 Une faille de sécurité majeure découverte sous Linux, Réactions à la publication du 21/10/2016 |
 |
Bienvenue invité ( Connexion | Inscription )
  |
 21 Oct 2016, 06:36
Message
#1
|
|
 BIDOUILLE Guru  Groupe : Admin Messages : 55 356 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3  |
Une faille baptisée CVE-2016-5195 a été découverte sous Linux. Elle touche toutes les versions depuis au moins 9 ans.
Elle permet localement une escalade de privilèges permettant de prendre le contrôle total de la machine. La faille vient d'être corrigée par les développeurs dans le noyau du système et une mise à jour de ce dernier sera rapidement proposée par les divers éditeurs. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
 |
 
|
|
21 Oct 2016, 07:44
Message
#2
|
|
 Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
De nombreux objets connectés qui tournent avec une version de linux ne verront jamais leur noyau mis à jour : routeurs, caméras, etc
-------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
|
|
21 Oct 2016, 08:23
Message
#3
|
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 356 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Citation (yponomeute @ 21 Oct 2016, 08:44)  De nombreux objets connectés qui tournent avec une version de linux ne verront jamais leur noyau mis à jour : routeurs, caméras, etc Pour le moment l'exploitation de la faille n'est possible qu'en local. Donc à moins de brancher une clé USB dessus... -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
|
|
21 Oct 2016, 08:32
Message
#4
|
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
En même temps pour les objets connectés il suffit d'arriver à mémoriser "admin / admin" pour devenir un pirate en puissance
-------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
|
|
21 Oct 2016, 08:47
Message
#5
|
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 212 Inscrit : 15 Nov 2005 Membre no 49 996 |
Citation (yponomeute @ 21 Oct 2016, 09:32) En même temps pour les objets connectés il suffit d'arriver à mémoriser "admin / admin" pour devenir un pirate en puissance http://www.commitstrip.com/fr/2016/10/14/g...-adminpassword/
-------------------- |
|
|
|
|
21 Oct 2016, 08:58
Message
#6
|
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 289 Inscrit : 27 Oct 2010 Membre no 160 569 |
L'exploit en question : https://github.com/dirtycow/dirtycow.github...ster/dirtyc0w.c Effectivement... ca a fonctionné chez moi C'est assez critique car un simple soft ne necessitant pas le root pourrait embarquer ce bout de code et devenir un vecteur d'attaque. -------------------- Hackintosh i7-6850K OC 4.3ghz, 32go ram, gtx 1080 8go, Samsung SSD 850 EVO 1 To, Sierra 10.12.6
|
|
|
|
|
21 Oct 2016, 09:07
Message
#7
|
|
 Adepte de Macbidouille Groupe : Membres Messages : 45 Inscrit : 10 Sep 2003 Lieu : Créteil, 94 Membre no 9 530 |
Il semblerait qu'en fait ce bug soit assez ancien, et juste redécouvert récemment : https://git.kernel.org/cgit/linux/kernel/gi...bdbc7d67ed8e619
-------------------- Si tu ne parviens pas à tirer de l'eau d'un puits, n'en déduis pas qu'il est vide, mais que peut être ta corde est trop courte.
|
|
|
|
|
21 Oct 2016, 11:36
Message
#8
|
|
 Macbidouilleur d'Or ! Groupe : Membres Messages : 4 894 Inscrit : 24 Apr 2003 Lieu : Depuis chez lui Membre no 7 276 |
Citation (SartMatt @ 21 Oct 2016, 09:47) Citation (yponomeute @ 21 Oct 2016, 09:32) En même temps pour les objets connectés il suffit d'arriver à mémoriser "admin / admin" pour devenir un pirate en puissance http://www.commitstrip.com/fr/2016/10/14/g...-adminpassword/Il aurait suffi de mettre "petitebite" comme mot de passe. 90 % des utilisateurs mâles auraient fait l'effort de mot de passe dans les minutes qui suivent sa découverte. Les 10 % restants seraient des gens qui s'en foutent ou pour qui cette appellation serait déjà flatteuse. -------------------- « Ayez confiance, je sais ce que je fais. »
|
|
|
|
|
21 Oct 2016, 14:01
Message
#9
|
|
 Macbidouilleur d'Or ! Groupe : Membres Messages : 15 387 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Citation (El Bacho @ 21 Oct 2016, 06:36) Citation (SartMatt @ 21 Oct 2016, 09:47) Citation (yponomeute @ 21 Oct 2016, 09:32) En même temps pour les objets connectés il suffit d'arriver à mémoriser "admin / admin" pour devenir un pirate en puissance http://www.commitstrip.com/fr/2016/10/14/g...-adminpassword/Il aurait suffi de mettre "petitebite" comme mot de passe. 90 % des utilisateurs mâles auraient fait l'effort de mot de passe dans les minutes qui suivent sa découverte. Les 10 % restants seraient des gens qui s'en foutent ou pour qui cette appellation serait déjà flatteuse. J'aime ca moi me vanter, pi ca ira bien comme mot-de-passe avec ce que je recois dans mes emails 
-------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
|
|
21 Oct 2016, 22:51
Message
#10
|
|
 Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
9 années quand meme.. c'est long.
je pensais Linux (le monde Linux) à l'abris de ce genre de faille (genre hyper longue à repérer) -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
|
|
22 Oct 2016, 00:15
Message
#11
|
|
 Macbidouilleur d'Or ! Groupe : Membres Messages : 4 767 Inscrit : 18 Dec 2003 Lieu : Montréal Membre no 12 595 |
Citation (raoulito @ 21 Oct 2016, 17:51) 9 années quand meme.. c'est long. je pensais Linux (le monde Linux) à l'abris de ce genre de faille (genre hyper longue à repérer) Non, il ne faut se fier à personne pour ce genre de choses parce qu'avec Linux l'enjeux est très élevé. La prudence est vraiment de mise. Ce message a été modifié par Pixelux - 22 Oct 2016, 00:16. -------------------- |
|
|
|
|
22 Oct 2016, 09:48
Message
#12
|
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
Citation (raoulito @ 21 Oct 2016, 23:51) 9 années quand meme.. c'est long. je pensais Linux (le monde Linux) à l'abris de ce genre de faille (genre hyper longue à repérer) C'est la vitesse à laquelle les failles sont comblées qui est importante. -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
|
|
22 Oct 2016, 13:32
Message
#13
|
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 212 Inscrit : 15 Nov 2005 Membre no 49 996 |
Citation (yponomeute @ 22 Oct 2016, 10:48) Citation (raoulito @ 21 Oct 2016, 23:51) 9 années quand meme.. c'est long. je pensais Linux (le monde Linux) à l'abris de ce genre de faille (genre hyper longue à repérer) C'est la vitesse à laquelle les failles sont comblées qui est importante. Parce que s'il y a eu 9 ans entre l'introduction de sa faille et sa publication et correction, il est tout a fait possible que des personnes malveillantes aient en fait déjà trouvé la faille depuis longtemps, mais se la soient gardée privée pour l'exploiter à leur profit... -------------------- |
|
|
|
|
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
| Nous sommes le : 1st June 2024 - 21:42 |