Moi j’ai fait une mise à jour d’openssl hier soir tard (après minuit) sur Debian Wheezy, et aujourd’hui quand j’ai fait le test, j’étais encore vulnérable. Je pense qu’il y a eu une nouvelle mise à jour dans la journée, qui cette fois corrige le problème… Ou alors j’ai raté qqch.
il faut bien relancer les services concernés. Par exemple, pour nginx, un simple service nginx restart ne suffit pas, il faut stop/start afin qu’il utilise la nouvelle bibliothèque.
cough cough, quand on fait bien les choses, on utilise pas gnutls mais openssl. Et ça fait un bail que l’info est connue, 2008 pour être précis, source mailing-list d’openldap:
Ça me fera toujours halluciner cette volonté des personnes n’entravant rien au fonctionnement même du réseau de vouloir “contrôler Internet”. Comme si Internet était UN réseau, alors qu’il est composé de l’interconnexion de milliers de réseaux publics et privés, utilisant tous les mêmes protocoles. Ils sont restés au temps du Minitel? Ah, par contre, ça les emmerde les Edward Snowden. On aime jamais voir ses petites magouilles étalées à la vue de ses électeurs (et donc, de ceux qui payent leur salaire).
Et bon, ce n’est pas comme si Internet était un espace public, et donc, ce n’est pas comme si on n’avait pas déjà tout l’attirail judiciaire nécessaire pour s’occuper des diffamateurs, racistes et autres rigolos, pseudonymat ou pas. Il faudrait juste en avoir la volonté, mais on préfère emmerder le smicard qui a téléchargé 2 films pour passer la soirée entre amis après ses 7h de boulot quotidiennes.
Quant à la bafouille sur le “vilain piratage”: “la culture, c’est le partage”, Socrate, il y a 2500 ans. Apparemment on a pas vraiment avancé depuis.
Euh, on avait le Workbench (AmigaOS, quoi), certes pas en ROM - un disque dur s’imposait pour l’utiliser réellement, mais multitâche préemptif, lui, et ça en 1985, la concurrence a mis 10 ans à proposer l’équivalent (excepté linux, 1991) ;p
Ceci dit, mon bon vieux 1200 gonflé à bloc fonctionne toujours très bien, et il a 20 ans (aaah, protracker, amIRC, iBrowse (un des premiers navigateurs à proposer des onglets, en 1998, iirc), Octamed Sound Studio, ImageFX, DeluxePaint, les démos, Frontier Elite 2, Black Crypt, Cannon Fodder, le shell, Korn Shell, AMOS, Blitz Basic, Storm C++, Gnu C, ViM (développé à l’origine sur Amiga), les disquettes Fred Fish (RIP :‘( )…;; tiens, je vais le ressortir ce week end). Toute une époque.
Ouais enfin, dire que les statistiques netcounter sont faussées, et donner du poid à celles de Steam… Faut oser quand même " />
Ouais, c’était pour la jouer “1%” à l’envers… Tu es le seul à avoir relevé :)
DorianMonnier a écrit :
Clairement, pour un coup que les utilisateurs de GNU/Linux ont un logiciel intéressant, ils l’ont tous installé. " />
En fait, et en dehors de la perche trollesque tendue, celà voudrait dire qu’une grande proportion des “linuxiens” (je hais ce mot, un peu comme “windowsiens”) ne sont donc pas des protocommunistes barbus enfermés dans leurs caves devant un terminal, mais que si on leur propose quelque chose, certes non libre, et pourri de DRMs, avec du contenu, ils sont prêt à payer pour… Tiens, encore un vieux cliché qui se viande sur le mur de la réalité.
Au fait, t’as bien payé tes licences pour Photoshop, Windows 8, MS Office, Artlantis, AutoCAD, Cubase, Ableton Live, ShowRoom, Lightwave 3D et Cinema4D, Windows Server 2012, Exchange avec les CALs qui vont bien, non? " /> - Je dis ça comme ça, hein, parceque pour chacun, il y a une alternative libre et gratuite, et qui couvre quasiment tous les besoins d’un professionnel, donc, un pékin derrière son PC chez lui, en calebutt… - mmmh?
Maintenant, et pour revenir au sujet de l’article, sérieusement: Une bonne partie des commentaires se focalisent sur “la barre des tâches”, etc…Bref, des problèmes de “on m’a changé mon interface, ouin”, hors, qu’il s’agisse de windows ou d’ubuntu, il est toujours possible d’installer soit des “correctifs”, soit d’autres environnements de bureau/gestionnaires de fenêtres. Bien que je ne sois ni pro-windows ni pro-Ubuntu (ni anti, d’ailleurs), franchement, c’est pas comme si vous n’aviez pas les moyens de chercher un minimum et d’obtenir les procédures à suivre en, allez, 5 minutes, et encore, c’est que vous êtes fichtrement lents. Et ici, on est quand même pas chez les lusers, si?
Le
28/05/2013 à
20h
11
Idiot Proof a écrit :
Il y en a un qui pèse 92 ou 93% du parc installé et l’autre <1% " />
Va falloir arrêter avec les “1%”. Suffit de regarder les chiffres sur Steam, les distribs linux (donc, certes, pas “que” ubuntu) sont au même niveau que Mac OS X. Les statistiques de netcounter et autres, c’est bien joli, mais c’est faussé, ne serait-ce que parcequ’ils n’analysent que quelques millions de sites, et on est plus en 1998, hein. Il faudrait en analyser des centaines de millions, constamment, et pas uniquement chez les ‘ricains…
Les proportions réelles doivent tourner aux environs de 80% de windows, 10% d’OSX/iOS (tiens, à ce propos, quelle est la proportion d’iOS, celui de Cisco, hein, pas de chez Apple… bin quoi, w3m tourne bien, dessus :)), 10% d’autres (bsd, android, linux, solaris…).
Mmmh, j’avoue que j’ai du mal à saisir tout ce barouf autour des interfaces style Unity ou Metro… J’en suis pas fan du tout (tiling WM && cli roulaize!! :)), mais pour avoir essayé les deux (OS X et Gnome 3, aussi), une fois habitué, je ne vois pas vraiment où est le problème, si ce n’est dans le changement d’habitudes.
Là où ça me fait quand même bien rigoler, c’est que, sous Ubuntu (ou toute autre distribution linux), rien n’empêche d’installer un autre environnement de bureau ou gestionnaire de fenêtres en, allez, trois clics ou un apt-get install xfce, et sous 8, on peut toujours retrouver ses habitudes avec quelques logiciels supplémentaires (bon, c’est moins pratique, et sûrement plus crade, mais là aussi faisable en quelques recherches).
Donc, comme d’hab, les gens se plaignent, ne veulent pas faire l’effort de chercher un minimum, encore moins de bidouiller un peu, et ouvrent leurs gueules sur le Grand Ternet…
megadub a écrit :
Non seulement je suis d’accord avec lui mais j’ajouterais qu’ils ne sont pas allé assez loin en laissant le bureau :o
Un bureau? aucune idée de ce que c’est, ici c’est ratpoison, xmonad ou wmii… Y’a pas besoin de bureau pour bosser efficacement, ni pour jouer à TF2, et je ne gaspille pas mes pixels pour afficher un fond d’écran de toute façon moche ou des icônes débiles qui ne me servent à rien :p
non c’est toi qui ne pige pas, si la faille n’est pas divulguée, alors la chance qu’elle soit exploitée est minime … Surtout que tu parles des admins mais t’es gentil tu oublies que les particuliers n’ont pas d’admins sys hein … et les réseaux de pc zombies c’est pas chez les pros que tu les trouves mais bel et bien chez les particuliers … donc c’est bien beau de parler d’admins blabla mais tu oublies tout une partie de la clientèle très importante … (bien sur je ne parle pas de cette faille ridicule mais d’autre qui pourraient être plus dangereuse)
Hum… Une faille qui impacte le business est corrigée rapidement, non? une faille cachée, non exploitée? laisse moi rire, c’est justement le but d’une faille: être exploitée. Qu’elle soit rendue publique et exploitée par des scripts kiddies, c’est une chose, mais il est sûr qu’elle est déjà exploitée par des pros. “Au pays des aveugles, les borgnes sont rois”. Je te renvoie à la faille décrite dans l’article de korben, qui ne concerne pas windows.
Quant à Mr.Michu et son PC zombifié, tu crois que la divulgation d’une faille comme ça va changer quelque chose? eh bien oui, parcequ’il aura une belle mise à jour la semaine prochaine à ce sujet. Qu’il la fasse ou pas, c’est son problème.
Ceci dit, je te conseille de vraiment te renseigner un minimum sur la sécurité informatique. Tu verras que venant de MS, en général, quand le business gueule (ie, leur gagne pain) tout d’un coup ils sont beaucoup plus réactifs, donc, oui, Mr.Michu peut dire merci au petit monde des white hats, des administrateurs systèmes et surtout aux personnes qui divulguent des failles critiques sur des sites dédiés à la… sécurité informatique (le site des créateurs de nmap…). De plus il n’a pas posté de PoC ni d’exploit directement utilisable par des scripts kiddies. grmbl, et bonne nuit ;)
Le
23/05/2013 à
20h
47
Baldurien a écrit :
Sinon, on peut aussi revendre les failles 0day en toute confidentialité :) C’est ça qui est bien :)
“Heureusement, grâce à cet exploit rendu public, la terre entière est maintenant au courant et peut se protéger d’éventuels hackers.”
rendu public => tiens, les gens se bougent pour corriger, tout d’un coup. Que ce soit MS ou les devs du kernel, hein Lafisk? ;) (oups, on est pas encore trolldi)
Le
23/05/2013 à
20h
31
Lafisk a écrit :
Et le gars voit que la faille n’est pas corrigée donc ça justifie qu’il l’a publie sur internet ? la faille est considérée comme peu dangereuse, peut être que MS avec un Windows 8.1 en préparation etc… à autre chose à ce préoccuper que d’une faille considérer comme peu critique … bien sur dans n’importe quelle boite les petit bug/faille sont souvent les dernières à être corrigées, rien d’anormal. Qu’il soit de Google ou d’ailleurs ne lui permet en rien de divulguer une faille de façon publique … d’ailleurs limite, je pense que MS pourrait presque porter plainte pour une telle chose pour de nombreuses raisons.
Non, je crois que tu n’as toujours pas compris. Le fait que cette faille soit publique permet aux administrateurs systèmes qui font un minimum de veille technologique de réagir de façon proactive à ce type de problème, et pas quand il sera trop tard, c’est justement le but. Ça a un autre avantage, celui de forcer MS à se bouger un peu pour corriger une faille qui lui avait déjà été rapportée il y a deux mois. Alors, certes, ce n’est qu’une petite faille permettant l’exécution arbitraire de code en local. SAUF que ce genre d’exploit fait partie de la chaîne habituelle de compromission d’un système informatique (que ce soit Michel Michu chez lui ou la COGIP): analyse du réseau, recueil d’informations (services disponibles, etc), exploitation des failles réseau, injection de code permettant le contrôle local d’un poste compromis, exploitation des informations recueillies, et finalement pénétration du SI et maintien de l’accès.
Donc, tant que cette (petite, certes) faille est cachée aux yeux du public et donc de la majorité des administrateurs systèmes, veille techno ou pas, elle est exploitable. Le fait de la publier permet d’avertir, au moins, la communauté des adminsys de risques potentiels pour la sécurité de leur système d’informations et donc de réagir de façon “proactive” (ie, avant que les emmerdes arrivent). Donc, oui, c’est une bonne chose qu’il ait dévoilé cette faille plutôt que de refiler le bébé en douce à Microsoft qui aurait attendu (vu qu’ils sont très occupés, comme tu le dis toi même, avec windows 8.1 (au fait, qui a du 8 en prod’? personne?)) que ce soit effectivement utilisé, genre en combo avec une faille SMB…
Le
23/05/2013 à
20h
18
f* double post :/
Le
23/05/2013 à
20h
16
Lafisk a écrit :
Tu n’as strictement rien compris au problème … il y a bien une structure à laquelle on peut rapporté les failles d’un système et ceux chez chacun des éditeurs. Sauf que la au lieu de la rapporter directement à MS, elle a été postée directement sur internet.
“Ormandy had first published information about the vulnerability in March to GitHub in an effort to solicit help or entice other researchers to investigate. ”
Au passage, on est presque en Juin. Quant à sa démarche, si tu prends le temps de lire l’article en question, ou différentes intervenants sont interviewés, tu verras que ses derniers rapports de failles chez Microsoft (notamment en 2010⁄2011) avaient été traités de façon fort cavalière de la part de Microsoft. Comme on dit, “chat échaudé craint l’eau froide”. Et il vaut mieux, je persiste, qu’une faille soit rendue publique, plutôt que cachée aux yeux de tous (ie, les quelques milliers voire millions de sysadmins qui se coltinent des environnements hétérogènes, comme moi), afin de pouvoir réagir de façon proactive plutôt que d’avoir à restaurer les backups, au hasard, de l’AD, de LDAP, du site ouaibe de la boate, ou de ta solution de contrôle d’accès réseau…
Désolé, mais tu te trompes de problème: ce n’est pas le fait qu’un chercheur de chez google ait révélé une faille sous windows, le problème, c’est que Microsoft n’a toujours rien fait alors qu’ils étaient pertinemment au courant, je cite:
“We are aware of claims regarding a potential issue affecting Microsoft Windows and are investigating,” said Dustin Childs, a spokesman for the company’s security response group, in an email. “We have not detected any attacks against this issue, but will take appropriate action to protect our customers.” En gros, ils ont attendu que ça devienne public, pour s’en occupper. Bravo la réactivité.
Un peu comme Oracle récemment, ou Apple avec la faille Java de l’an dernier (corrigée par oracle en un mois, correctif disponible dans les majs OSX 4 mois plus tard… il s’appellait comment, déjà, le trojan?)
Donc, ne t’inquiètes pas, je comprends tout à fait le problème, par contre il faudrait que tu revois un peu les notions de bases de la sécurité informatique, notamment la chaîne information gathering > listening > faille réseau (partages au hasard) > injection (tiens, c’est là qu’il va être intéressant le bout de code en question) > accès administrateur/root > maintien dans l’infra compromise. man metasploit, dude.
Le
23/05/2013 à
19h
53
Oungawak a écrit :
Sauf que dans ton premier exemple, MS offre une nouvelle possibilité aux utilisateurs fuck-authority-style en prenant un risque (même si franchement faible), et dans ton second “Google” (ils sont pas impliqué officiellement) crée juste un risque pour la sécurité de utilisateurs sous Windows parce qu’ils ont la flemme de suivre une procédure… Ou même de se contenter de la fermer, s’ils trouvent que c’est trop contraignant pour eux, en laissant MS se démerder tout seul derrière.
Désolé, et ce n’est en aucun cas contre toi (plusieurs posteurs ici ont eu la même réaction), mais depuis quand révéler une faille de sécurité constitue un risque pour la “sécurité des utilisateurs”? Au contraire, le fait qu’elle soit dissimulée et reste cachée aux yeux de Microsoft et des différents éditeurs de solution antivirus est bien plus dangereux. Là, ils sont obligés de réagir, et vite. Et tant mieux. Une faille cachée au vu et au su de tous, que ce soit dans un environnement Windows (en entreprise notamment), ou dans un environnement Unix/Linux/BSD, c’est une faille exploitable et probablement exploitée, sans correctif.
Il vaut bien mieux que les adminsys soient au courant afin qu’ils puissent prendre les mesures de prévention nécessaires, que maintenus dans l’ignorance, ça s’appelle la proactivité. La sécurité par l’obscurité, ça ne marche pas, suffit de rechercher un peu en ligne à ce sujet.
Au delà de la polémique “Google vs Microsoft”, ce genre de révélation est, pour moi, positive, dans le sens où il vaut mieux une faille connue, voire déjà référencée et intégrée à Metasploit par exemple (à fin d’audit), qu’une faille cachée aux yeux de tous et exploitée. Par contre, les commentaires du genre “ouin ouin il a révélé la faille fallait trop pas le vilain”, c’est de l’ignorance des principes de base de la sécurité informatique.
14 commentaires
OpenSSL : la faille Heartbleed menace la sécurité du web, des sites ferment
08/04/2014
Le 08/04/2014 à 15h 41
Une faille critique dans la gestion des connexions TLS/SSL fragilise Linux
05/03/2014
Le 05/03/2014 à 12h 12
cough cough, quand on fait bien les choses, on utilise pas gnutls mais openssl. Et ça fait un bail que l’info est connue, 2008 pour être précis, source mailing-list d’openldap:
http://www.openldap.org/lists/openldap-devel/200802/msg00072.html
le seul package installé ici dépendant de gnutls c’est… wireshark (étrangement). Tout le reste (firefox inclus), c’est openssl.
Bon, j’ai pas lu l’intégralité des commentaires, mais j’imagine la floppée de trolls qui ont dû se faire plaisir pour, au final, que dalle.
Selon Malek Boutih, les pires pulsions galopent sur le Far-West Internet
15/11/2013
Le 15/11/2013 à 12h 04
Ça me fera toujours halluciner cette volonté des personnes n’entravant rien au fonctionnement même du réseau de vouloir “contrôler Internet”. Comme si Internet était UN réseau, alors qu’il est composé de l’interconnexion de milliers de réseaux publics et privés, utilisant tous les mêmes protocoles. Ils sont restés au temps du Minitel? Ah, par contre, ça les emmerde les Edward Snowden. On aime jamais voir ses petites magouilles étalées à la vue de ses électeurs (et donc, de ceux qui payent leur salaire).
Et bon, ce n’est pas comme si Internet était un espace public, et donc, ce n’est pas comme si on n’avait pas déjà tout l’attirail judiciaire nécessaire pour s’occuper des diffamateurs, racistes et autres rigolos, pseudonymat ou pas. Il faudrait juste en avoir la volonté, mais on préfère emmerder le smicard qui a téléchargé 2 films pour passer la soirée entre amis après ses 7h de boulot quotidiennes.
Quant à la bafouille sur le “vilain piratage”: “la culture, c’est le partage”, Socrate, il y a 2500 ans. Apparemment on a pas vraiment avancé depuis.
La petite fin d’Amiga
09/07/2013
Le 12/07/2013 à 15h 25
Pour Mark Shuttleworth, Microsoft a fait le bon choix avec Windows 8
28/05/2013
Le 29/05/2013 à 18h 52
Le 29/05/2013 à 18h 42
Le 28/05/2013 à 20h 11
Le 28/05/2013 à 19h 20
Mmmh, j’avoue que j’ai du mal à saisir tout ce barouf autour des interfaces style Unity ou Metro… J’en suis pas fan du tout (tiling WM && cli roulaize!! :)), mais pour avoir essayé les deux (OS X et Gnome 3, aussi), une fois habitué, je ne vois pas vraiment où est le problème, si ce n’est dans le changement d’habitudes.
Là où ça me fait quand même bien rigoler, c’est que, sous Ubuntu (ou toute autre distribution linux), rien n’empêche d’installer un autre environnement de bureau ou gestionnaire de fenêtres en, allez, trois clics ou un apt-get install xfce, et sous 8, on peut toujours retrouver ses habitudes avec quelques logiciels supplémentaires (bon, c’est moins pratique, et sûrement plus crade, mais là aussi faisable en quelques recherches).
Donc, comme d’hab, les gens se plaignent, ne veulent pas faire l’effort de chercher un minimum, encore moins de bidouiller un peu, et ouvrent leurs gueules sur le Grand Ternet…
Windows : une faille 0day rendue publique par un ingénieur de chez Google
23/05/2013
Le 23/05/2013 à 20h 59
Le 23/05/2013 à 20h 47
Le 23/05/2013 à 20h 31
Le 23/05/2013 à 20h 18
f* double post :/
Le 23/05/2013 à 20h 16
Le 23/05/2013 à 19h 53