Une faille d'authentification majeure découverte dans dans libssh, Réactions à la publication du 17/10/2018 |
Bienvenue invité ( Connexion | Inscription )
Une faille d'authentification majeure découverte dans dans libssh, Réactions à la publication du 17/10/2018 |
17 Oct 2018, 05:36
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 327 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
libssh est une implémentation de Secure Shell très largement utilisée pour sécuriser des serveurs et y accéder à distance.
Une faille de sécurité triviale y a été découverte. Elle est présente depuis la version 0.6 publiée en 2014 et elle a depuis lors rendu les serveurs l'utilisant totalement transparents à une attaque. Il suffit en effet de modifier une commande envoyée au serveur pour que ce dernier donne un plein accès à n'importe qui, comme s'il avait les accréditations nécessaires. La faille devrait être rapidement comblée mais déjà se pose la question sur la manière dont une faille tellement triviale a pu passer les vérifications et subsister pendant plusieurs années sans que personne ne s'en rende compte. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
17 Oct 2018, 07:43
Message
#2
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 358 Inscrit : 25 Nov 2007 Membre no 100 877 |
"subsister pendant plusieurs années sans que personne ne s'en rende compte" …
Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait. -------------------- How far can too far go ?
(The Cramps, Coluche & moi) iMac 27", i5 3,7 GHz, 40Go ram, VCV Rack, Blender, Arturia V serie, Adobe CC, Eurorack modulaire, Behringer Model D, Behringer Neutron, MS20 mini, Arturia MiniBrute, Arturia Beatstep Pro, Arturia Keystep, DarkTime, Dark Energy II, Akai EIEpro, Oxygen8, iMac 24", PowerBook G4, Power Mac G4 Silver, PowerMac G3, Mac SE … |
|
|
17 Oct 2018, 08:34
Message
#3
|
|
Adepte de Macbidouille Groupe : Membres Messages : 210 Inscrit : 2 Oct 2004 Lieu : Aix-en-Provence Membre no 24 515 |
"subsister pendant plusieurs années sans que personne ne s'en rende compte" … Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait. libssh est open source, non ? Donc la communauté pouvait y accéder. |
|
|
17 Oct 2018, 09:14
Message
#4
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 848 Inscrit : 27 Jun 2004 Lieu : Suisse Membre no 20 512 |
La NSA devait la connaitre cette faille
-------------------- Mac Studio M1 / Mac OS X 10.14.x / 2x Asus PA278QV / 2x Airport Extreme AC Tower / iPhone SE 2022 / MacBook Pro 13" 2009 / Mac Mini alias MediaCenter
PC Gaming ONLY : Ryzen 7700X, Asus ROG Strix X670E-A Gaming WIFI Ram 32 GB, Asus TUF 3080Ti, Tour Pure Base 500DX White, Ventirad Be Quiet! Dark Rock Pro 4, Alim 750W CORSAIR HX750i, Ventilos : Be Quiet! & Noctua |
|
|
17 Oct 2018, 10:32
Message
#5
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 956 Inscrit : 22 May 2016 Membre no 198 901 |
"subsister pendant plusieurs années sans que personne ne s'en rende compte" … Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait. libssh est open source, non ? Donc la communauté pouvait y accéder. Avoir accès au code source ne signifie pas tout connaitre de son comportement. Si c'était le cas, les bugs n'existeraient pas. |
|
|
17 Oct 2018, 10:38
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
libssh est open source, non ? Donc la communauté pouvait y accéder. C'est qui la communauté ? Ce message a été modifié par yponomeute - 17 Oct 2018, 10:44. -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
17 Oct 2018, 11:17
Message
#7
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 412 Inscrit : 22 Jul 2008 Membre no 118 358 |
Il ne me semble pas inutile de rappeler que la plupart des implémentations de serveurs SSH (comme OpenSSH, pour ne citer que le plus connu et utilisé d'entre eux) ne s'appuient pas sur cette bibliothèque de fonctions.
Ça limite tout de même fortement la portée de ce bogue. |
|
|
17 Oct 2018, 12:12
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 371 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Il ne me semble pas inutile de rappeler que la plupart des implémentations de serveurs SSH (comme OpenSSH, pour ne citer que le plus connu et utilisé d'entre eux) ne s'appuient pas sur cette bibliothèque de fonctions. Ça limite tout de même fortement la portée de ce bogue. +100 Ce matin en commençant à lire des problèmes sur libssh j'ai eu des palpitations, j'ai pensé à nos serveurs, j'étais livide jusqu'à ce que je m'aperçoive vraiment de la portée du truc. C'est important, et une bug très idiote (ou bien conçue!) mais ça n'est pas une catastrophe -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
17 Oct 2018, 23:00
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 651 Inscrit : 24 Jun 2004 Lieu : Grenoble Membre no 20 409 |
Informatique et sécurité semblent de plus en plus être des contraires.
Alors, "sécurité informatique", oxymore ? antilogie ? Ce message a été modifié par linus - 17 Oct 2018, 23:04. |
|
|
17 Oct 2018, 23:20
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 155 Inscrit : 12 Jul 2011 Membre no 168 767 |
Informatique et sécurité semblent de plus en plus être des contraires. Alors, "sécurité informatique", oxymore ? antilogie ? Non, raccourci car il manque un terme à l'équation : finance (enfin ce serait plutôt l'expression "décideur doté de bon sens") -------------------- MacBook Air 2014 - core i3 - 8 GB - 128 GB - Maverick iPad mini 1- 64 GB - iOS 7 Hack X99 - 970 GTX 2015 - Gigabyte X99-UD4 - i7 5830K - Yosemite - Unibeast Lien DS-918+ - Syno Primary - DS-412+ - Syno Back-up |
|
|
Nous sommes le : 28th March 2024 - 11:58 |