Des p'tit trous, encore des p'tit trous (air connu)

[url="http://mi2g.com/"]mi2g.com[/url]

The Monthly Intelligence analyses and collects data from over 7,000 hacker groups worldwide and provides detailed monthly and year-to-date information on:

  • Digital attack hot spots
  • Emerging threats to digital security
  • Economic damage estimates
  • Top 20 hacker groups
  • Most vulnerable operating systems
  • Trends for vulnerabilities, viruses & denial of service attacks
Designed by [b]mi2g[/b], the world leader in digital risk, the [b]SIPS[/b] database has information on over 220,000 overt digital attacks. Intelligence citations include the 2002 Computer Security Institute (CSI) / Federal Bureau of Investigation (FBI) Computer Security Issues and Trends Survey [Vol. VIII, No. 1 - Spring 2002]. This report is a 'must read ' for employees in government, intelligence, corporates and the security industry.
[i]Ce message a été édité par xentyr le 17/09/2003[/i]

 Je fais du ssh sous windows et je le revendique, Putty POWAAH. Je tiens quand meme à preciser qeu suels les serveurs ssh sont touchés, donc Putty n’est pas vulnerable etant donné que ce n’est qu’un client. De plus une nouvelle version du serveur OpenSSH est sorti le jour meme.

 Ensuite je vois pas l’interet de poster une telle news, les admins de serveurs competents sont dejà passés à openssh 3.7, les autres peuvent faire leur boullot tout seuls. Les geeks qui ont un serveur SSH ne craignent pas grand chose etant donné le fait qu’une attaque exploitant la faile serait tres dure à mettre en place et que les personnes capable de faire une telle attaque.
 

EDIT : Pour mettre les points sur les i, bah oui ça sert à rien de poster des news sur les failles de securités quand elles sont à la fois peu dangerereuses et tres limitées. On decouvre des dizaines de failles par jour. Par quand on a une faille importante avec possibilité de prise de controle de la machine ou pouvant avoir des repercusion impôrtantes je dis pas.
Ce message a été édité par majinboo le 17/09/2003

majinboo, si on part dans ton sens, on ne poste aucune news de faille/virus (donc idem pour Microsoft, hein, pas de jaloux), vu que les bons ont déjà patché, et les mauvais (ou inattentifs), on les laisse dans leur caca.

[quote]La
découverte de ce trou s’est faite lors de plusieurs exploits réussis
sur les machines semble-t’ il 100% a jour d’un ISP américain et il n’y
a, au moment où j’écris ces lignes, aucun patch de disponible.[/quote]
Ca c’est juste une rumeur qui n’a pas ete confirme (un FUD ?). Comme dit ici par les developpeurs d’OpenSSH: It is uncertain whether these errors are potentially exploitables, however, we prefer to see bugs fixed proactively.
(en francais: Il n’est pas certains que ces erreurs soient potentiellement exploitable, mais nous preferons voir les bugs fixes proactivement).

Le bug n’est pas un depassement de tampon, mais juste des bytes qui sont
ecrases par des 0. Ca peux faire crasher le serveur ssh, mais c’est a
priori pas exploitable pour autre chose d’interessant.

Extrait de l’advisory de FreeBSD :

[quote]II. Problem Description

When a packet is received that is larger than the space remaining in
the currently allocated buffer, OpenSSH’s buffer management attempts
to reallocate a larger buffer. During this process, the recorded size
of the buffer is increased. The new size is then range checked. If
the range check fails, then fatal() is called to cleanup and exit.
In some cases, the cleanup code will attempt to zero and free the
buffer that just had its recorded size (but not actual allocation)
increased. As a result, memory outside of the allocated buffer will
be overwritten with NUL bytes.

III. Impact

A remote attacker can cause OpenSSH to crash. The bug is not believed
to be exploitable for code execution on FreeBSD.[/quote] Pour ceux qui ne comprennent pas l’anglais ca dit qu’un
attaquant pourrait reussir a faire crasher le daemon OpenSSH, mais
qu’ils ne pensent pas qu’il soit possible d’utiliser ce bug pour une
execution de code sur FreeBSD (et c’est sans doute la meme chose sous Linux).

Y a pas non plus de quoi s’affoller.

Ce message a été édité par BokLM le 17/09/2003

[quote]Comme
on dit, à force de chercher, on trouve ! Le système le plus
attaqué cette année est… Linux avec un joli 51% tout de même. Mais
bien sûr, ça a moins d’impact que les systèmes de Billou au niveau
médiatique.[/quote]
Ca c’est juste un FUD, ces chiffres ne sont pas verifies et ne veullent pas dire grand chose. Ca se trouve le mois prochain on trouvera les stats d’une autre societe qui dirat exactement l’inverse. Mais c’est vrai que dire que Linux subit plus d’attaques reussies que Windows, ca fait plus “scandale” et ca genere plus de traffic, donc entre autres plus de bannieres de pub affiches

C’est facile de donner des chiffres en omettant volontairement de donner des details, mais ca n’a aucune valeure.

Si tu avais lu le thread jusqu’au bout, tu aurais vu que ce n’est pas un FUD, et que j’avais reconnu avoir oulié de donner la source de suite (à savoir /. et la société, c’est mi2g, qui est super-connue). Alors tu es gentil, tu évites de me prendre pour un pro-MS qui ferait exprès de mettre une news sensas’ pour faire monter le trafic du site !!! On aura tout vu, sans déconner.

Ah oui, et balancer le mot FUD dès que ça ne va pas dans son sens, ça a tendance à dévaloriser le mot, donc c’est pas très malin…

Ce message a été édité par xentyr le 17/09/2003

[quote]Si
tu avais lu le thread jusqu’au bout, tu aurais vu que ce n’est pas un
FUD, et que j’avais reconnu avoir oulié de donner la source de
suite (à savoir /. et la société, c’est mi2g, qui est super-connue).
Alors tu es gentil, tu évites de me prendre pour un pro-MS qui ferait
exprès de mettre une news sensas’ pour faire monter le trafic du site
!!! On aura tout vu, sans déconner.[/quote]
Oui, je connais cet article, et c’est de celui la que je parlait, pas de ton message.

OK, au temps pour moi. Maintenant, pourquoi remets-tu en doute l’honnêteté de mi2g ? Ne ferais-tu pas ce que tu reproches justement en mettant en doute la crédibilité de toutes les sociétés émettant un avis qui n’est PAS dans le sens du monde libre ? Car que ce soit 51%, ou 40%, l’essentiel de ce que je disais était en italique, à savoir qu’on ne peut plus dire qu’un OS est plus “secure” qu’un autre car beaucoup, beaucoup de paramètres indépendants de l’OS doivent être pris en compte.
Il est logique que, Linux montant en puissance, de plus en plus de monde, y compris les hackers se réintéressent aux enfants *nix, d’où une augmentation des attaques logique, qui n’a rien à voir avec la sécurité intrinsèque de l’OS (qui d’ailleurs, en soi, ne veut pas dire grand chose car les attaques qui font mal ne se font pas dans une bulle aseptisée, mais bel et bien en production).

[quote]EDIT : Pour mettre les points sur les i, bah oui ça sert à rien de poster des news sur les failles de securités quand elles sont à la fois peu dangerereuses et tres limitées. On decouvre des dizaines de failles par jour. Par quand on a une faille importante avec possibilité de prise de controle de la machine ou pouvant avoir des repercusion impôrtantes je dis pas.[/quote]Bah exactement. C’est pour ca qu’on parle de cette faille la. C’est un serveur qui tourne sur quasi toutes les distribution que quasi tout le monde installe et il y a une faille de securite importante qui pourrait etre exploitable. Donc oui ca merite qu’on en parle. Comme dit xentyr… a ecouter certains quand c’est sous linux c’est pas grave, quand c’est sous windows c’est grave… faut arreter le delire… personne n’ose faire ce genre de reflexions dans les news sur les failles windows et je trouverais ca tout autant ridicule…

Apres sur le fond je suis d’accord, on parle des failles qui ont un effet sur le public concerne. On fait pas une news par exemple de le trou qui vient d’etre decouvert dans sendmail aujourd’hui (le 20397 milliemme, utilisez qmail!), meme si c’est le serveur de mail le plus installe au monde parceque j’imagine que assez peu de geeks font tourner leur propre serveur mail sur cafzone et que si ils le font avec sendmail (la config est caca, utilisez qmail!) ils ont largement assez connaissance de ce qu’ils font pour patcher et mettre a jour leur machine. C’est pas le cas avec un serveur SSH que n’importe qui, meme sans connaissances particulieres, peut avoir sur sa machine.

[quote][quote]EDIT
: Pour mettre les points sur les i, bah oui ça sert à rien de poster
des news sur les failles de securités quand elles sont à la fois peu
dangerereuses et tres limitées. On decouvre des dizaines de failles par
jour. Par quand on a une faille importante avec possibilité de prise de
controle de la machine ou pouvant avoir des repercusion impôrtantes je
dis pas.[/quote]Bah exactement. C’est pour ca qu’on parle de cette
faille la. C’est un serveur qui tourne sur quasi toutes les
distribution que quasi tout le monde installe et il y a une faille de
securite importante qui pourrait etre exploitable. Donc oui ca merite
qu’on en parle. Comme dit xentyr… a ecouter certains quand c’est sous
linux c’est pas grave, quand c’est sous windows c’est grave… faut
arreter le delire… personne n’ose faire ce genre de reflexions dans
les news sur les failles windows et je trouverais ca tout autant
ridicule…

Apres sur le fond je suis d’accord, on parle des
failles qui ont un effet sur le public concerne. On fait pas une
news par exemple de le trou qui vient d’etre decouvert dans
sendmail aujourd’hui (le 20397 milliemme, utilisez qmail!), meme si
c’est le serveur de mail le plus installe au monde parceque j’imagine
que assez peu de geeks font tourner leur propre serveur mail sur
cafzone et que si ils le font avec sendmail (la config est caca,
utilisez qmail!) ils ont largement assez connaissance de ce qu’ils
font pour patcher et mettre a jour leur machine. C’est pas le cas avec
un serveur SSH que n’importe qui, meme sans connaissances
particulieres, peut avoir sur sa machine.[/quote]Moi,
je vais pas te contrarier GloP, je vais suivre tes conseilles et
utiliser Qmail, et je vais mettre à jour mon serveur SSH a bon coup de
’emerge --update ssh’.

[Edit]
Non, je suis pas un lèche cul
[/Edit]
Ce message a été édité par ZGoblin le 17/09/2003

Y’a une nouvelle faille de decouverte dans openssh qui contrairement à la derniere faille est exploitable pour faire autre chose que planter le demon. La version 3.7.1 qui la corrige est sortie.

Sinon, c’est normal de parler plus des failles windows etant donné que la pluaprt des geeks tournent sous windows et n’updatent pas tous leur becane assidument (qui a dit blaster ?)

[quote]Y’a une nouvelle faille de decouverte dans openssh qui contrairement à la derniere faille est exploitable pour faire autre chose que planter le demon. La version 3.7.1 qui la corrige est sortie.[/quote]Non c’est l’inverse. La 3.7 corrige la faille dangereuse, la 3.7.1 corrige celle qui fait juste planter.