Une faille de sécurité découverte dans les serveurs HTTP Apache, Réactions à la publication du 04/04/2019 |
Bienvenue invité ( Connexion | Inscription )
Une faille de sécurité découverte dans les serveurs HTTP Apache, Réactions à la publication du 04/04/2019 |
4 Apr 2019, 06:43
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 328 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Apache est de très loin le système de serveur HTTP le plus utilisé.
Une faille dévoilée sous la référence CVE-2019-0211 a été dévoilée. Elle permet à une personne ayant un accès local ou ayant des privilèges restreints sur un serveur à distance de provoquer une escalade de ses privilèges et de prendre le contrôle total de la machine. Cette faille est donc critique, étant donné que bon nombre de services internet sont maintenant gérés par des géants comme Amazon, qui partagent leurs ressources entre les clients. La faille touche les versions 2.4.17 à 2.4.38 d’Apache lorsqu’elle s’exécute sur des systèmes de type UNIX, 2 millions de machines qui sont en cours de mise à jour pour y mettre fin. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
4 Apr 2019, 08:59
Message
#2
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 960 Inscrit : 6 May 2004 Lieu : under ze couette Membre no 18 500 |
donc Mac Os X de base et server sont impactés directement ... ! Puisque Mojave est fourni en 2.4.34 de base.... et la 2.4.17 ca date de... euhh.. Capitan ?
-------------------- <= attention, cet individu est énervant, exécrable, hautain, prétentieux, professoral, d'un humour douteux et, de surcroit, disciple de courants de pensées qui sont dangeureuses pour notre bonne société francaise. hop.
|
|
|
4 Apr 2019, 09:03
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 674 Inscrit : 3 Nov 2003 Lieu : CUL (Communauté Urbaine de Lille !) Bon Appartement Chaud Membre no 11 246 |
On n'en finira jamais dans cette course entre "fabricants de coffres-forts" et "futurs cambrioleurs" !
Plus gros le blindage, plus subtile la protection et plus puissant le chalumeau, plus malin le pirate ! -------------------- iMac 27" Retina 5K 1To Fusion drive 8 Go RAM Intel Core I5 quadricœur à 3,5 GHz Mojave 10.14.6 , iMac Intel Core I5 3,1 GHz 1To (El Capitan 10.11.6 depuis le 13/9/2016) en rade carte mère !, MacBook Pro 17" 500 Go Snow Leopard, iMac G5 20" PPC Tiger 250 Go Rev A, iPhone 14 128Go OS 16.1.1 et SONY pour la photo numérique Minolta pour l'argentique Pink #FD3F92 Breton MB Attention aux huîtres, SURTOUT celles qui mangent des oiseaux ! How much wood would a woodchuck chuck if a woodchuck could chuck wood ? |
|
|
4 Apr 2019, 13:06
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 371 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
On n'en finira jamais dans cette course entre "fabricants de coffres-forts" et "futurs cambrioleurs" ! Plus gros le blindage, plus subtile la protection et plus puissant le chalumeau, plus malin le pirate ! En fait non, c'est un cas où la force des assaillants dépends essentiellement de la faiblesse de la défense, une fois passé un certain niveau des deux. C'est l'augmentation de complexité des systèmes dans leur ensemble, mais aussi de chaque unité individuellement, qui est ingérable et créé des failles de sécurité. Un exemple typique, Chrome, avec son "Service de prédiction pour charger plus rapidement les pages" (void dans Chrome -> Préférences -> Avancées). Ça permet de charger plus rapidement les pages dont il y a des liens dans ce que l'on regarde actuellement, et c'est activé par Défault (plus chez moi). Mais en revanche ça peut faire 3 leaks de données utilisables pour des scénarios de prise d'empreinte:
Un système pratique, complexe (il faut lire la doc pour comprendre), mais j'ai fait un proof-of-concept à mon travail et depuis je suis effaré... Ce message a été modifié par iAPX - 4 Apr 2019, 13:13. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
4 Apr 2019, 14:41
Message
#5
|
|
Nouveau Membre Groupe : Membres Messages : 16 Inscrit : 27 Dec 2006 Membre no 76 594 |
Apache est de très loin le système de serveur HTTP le plus utilisé. en fait aujourd'hui c'est "de très loin avec nginx": nginx 41% apache 43% IIS 8% https://w3techs.com/technologies/overview/web_server/all |
|
|
5 Apr 2019, 00:13
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 767 Inscrit : 18 Dec 2003 Lieu : Montréal Membre no 12 595 |
A force de lire des news pareil.
Je me rends de plus en plus à l'évidence que je dois absolument trouver un moyen pour avoir une conversation avec un bon historien. Ils sont où les Goethe, Bach, Lebnitz, Ensteing, Darwin etc. Parce que là, au point où on en est: on fait vraiment dur. À l'évidence le système est totalement pourri à l'os. Sincèrement, je suis complètement sidéré par le niveau de bêtises qui règne. Ça me semble être totalement et complètement fêlé. Ce message a été modifié par Pixelux - 5 Apr 2019, 00:23. -------------------- |
|
|
10 Jan 2020, 15:32
Message
#7
|
|
Adepte de Macbidouille Groupe : Membres Messages : 188 Inscrit : 12 Sep 2001 Lieu : Lille Membre no 786 |
Bonjour,
Est-ce que si on met à jour manuellement Apache de 2.4.34 à 2.4.38 sous Mojave 10.14.6 on risque de perdre cette MAJ si une hypotétique 10.14.7 sortait ? Quelqu'un sait il comment mettre à jour Apache en 2.4.38 ? Possible ? Déconseillé ? Est-ce qu'on doit forcément passer par Homebrew si on ne veut pas être dépendant des Mises à jour Apple ? Merci beaucoup pour vos info (et merci à MacBid !) AF -------------------- --------------------------------------------------------------------------------
MacBook Pro - Cube - G3 BB - iMac G3 DV - Performa - Classic - etc... -------------------------------------------------------------------------------- |
|
|
Nous sommes le : 28th March 2024 - 20:51 |