IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Une faille d'authentification majeure découverte dans dans libssh, Réactions à la publication du 17/10/2018
Options
Lionel
posté 17 Oct 2018, 05:36
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 55 327
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



libssh est une implémentation de Secure Shell très largement utilisée pour sécuriser des serveurs et y accéder à distance.
Une faille de sécurité triviale y a été découverte. Elle est présente depuis la version 0.6 publiée en 2014 et elle a depuis lors rendu les serveurs l'utilisant totalement transparents à une attaque.
Il suffit en effet de modifier une commande envoyée au serveur pour que ce dernier donne un plein accès à n'importe qui, comme s'il avait les accréditations nécessaires.
La faille devrait être rapidement comblée mais déjà se pose la question sur la manière dont une faille tellement triviale a pu passer les vérifications et subsister pendant plusieurs années sans que personne ne s'en rende compte.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
ziggyspider
posté 17 Oct 2018, 07:43
Message #2


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 358
Inscrit : 25 Nov 2007
Membre no 100 877



"subsister pendant plusieurs années sans que personne ne s'en rende compte" …
Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait.


--------------------
How far can too far go ?
(The Cramps, Coluche & moi)
iMac 27", i5 3,7 GHz, 40Go ram, VCV Rack, Blender, Arturia V serie, Adobe CC, Eurorack modulaire, Behringer Model D, Behringer Neutron, MS20 mini, Arturia MiniBrute, Arturia Beatstep Pro, Arturia Keystep, DarkTime, Dark Energy II, Akai EIEpro, Oxygen8, iMac 24", PowerBook G4, Power Mac G4 Silver, PowerMac G3, Mac SE …
Go to the top of the page
 
+Quote Post
ob1
posté 17 Oct 2018, 08:34
Message #3


Adepte de Macbidouille
*

Groupe : Membres
Messages : 210
Inscrit : 2 Oct 2004
Lieu : Aix-en-Provence
Membre no 24 515



Citation (ziggyspider @ 17 Oct 2018, 08:43) *
"subsister pendant plusieurs années sans que personne ne s'en rende compte" …
Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait.

libssh est open source, non ?
Donc la communauté pouvait y accéder.
Go to the top of the page
 
+Quote Post
WipeOut
posté 17 Oct 2018, 09:14
Message #4


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 848
Inscrit : 27 Jun 2004
Lieu : Suisse
Membre no 20 512



La NSA devait la connaitre cette faille wink.gif


--------------------
Mac Studio M1 / Mac OS X 10.14.x / 2x Asus PA278QV / 2x Airport Extreme AC Tower / iPhone SE 2022 / MacBook Pro 13" 2009 / Mac Mini alias MediaCenter

PC Gaming ONLY : Ryzen 7700X, Asus ROG Strix X670E-A Gaming WIFI Ram 32 GB, Asus TUF 3080Ti, Tour Pure Base 500DX White, Ventirad Be Quiet! Dark Rock Pro 4, Alim 750W CORSAIR HX750i, Ventilos : Be Quiet! & Noctua
Go to the top of the page
 
+Quote Post
Macmmouth
posté 17 Oct 2018, 10:32
Message #5


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 956
Inscrit : 22 May 2016
Membre no 198 901



Citation (ob1 @ 17 Oct 2018, 09:34) *
Citation (ziggyspider @ 17 Oct 2018, 08:43) *
"subsister pendant plusieurs années sans que personne ne s'en rende compte" …
Rien n'est moins sûr ! N'importe quel malveillant découvrant cette faille ne le chanterait pas sur les toits mais l'exploiterait.

libssh est open source, non ?
Donc la communauté pouvait y accéder.


Avoir accès au code source ne signifie pas tout connaitre de son comportement.

Si c'était le cas, les bugs n'existeraient pas.
Go to the top of the page
 
+Quote Post
yponomeute
posté 17 Oct 2018, 10:38
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 969
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Citation (ob1 @ 17 Oct 2018, 09:34) *
libssh est open source, non ?
Donc la communauté pouvait y accéder.

C'est qui la communauté ?

Ce message a été modifié par yponomeute - 17 Oct 2018, 10:44.


--------------------
MBP 2017 15" avec clavier pourri et touchbar inutile
Go to the top of the page
 
+Quote Post
sebp
posté 17 Oct 2018, 11:17
Message #7


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 412
Inscrit : 22 Jul 2008
Membre no 118 358



Il ne me semble pas inutile de rappeler que la plupart des implémentations de serveurs SSH (comme OpenSSH, pour ne citer que le plus connu et utilisé d'entre eux) ne s'appuient pas sur cette bibliothèque de fonctions.
Ça limite tout de même fortement la portée de ce bogue.
Go to the top of the page
 
+Quote Post
iAPX
posté 17 Oct 2018, 12:12
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 371
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (sebp @ 17 Oct 2018, 06:17) *
Il ne me semble pas inutile de rappeler que la plupart des implémentations de serveurs SSH (comme OpenSSH, pour ne citer que le plus connu et utilisé d'entre eux) ne s'appuient pas sur cette bibliothèque de fonctions.
Ça limite tout de même fortement la portée de ce bogue.

+100

Ce matin en commençant à lire des problèmes sur libssh j'ai eu des palpitations, j'ai pensé à nos serveurs, j'étais livide jusqu'à ce que je m'aperçoive vraiment de la portée du truc.
C'est important, et une bug très idiote (ou bien conçue!) mais ça n'est pas une catastrophe smile.gif


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
linus
posté 17 Oct 2018, 23:00
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 651
Inscrit : 24 Jun 2004
Lieu : Grenoble
Membre no 20 409



Informatique et sécurité semblent de plus en plus être des contraires.
Alors, "sécurité informatique", oxymore ? antilogie ?

Ce message a été modifié par linus - 17 Oct 2018, 23:04.
Go to the top of the page
 
+Quote Post
Sethy
posté 17 Oct 2018, 23:20
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 155
Inscrit : 12 Jul 2011
Membre no 168 767



Citation (linus @ 18 Oct 2018, 00:00) *
Informatique et sécurité semblent de plus en plus être des contraires.
Alors, "sécurité informatique", oxymore ? antilogie ?


Non, raccourci car il manque un terme à l'équation : finance (enfin ce serait plutôt l'expression "décideur doté de bon sens")


--------------------
iMac 21,5" mid 2011 - core i7 - 24 GB - HD 6970M - Maverick
MacBook Air 2014 - core i3 - 8 GB - 128 GB - Maverick
iPad mini 1- 64 GB - iOS 7
Hack X99 - 970 GTX 2015 - Gigabyte X99-UD4 - i7 5830K - Yosemite - Unibeast Lien
DS-918+ - Syno Primary - DS-412+ - Syno Back-up

Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 28th March 2024 - 11:58