCoin: 7f1PV1XZc2W9848ykRFEwTuCZzchtTT83W -- Tu l'as trop écrasé, César, ce Port-Salut !
n°828496
suizokukan
Posté le 20-07-2006 à 09:28:01  profilanswer
 

> pinguin007 : juste pour mieux comprendre, qu'y aurait-il de surprenant à ce qu'un serveur Debian tourne sur un kernel 2.6.x ?


---------------
rule #1 : trust the python
n°831732
madjpm
Posté le 01-08-2006 à 17:46:06  profilanswer
 

francoispgp a écrit :

en plus c'est pas une faille puisque l'exploitation de la faille ne fonctionne meme pas sur suse elle est juste presente. ...en plus il faut etre local bonjour la faille......  
 
autant  dire que voler une voiture quand on a deja les clef est possible...
 
 
c'est du meme niveau


 
Si tu commence à négliger les failles locales c'est par la que passera le mec qui aura eu un compte en exploitant un service pas à jour un de ces 4...
C'est pas vraiment comme avoir les clefs d'une voiture mais plutôt trouver les clefs sous le pare soleil on va dire ;)

n°831752
francoispg​p
Posté le 01-08-2006 à 19:12:44  profilanswer
 

non l'acces physique a la machine est necessaire c'est pas attaquable de l'exterieur c'est ca le probleme. avoir acces physique a la machine c'est pas une faille c'est un jacking comme le carjaking  
 
c'est comme les password il suffit a quelqu'un de te voir le taper assez lentement pourqu'il puisse le memoiriser et utiliser ta machine pendant que tu es parti pisser ....
 
la c'est pareil.... aucune possibilite d'utiliser la faille ailleur que sur la machine elle meme pas utilisable depuis ni un programme ni un reseau.
 
en plus depuis le temps que la nezs est sortie elle est deja en cours de correction si ce n'est pas deja corrige d'ailleur...
j'ai pas verifie

Message cité 1 fois
Message édité par francoispgp le 01-08-2006 à 19:15:03

---------------
merci @+
n°831753
jlighty
Posté le 01-08-2006 à 19:15:16  profilanswer
 

Si un service est corrompu depuis Internet (Apache...) le pirate pourra à l'aide de cette faille devenir root sur la machine.
Donc il n'est pas nécessaire d'être physiquement sur la machine.

n°831804
THRAK
- THR4K -
Posté le 01-08-2006 à 23:58:32  profilanswer
 

M300A a écrit :

JPS : Debian n'est pas foutu d'avoir des kernels up-to-date dans leur infra, on le sait, ca finirait forcément par arriver :)
 
PS2 : Y'a encore de woody qui trainent...


Dans cette histoire de compromission, le fautif serait plutôt le développeur qui s'est fait détourner son compte utilisateur sur le serveur. S'il n'avait pas utilisé un mot de passe en bois, l'attaquant n'aurait certainement pas pu obtenir un accès local et par conséquent n'aurait pas pu exploiter cette fameuse faille concernant les noyau 2.6.13 à 2.6.16.
 
 

pinguin007 a écrit :

bah voyons un serveur debian qui serais sur un 2.6.x [:mouais]
retourne donc sur prog :o


N'empêche qu'un serveur sous une bonne vieille Debian Sarge avec le 2.6.8 par défaut n'aurait pas été affecté par ce problème là (oui bien sûr il y en a d'autres)  :)


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
n°831819
Sly Angel
Architecte / Développeur principal
Posté le 02-08-2006 à 04:24:21  profilanswer
 

jlighty a écrit :

Si un service est corrompu depuis Internet (Apache...) le pirate pourra à l'aide de cette faille devenir root sur la machine.
Donc il n'est pas nécessaire d'être physiquement sur la machine.


 
Clairement c'est le gros risque, surtout avec les CMS et autres softs de forums de type passoire ( style phpBB )
 
Aujourd'hui sur un serveur web mal sécurisé c'est assez facile d'avoir un accès user s'il y a pas mal de choses qui tournent dessus, donc c'est très problématique. J'ai déjà vu un hébergeur à l'époque de ptrace dans le 2.4.18 ( même principe ) se faire retourner une baie entière de serveur par ce qu'il avait pu accéder à un l'un d'entre eux via une faille PHP.


---------------
Fan et séquestrateur de Deprem De Prel Photographie, célèbre photographe de tuning automobile :o
n°831823
anapivirtu​a
Boh.
Posté le 02-08-2006 à 06:40:34  profilanswer
 

Chroot ? :o

Message cité 2 fois
Message édité par anapivirtua le 02-08-2006 à 06:40:52

---------------
Si vis pacem, para bellum.
n°831828
francoispg​p
Posté le 02-08-2006 à 07:59:20  profilanswer
 

jlighty a écrit :

Si un service est corrompu depuis Internet (Apache...) le pirate pourra à l'aide de cette faille devenir root sur la machine.
Donc il n'est pas nécessaire d'être physiquement sur la machine.

en théorie oui mais là concrétement pour cette faille précise seule l'adresse localhost 127.0.0.1 permet de la declancher donc tu tombes hors sujet, hors du cas de cettefaille là en tout cas.
 
car lors d'acces depuis le réseau local ou externe cette faille là ne fonctionne pas.
 

Message cité 1 fois
Message édité par francoispgp le 02-08-2006 à 08:02:59
n°831830
Hermes le ​Messager
Breton Quiétiste
Posté le 02-08-2006 à 08:19:33  profilanswer
 


 
Ben clair ouai... +1

n°831848
Sly Angel
Architecte / Développeur principal
Posté le 02-08-2006 à 10:38:08  profilanswer
 

francoispgp a écrit :

en théorie oui mais là concrétement pour cette faille précise seule l'adresse localhost 127.0.0.1 permet de la declancher donc tu tombes hors sujet, hors du cas de cettefaille là en tout cas.
 
car lors d'acces depuis le réseau local ou externe cette faille là ne fonctionne pas.


 
Je voudrais bien que tu m'expliques la chose techniquement, parce que là je vois vraiment pas le rapport entre la faille et une adresse IP :heink:
 
D'autre part, pour ton information ce qui fonctionne :
 
- un binaire "prtcl" compilé uploadé sur la machine
- un PHP qui contient juste : <?system('prctl 1> /tmp/log 2> /tmp/err')?>;
 
j'appelle la page par le net, ça mouline et.... oh....  
 
$ cat /tmp/log
Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t
By: dreyer & RoMaNSoFt
[ 10.Jul.2006 ]
 

  • Creating Cron entry
  • Sleeping for aprox. one minute (** please wait **)
  • Running shell (remember to remove /tmp/sh when finished) ...

$ cat /tmp/err
sh: no job control in this shell
sh-2.05b# exit
$ ls -alh /tmp/sh
-rwsr-xr-x  1 root root 611K 2006-08-02 10:28 /tmp/sh
 
 
Tiens c'est marrant, y'a un sh setuid root qui traine maintenant sur la machine...
 
P.S. : C'est une machine de test hein :D

Message cité 1 fois
Message édité par Sly Angel le 02-08-2006 à 10:39:11

---------------
Fan et séquestrateur de Deprem De Prel Photographie, célèbre photographe de tuning automobile :o
n°831849
Sly Angel
Architecte / Développeur principal
Posté le 02-08-2006 à 10:42:06  profilanswer
 


 
chroot c'est le bien ouais, par contre quand y'a du monde qui utilise le même service sur le même serveur le problème reste le même localement entre ces personnes dans le même chroot.
 
Dans tous les cas y'a des moyens de toute manière de gérer correctement la sécurité sur un web, mais tout le monde ne les utilise pas ( pour des raisons diverses )


---------------
Fan et séquestrateur de Deprem De Prel Photographie, célèbre photographe de tuning automobile :o
n°831850
Le_Tolier
Hello IT ?
Posté le 02-08-2006 à 10:45:31  profilanswer
 

Sly Angel a écrit :

chroot c'est le bien ouais, par contre quand y'a du monde qui utilise le même service sur le même serveur le problème reste le même localement entre ces personnes dans le même chroot.
 
Dans tous les cas y'a des moyens de toute manière de gérer correctement la sécurité sur un web, mais tout le monde ne les utilise pas ( pour des raisons diverses )


 
Brièvement les points essentiels ?


---------------
Never f**k with your systems administrator. Why? Because they know what you do with all that free time! |?? | SAVE Jericho !
n°831852
francoispg​p
Posté le 02-08-2006 à 10:53:07  profilanswer
 

Sly Angel a écrit :

Je voudrais bien que tu m'expliques la chose techniquement, parce que là je vois vraiment pas le rapport entre la faille et une adresse IP :heink:


 
Je sais pas comment ça marche vu que le detaill de la faille n'est pas publié mais dans l'explication il était ecrit que seule le localhost (ou par son ip 127.0.0.1) ça ouvrait. c'est tout....
 

n°831953
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 02-08-2006 à 16:45:17  profilanswer
 

Bien souvent, le "retournement" d'un hôte (serveur, un équipement réseau ou autre équipement à "fonctionnalités limitées/bien définies", c'est déjà bcp moins évident à réaliser), ne résulte pas d'une attaque directe, mais combine plusieurs attaques/exploitations de failles enchainées.
 
Schématiquement, on a affaire à un scénario qui est fréquemment le suivant :
1/ Prendre pied, "en local", via un user aux droits très limités
:
:
n/ Monter en privilèges de façon suffisante (root ?), via des failles typées "privilege ecalation", mêmes locales ...
 
Avec autant d'étapes, que nécessaire.


Message édité par Zzozo le 02-08-2006 à 16:45:58

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
n°832164
madjpm
Posté le 03-08-2006 à 10:37:26  profilanswer
 

francoispgp a écrit :

non l'acces physique a la machine est necessaire c'est pas attaquable de l'exterieur c'est ca le probleme. avoir acces physique a la machine c'est pas une faille c'est un jacking comme le carjaking  
 
c'est comme les password il suffit a quelqu'un de te voir le taper assez lentement pourqu'il puisse le memoiriser et utiliser ta machine pendant que tu es parti pisser ....
 
la c'est pareil.... aucune possibilite d'utiliser la faille ailleur que sur la machine elle meme pas utilisable depuis ni un programme ni un reseau.
 
en plus depuis le temps que la nezs est sortie elle est deja en cours de correction si ce n'est pas deja corrige d'ailleur...
j'ai pas verifie


 
Non t'as rien compris au therme local exploit, ça veut pas dire que t'as besoin d'etre present physiquement devant la machine mais que tu as besoin d'un compte sur la machine pour l'exacuter.
 
Dans ce cas l'exploit se passe en 2 temps : exemple -> 1)  exploit de apache, tu te retrouve loggé avec les droits de www-data.
2) Tu lance cet exploit sous le compte www-data et tu obtiens un shell root.

n°832168
francoispg​p
Posté le 03-08-2006 à 10:49:52  profilanswer
 

madjpm a écrit :

Non t'as rien compris au therme local exploit, ça veut pas dire que t'as besoin d'etre present physiquement devant la machine mais que tu as besoin d'un compte sur la machine pour l'exacuter.
 
Dans ce cas l'exploit se passe en 2 temps : exemple -> 1)  exploit de apache, tu te retrouve loggé avec les droits de www-data.
2) Tu lance cet exploit sous le compte www-data et tu obtiens un shell root.


 

ce n'est pas une question de  
TERME !!!!
sortez vous les doigts du cul et lisez les articles entiers ! et surtout sur plusieurs sources differentes et on tombe sur ça notement :
 
 
mais bien d'explication je cite

Citation :

Toutefois cette faille est loin d'être critique, en effet elle ne peut etre utilisée que depuis le localhost[...] Nous avons réussi à l'exploiter sur [...] Debian. [...] Aussi présente sur la disribution SUSE nous n'avons pas réussi à l'utiliser[...]


 
même si l'escalade de privilège est une cause de faille elle n'est pas utilisable depuis par exemple une session rsh ou un plugin lancé sur le serveur apache hormis lancement local par un utilisateur logué physiquement sur la machine (donc par aucun protocole LAN comm ssh ou autre)  
 

Message cité 1 fois
Message édité par francoispgp le 03-08-2006 à 10:53:18
n°832169
madjpm
Posté le 03-08-2006 à 10:52:05  profilanswer
 

francoispgp a écrit :


ce n'est pas une question de  
TERME !!!!
sortez vous les doigts du cul et lisez les articles entiers !
 
 
mais bien d'explication je cite

Citation :

Toutefois cette faille est loin d'être critique, en effet elle ne peut etre utilisée que depuis le localhost[...] Nous avons réussi à l'exploiter sur [...] Debian. [...] Aussi présente sur la disribution SUSE nous n'avons pas réussi à l'utiliser[...]



 
Parceque localhost pour toi ça veut dire etre present physiquement devant la machine ?
 
Essai de prendre une machine a distance et fait un ping 127.0.0.1 dessus tu verra si ça marche pas :)

n°832170
francoispg​p
Posté le 03-08-2006 à 10:54:36  profilanswer
 

madjpm a écrit :

Parceque localhost pour toi ça veut dire etre present physiquement devant la machine ?
 
Essai de prendre une machine a distance et fait un ping 127.0.0.1 dessus tu verra si ça marche pas :)


 
 
Mais je sais ça mais c'est pas du tout la question !
 
ICI dans le cas qui nous interesse :
 
 
Il est écrit que la faille ne passe pas à travers les résaux et qu'elle ne marche qu'en local !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 
 
si tu te logues à distance la faille ne marche pas !!!!!!
 
J'y peux rien moi c'est les expert qui on decrit la faille qui le disent c'est pas moi
 
 
 :whistle:  

Message cité 2 fois
Message édité par francoispgp le 03-08-2006 à 10:56:28
n°832171
madjpm
Posté le 03-08-2006 à 11:00:18  profilanswer
 

Une local exploit ça veut pas du tout dire que la faille ne passe pas par le reseau, ça veut simplement dire qu'il faut etre loggé sur la machine pour pouvoir l'executer, que ça soit à distance ou sur une chaise devant la console ça ne change absolument rien. En gros dans ce genre d'exploit les mecs arrivent à avoir un shell sous un compte limité puis font un wget sur l'exploit et la lance pour obtenir le shell root.

Message cité 1 fois
Message édité par madjpm le 03-08-2006 à 11:00:44
n°832172
Sly Angel
Architecte / Développeur principal
Posté le 03-08-2006 à 11:00:52  profilanswer
 

francoispgp a écrit :

Mais je sais ça mais c'est pas du tout la question !
 
ICI dans le cas qui nous interesse :
 
 
[#ff1c00][#ff1c00]Il est écrit que la faille ne passe pas à travers les résaux et qu'elle ne marche qu'en local !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![/#ff1c00][/#ff1c00]
 
 
si tu te logues à distance la faille ne marche pas !!!!!!


 
1) Arrête de prendre au mot et de croire un article unique parce qu'il écrit "localhost" ( qui d'ailleurs devrait plutôt être "local" )
2) Comment tu expliques que ça passe quand je teste sur des serveurs qui sont à 500 km de ma console ?
3) Renseigne toi vraiment sur la faille elle même avant de soutenir mordicus n'importe quoi.
 
Merci.
 
P.S. : dans l'article collé ici je n'ai pas vu le mot "localhost" ceci dit, juste "local" qui signifie avoir un user local à la machine pour obtenir les privilèges.


---------------
Fan et séquestrateur de Deprem De Prel Photographie, célèbre photographe de tuning automobile :o
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [ENORME FAILLE] Debian et Suse

 

Sujets relatifs
[debian] Sources du kernel 2.6.17-1-k7amsn open suse
Passage en root avec LiveCD Suse[debian] obligé de relancer alsaconf sinon pas de son
mettre debian en francaisWifi Debian Ech
Shot Online sous Linux (Debian en l'occurence)[RESOLU][debian]Serveur DNS primaire, Serveur perso de type master
[resolu]choisir une partition pour installer open suseArchitecture minimale pour distribution Debian embarquée.
Plus de sujets relatifs à : [ENORME FAILLE] Debian et Suse


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR