Faille locale : passez en root comme rien !

kuri · Le 09/11/2009, à 20:52

Bigcake a écrit :

kuri a écrit :
l exploit (a la base wunderbar_emporium) est sorti un peu avant mi-aout, et ca a l air d en parler comme si c etait nouveau ?
J'ai pas compris la question mais j'ai l'impression que tu parle de cette faille
Ce post parle de celle la

le probleme est le meme, mais utilise differemment.
tant qu on peut pas mmap sur null, pas de probleme.

HymnToLife a écrit :

Link31 a écrit :
C'est ce qu'on appelle les distributions "grand public", les plus proches parmi l'écosystème GNU/Linux du niveau de sécurité habituel de Windows.
Pour Debian Lenny, ils ont normalement une bonne politique de sécurité, mais ça arrive à tout le monde de faire des bêtises.
La politique de sécurité d'Ubuntu est au moins aussi bonne que celle de Debian stable. Sans doute meilleure, même, puisque les mises à jour de sécurité y sont généralement disponibles plus rapidement.

j ai pas du tout cette impression, bien au contraire.
je n ai plus l url sous la main, mais un mec s etait amuse a surveiller 5-6 failles du kernel, et a regarder a quelles dates elles etaient fixees par les differentes distribs. Ubuntu etait parmis les plus mauvais.

HymnToLife · Le 09/11/2009, à 21:12

kuri a écrit :

HymnToLife a écrit :
Link31 a écrit :
C'est ce qu'on appelle les distributions "grand public", les plus proches parmi l'écosystème GNU/Linux du niveau de sécurité habituel de Windows.
Pour Debian Lenny, ils ont normalement une bonne politique de sécurité, mais ça arrive à tout le monde de faire des bêtises.
La politique de sécurité d'Ubuntu est au moins aussi bonne que celle de Debian stable. Sans doute meilleure, même, puisque les mises à jour de sécurité y sont généralement disponibles plus rapidement.
j ai pas du tout cette impression, bien au contraire.
je n ai plus l url sous la main, mais un mec s etait amuse a surveiller 5-6 failles du kernel, et a regarder a quelles dates elles etaient fixees par les differentes distribs. Ubuntu etait parmis les plus mauvais.

Un seul contre-exemple, parce que j'ai pas que ça à faire de les traquer tous. La faille dans udev découverte début avril (pour mémoire, udev ne vérifiait pas en recevent un NETLINK qu'il venait bien du kernel, ce qui permettait à un utilisateur local de passer root).

http://changelogs.ubuntu.com/changelogs/pool/main/u/udev/udev_124-9ubuntu0.2/changelog

udev (124-9ubuntu0.2) intrepid-security; urgency=low

  * SECURITY UPDATE: root privilege escalation via udev event spoofing.
    - Add debian/patches/81-netlink-owner-check.patch: backport upstream
      fixes (CVE-2009-1185).
  * SECURITY UPDATE: overflow in path name encoding.
    - Add debian/patches/82-encoding-overflow.patch: backport upstream
      fixes (CVE-2009-1186).

 -- Kees Cook <kees@ubuntu.com>  Wed, 08 Apr 2009 17:06:57 -0700

http://packages.debian.org/changelogs/pool/main/u/udev/udev_0.125-7+lenny3/changelog

 udev  (0.125-7+lenny1) stable-security; urgency=high

   * STABLE SECURITY UPDATE.
   * Added patch netlink-owner-check, backported by Ubuntu.
     Fixes a local privilege escalation to root exploitable by spoofed
     netlink messages (CVE-2009-1185).
   * Added patch encoding-overflow, backported by Ubuntu.
     Fixes a possible local DoS (udevd crash) (CVE-2009-1186).

 -- Marco d'Itri <md@linux.it>  Wed, 15 Apr 2009 22:16:17 +0200

Une semaine après. Oui, je sais, ce n'est pas une faille du noyau. Pour celles-là, Debian est seulement en retard d'un jour ou deux.

kuri · Le 09/11/2009, à 22:53

et la faille dont on parle (CVE-2009-3547) est corrige chez ubuntu ?
(je pose reellement la question, je ne trouve pas l info)

chez debian c est corrige depuis le 5 du mois, et sous arch, ca a tjs ete patch le mmap_min_addr

Dernière modification par kuri (Le 10/11/2009, à 08:50)

kuri · Le 10/11/2009, à 08:49

d ailleurs, je reviens sur un des premiers posts, car personne n a releve visiblement :

Zakhar a écrit :

Si ton PC est mal sécurisé et que quelqu'un parvient à s'y connecter à distance (genre en SSH), il pourra utiliser la faille.
... et j'espère qu'ils vont faire un backport dans les noyaux précédents !

si le mec arrive a se connecter a la machine en ssh (donc un compte existant, donc visiblement le compte user par defaut), il a de toute facon acces a sudo en tapant le meme mot de passe que celui qu il a utilise pour se log, donc pas besoin de se faire chier a taper 3 commandes alors que l invocation de sudo suffit

sudo saymal.

Dernière modification par kuri (Le 10/11/2009, à 08:50)

Kanor · Le 10/11/2009, à 09:28

kuri si je donne un accès ssh à ma machine la personne aura un compte user sans droite administration donc sans sudo

kuri · Le 10/11/2009, à 13:50

donc ce n est plus le compte "par defaut" qui va avec l esprit "pc desktop ubuntu tout simple" (puisque si tu cree un nouveau user, tu n es pas dans les sudoers, donc t es limite)
et ca casse avec l esprit "on fournit pas les -dev ni les outils de dev comme ca si un acces est trouve, le vilain ne pourra pas compiler son exploit pour l executer" (qui est largement contournable en compilant le truc sur sa machine, ou une VM disposant de la meme distro, ceci dit en passant), vu que la il faut le compiler l exploit.

j en reviens donc a ce qui a ete dit, si le mec arrive a se log sur ton pc en ssh, il lui suffit de sudo, et non de se faire chier a taper 3 lignes

et donc, la seule problematique concernant le mmap sur NULL, c est d avoir le mmap_min_addr a une autre valeur que 0.
le fait qu un mec obtienne un ssh sur ton pc c est d un tout autre ordre

Oliv Mérou · Le 10/11/2009, à 16:05

Salut Kuri,

Il doit y avoir une bonne raison pour que tu écrives sans apostrophes et sans accents ?

HymnToLife · Le 10/11/2009, à 16:13

kuri a écrit :

et la faille dont on parle (CVE-2009-3547) est corrige chez ubuntu ?
(je pose reellement la question, je ne trouve pas l info)
chez debian c est corrige depuis le 5 du mois, et sous arch, ca a tjs ete patch le mmap_min_addr

1 partout, la balle au centre... Faudrait que je fasse un script vite fait pour comparer les dates de fix de tous les CVE dans Debian et Ubuntu, et peut-être d'autres. Je serais curieux de voir ce que ça donnerait.

djiock · Le 10/11/2009, à 22:13

Oliv Mérou a écrit :

Salut Kuri,
Il doit y avoir une bonne raison pour que tu écrives sans apostrophes et sans accents ?

clavier qwerty certainement

anonyme1 · Le 10/11/2009, à 22:17

nan; kuri ne sait pas écrire
http://forum.ubuntu-fr.org/viewtopic.php?pid=902839#p902839

là et sur certains autres, des accents apparaissent, mais généralement, il a la flemme.

Grünt · Le 10/11/2009, à 22:20

HymnToLife a écrit :

La politique de sécurité d'Ubuntu est au moins aussi bonne que celle de Debian stable. Sans doute meilleure, même, puisque les mises à jour de sécurité y sont généralement disponibles plus rapidement.

Toi t'as jamais essayé Debian.
Quand t'as une version stable de Debian, c'est très simple: les seules mises à jour sont celles de sécurité. Elles sont dispos très rapidement.

HymnToLife · Le 10/11/2009, à 22:32

ǤƦƯƝƬ a écrit :

HymnToLife a écrit :
La politique de sécurité d'Ubuntu est au moins aussi bonne que celle de Debian stable. Sans doute meilleure, même, puisque les mises à jour de sécurité y sont généralement disponibles plus rapidement.
Toi t'as jamais essayé Debian.

J'utilisais Debian quand tu n'avais sans doute pas encore entendu parler de Linux.

compte supprimé · Le 10/11/2009, à 22:35

HymnToLife a écrit :

ǤƦƯƝƬ a écrit :
HymnToLife a écrit :
La politique de sécurité d'Ubuntu est au moins aussi bonne que celle de Debian stable. Sans doute meilleure, même, puisque les mises à jour de sécurité y sont généralement disponibles plus rapidement.
Toi t'as jamais essayé Debian.
J'utilisais Debian quand tu n'avais sans doute pas encore entendu parler de Linux.

Ça va dériver en réunion d'anciens combattants...

kuri · Le 13/11/2009, à 09:03

Screamer@onthelan a écrit :

nan; kuri ne sait pas écrire
http://forum.ubuntu-fr.org/viewtopic.php?pid=902839#p902839
là et sur certains autres, des accents apparaissent, mais généralement, il a la flemme.

c est pire que de la flemme, je ne souhaite pas en mettre
mais desfois mon inconscient en place, c est a ce moment la que je me trompe.

les accents saymal.
j en mettrai peut etre le jour ou tout le monde sera d accord pour le format a utiliser (iso-15, utf8, le bidule de macos ...)
en attendant, pas d accents epictoo
(ca fait deja pas mal d annees que j ai decide d ecrire sans accents)

Dernière modification par kuri (Le 13/11/2009, à 09:04)

Oliv Mérou · Le 13/11/2009, à 09:31

Pourtant, quand on écrit dans une langue, ben, si on veut être lu, faut écrire de manière lisible. L'accent n'est pas une option, il fait parti de notre alphabet. L'écriture SMS n'est pas la bienvenue sur le forum, ce n'est pas pour rien... Écrire de manière lisible c'est respecter ses lecteurs.

MdMax · Le 13/11/2009, à 11:46

kuri a écrit :

Screamer@onthelan a écrit :
nan; kuri ne sait pas écrire
http://forum.ubuntu-fr.org/viewtopic.php?pid=902839#p902839
là et sur certains autres, des accents apparaissent, mais généralement, il a la flemme.
c est pire que de la flemme, je ne souhaite pas en mettre
mais desfois mon inconscient en place, c est a ce moment la que je me trompe.
les accents saymal.
j en mettrai peut etre le jour ou tout le monde sera d accord pour le format a utiliser (iso-15, utf8, le bidule de macos ...)
en attendant, pas d accents epictoo
(ca fait deja pas mal d annees que j ai decide d ecrire sans accents)

Les accents c'est mal ?

Il est vrai que sur certains sites, les navigateurs ont du mal à trouver le bon "charset". Mais modifier la langue pour l'adapter à des bugs de sites ou de logiciels, c'est pour le moins étonnant. J'appelle cela une capitulation. La victoire de bugs ou de limitations sur la culture. Il n'est pas rare de trouver des incohérences entre une page de code dans un source HTML et la base de données. Mais comment s'en rendre compte si les accents ne sont pas utilisés ? Comment profiter de la richesse et diversité linguistique mondiale si on appauvrit tout en cultivant des limitations ?

Mais il est difficile d'en vouloir à kuri. Et si je parle de "limitations" c'est bien parce-que nous utilisons notre langue non seulement dans des champs texte mais aussi dans des adresses.
Exemple au hasard: http://www.impots.gouv.fr/

Mais où est donc passé l'accent circonflexe sur le o de impôts ? Si le gouvernement se permet de faire des fautes (même dans leur logo), pourquoi reprocher à kuri d'en faire aussi.

Lorsque l'ICANN a annoncé que les noms de domaine pourraient être ouverts à d'autres langues, j'ai immédiatement pensé à nos lettres accentuées et quelles seront les conséquences techniques.

On verra vite qui sont les plus grands défenseurs l'exception culturelle française et de la langue française.

Vous croyez qu'ils seront prêts rapidement ?
http://www.legifrance.gouv.fr/
http://www.education.gouv.fr/
http://www.sante-jeunesse-sports.gouv.fr/
http://www.defense.gouv.fr/
http://www.interieur.gouv.fr/
http://www.pandemie-grippale.gouv.fr/
http://www.polynesie-francaise.pref.gouv.fr/
http://www.competitivite.gouv.fr/
http://www.bison-fute.equipement.gouv.fr/
http://www.securite-informatique.gouv.fr/
etc...

kuri · Le 13/11/2009, à 14:27

J evoquerai aussi les petites droleries que l on a lorsque l on essai de faire communiquer des machines disposant d OS differents, entre eux.
Qui a deja cree un serveur samba sur un linux, sur lequel un macos vient creer des fichiers accentues ?
Et apres, avez vous essaye de mettre une 'etiquette' sur un fichier/dossier de ce partage samba, a partir du macos ?
Si oui, allez sur votre linux, et faites un ls pour voir le resultat.

Donc oui il y a aussi les dns, qui n integrent toujours pas les accents, il y a aussi certains systemes et logiciels.
Par exemple, si vous creez un petit jeu pour nintendo DS (purement par hasard), et que c est vous mappez la liaison touche(clavier_visuel_universel)->font, vous faites tous les caracteres comme les accents ? vous faites vraiment tous les accents ? et le mandarin ?

Je suis contre le SMS, mais aussi contre les accents.
Je doute que mes phrases soient aussi illisibles que du SMS, et je doute que si je vous mettai un texte (accentue) en iso15 alors que vous vous attendez a lire de l UTF-8 (ou inversement) ne vous pose pas autant de soucis que le SMS.

Il m arrive aussi de travailler en qwerty (oui, au boulot). Il n est pas plaisant d avoir a travailler sur des fichiers accentues a ce moment la.

Mais je suppose qu il a fallut connaitre tous ces problemes pour s en rendre compte (notamment y a 6-7 ans quand on nous a balance nos distros en utf8 et que personne ne connaissait l utf8, et que tous nos potes parlaient en iso15).

Quand microsoft, apple, et les distro linux seront d accord pour utiliser l utf8 (ou l iso15 je m en fou finalement), que ce soit au niveau des logiciels ou des FS, alors je verrai pour reecrire avec des accents.

Ca doit faire 10ans qu on nous dit que les accents dans les nom de domaine ca pose pas de soucis. mais en iso15 ou en utf8 ? codes sur 1 ou 2 char ? ha, ha, ha, on ne sait pas!
Parce que si tu register un domaine avec des accents, codes sur 2 octets, alors que ton visiteur code ses accents sur 1 seul, il n aura pas la possibilite de consulter ton site, saycong! alors on fait quoi ? on register un nom de domaine pour ceux qui sont sous linux, un nom de domaine pour ceux sous windows, et encore un pour ceux qui ont des pommes ?
Je suis donc le plus compatible ici, je n utilise pas de caractere dont la valeur decimale depasse 127. le simple quote, je ne le met pas par soucis de coherence, mais il est vrai que sa position 39 ne pose aucun probleme technique.

Car je sais pas vous, mais moi j ai du faire un outil qui migre des logs, logs qui ont etes tantot ecris en iso15, tantot en utf8. Et bien dans mon code C, j ai des choses degueulasses comme ca :
sprintf(mask, "-- Mise %c%c jour du cube", -61, -96);
sprintf(mask, "-- Mise %c jour du cube", -32);

car je rappelle, sprintf (comme toute fonction qui manipule des chaines de caractere) utilise des char, et non des unsigned char.

pour les FS windows :
* MS-DOS : A base d ASCII (mais trop vieux pour avoir une partition pour des tests).
* FAT32 : Windows-1258, Base d ASCII sur les 127 premiers caracteres, apres c est du "windows style".
* NTFS : UTF-8.

si tu migres un fichier accentue de MS-DOS a FAT32, tu perds les accents.
si tu migres un fichier accentue de FAT32 a NTFS, tu perds les accents.

concernant linux :
Pour monter une partition FAT32 sans avoir de problemes d encodage, il faut la monter avec l option utf-8 (donc dans le mount -o), cette option se chargera de supporter l encodage windows-1258 qui est repris par l encodage iso8859-14 sous linux (et le relai windows-1258 <-> utf-8 sera pris en compte)

Dernière modification par kuri (Le 13/11/2009, à 14:49)

Oliv Mérou · Le 13/11/2009, à 14:36

kuri a écrit :

<pas lu pour cause de manque d'accents>

Si tu veux être lu, mets les accents

et les apostrophes !

Dernière modification par Oliv Mérou (Le 13/11/2009, à 14:36)

kuri · Le 13/11/2009, à 14:48

tu n en aura pas.

Grünt · Le 13/11/2009, à 14:58

ǤƦƯƝƬ

kuri · Le 13/11/2009, à 15:05

c7 a4 c6 a6 c6 af c6 9d c6 ac

MdMax · Le 13/11/2009, à 15:07

Oliv Mérou a écrit :

kuri a écrit :
<pas lu pour cause de manque d'accents>
Si tu veux être lu, mets les accents
et les apostrophes !

Oliv... toi tu devrais également refuser de te connecter au site des impôts.

@kuri, oui certes, je dirais même que ce n'est pas uniquement un problème informatique. Même sur du papier ça pose problème. Qui n'a jamais vu un fax ou une photocopieuse mal réglée massacrer des accents, ponctuations, cédilles, etc... ?

Mais à chaque problème il faut trouver des solutions. Sinon tu pourrais très bien décider d'écrire en anglais et interdir l'ensemble des autres langues. Bref, la logique les langues c'est chiant, il faut traduire et gérer des "code pages". Et tant qu'on y est on supprime aussi les conversions de devises, comme ça en ne gardant que l'USD, c'est plus simple. Et puis quelle idée d'utliser Samba ou Mac OS ? Des serveurs Windows partout, comme ça c'est réglé !

Oliv Mérou · Le 13/11/2009, à 15:14

kuri a écrit :

tu n en aura pas.

Au moins j'aurai essayé.

Oliv Mérou · Le 13/11/2009, à 15:16

MdMax a écrit :

Oliv... toi tu devrais également refuser de te connecter au site des impôts.

Ben, je m'y connecte jamais... Je reçois la déclaration, je vérifie l'authenticité de la déclaration pré-remplie, et j'expédie. Nul besoin du site des impôts pour moi.

Dernière modification par Oliv Mérou (Le 13/11/2009, à 15:17)

Bigcake · Le 13/11/2009, à 15:30

@kuri: Ce que tu dit est cohérent sauf cette phrase.

kuri a écrit :

Je suis donc le plus compatible ici, je n utilise pas de caractere dont la valeur decimale depasse 127. le simple quote, je ne le met pas par soucis de coherence, mais il est vrai que sa position 39 ne pose aucun probleme technique.

Tu dit ne pas utiliser les accents pour a cause des probleme technique et donc par cohérence avec ce défaut technique tu n'utilise pas le caractère ' qui lui n'en pose aucun ....... sur ce point la c'est plus de la flemme due au changement de clavier, je pense
Pourtant, je trouve que c'est l'apostrophe qui manque le plus dans tes phrases, les c', d', m', n' qu', t', et l' sans le ' sont ignobles (quelque soit la langue d'ailleurs:()

c7 a4 =g, c6 a6 = r, c6 af = u, c6 9d = n, c6 ac = t, c'est joli sa

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#101 Le 09/11/2009, à 20:52

Re : Faille locale : passez en root comme rien !

#102 Le 09/11/2009, à 21:12

Re : Faille locale : passez en root comme rien !

#103 Le 09/11/2009, à 22:53

Re : Faille locale : passez en root comme rien !

#104 Le 10/11/2009, à 08:49

Re : Faille locale : passez en root comme rien !

#105 Le 10/11/2009, à 09:28

Re : Faille locale : passez en root comme rien !

#106 Le 10/11/2009, à 13:50

Re : Faille locale : passez en root comme rien !

#107 Le 10/11/2009, à 16:05

Re : Faille locale : passez en root comme rien !

#108 Le 10/11/2009, à 16:13

Re : Faille locale : passez en root comme rien !

#109 Le 10/11/2009, à 22:13

Re : Faille locale : passez en root comme rien !

#110 Le 10/11/2009, à 22:17

Re : Faille locale : passez en root comme rien !

#111 Le 10/11/2009, à 22:20

Re : Faille locale : passez en root comme rien !

#112 Le 10/11/2009, à 22:32

Re : Faille locale : passez en root comme rien !

#113 Le 10/11/2009, à 22:35

Re : Faille locale : passez en root comme rien !

#114 Le 13/11/2009, à 09:03

Re : Faille locale : passez en root comme rien !

#115 Le 13/11/2009, à 09:31

Re : Faille locale : passez en root comme rien !

#116 Le 13/11/2009, à 11:46

Re : Faille locale : passez en root comme rien !

#117 Le 13/11/2009, à 14:27

Re : Faille locale : passez en root comme rien !

#118 Le 13/11/2009, à 14:36

Re : Faille locale : passez en root comme rien !

#119 Le 13/11/2009, à 14:48

Re : Faille locale : passez en root comme rien !

#120 Le 13/11/2009, à 14:58

Re : Faille locale : passez en root comme rien !

#121 Le 13/11/2009, à 15:05

Re : Faille locale : passez en root comme rien !

#122 Le 13/11/2009, à 15:07

Re : Faille locale : passez en root comme rien !

#123 Le 13/11/2009, à 15:14

Re : Faille locale : passez en root comme rien !

#124 Le 13/11/2009, à 15:16

Re : Faille locale : passez en root comme rien !

#125 Le 13/11/2009, à 15:30

Re : Faille locale : passez en root comme rien !

Pied de page des forums