Faille Noyau Linux

par **Athanase** » 02 Déc 2003 10:32

Au fait, qui disait que Linux ne connaissait jamais de grosses vulnérabilités <IMG SRC="images/smiles/icon_lol.gif"> La compromission des machines de la célèbre distribution Debian aura au moins permis de révéler une faille dans le noyau Linux qui n'a été corrigé que dans la version 2.4.23. Enfin, pour tous les détails on peut se reporter comme d'habitude à un mail publié sur la célèbre liste BugTraq. <A HREF="http://www.securityfocus.com/archive/1/346095/2003-11-28/2003-12-04/0" TARGET="_blank">ICI</A> Et devinez quoi, c'est un "Integer overflow" <IMG SRC="images/smiles/icon_biggrin.gif"> Bon j'arrête, mais je vois déjà la tête de tous ceux qui affirment toujours sans vergogne que Linux ne connaîtra jamais les problèmes de Windows. Et pour ce qui est de la gravité de la faille, elle a tout de même presque conduit à la compromission de la prochaine realease de la distribution Debian. Aller, sur ce beau Troll je vous laisse, j'ai du travail pour convaincre quelques Talibans Linux de mettre à jour leur noyau <IMG SRC="images/smiles/icon_biggrin.gif">

par **Muzo** » 02 Déc 2003 10:37

Certes mais c'est pas en te connectant simplement à internet que tu vas te chopper un virus basé sur cette faille, ou que n'importe qui pourra contrôler ton PC (à la win2000). Faut déjà avoir un compte sur la machine pour pouvoir le faire.

par **Athanase** » 02 Déc 2003 10:45

Je n'ai jamais dit le contraire et je ne cherche pas à sous estimer les dernières failles RPC qui ont touché Windows (un simple Firewall bien configuré permettait toutefois d'y échapper). Enfin, le point était juste ici de rappeler que tous les OS sont potentiellement vulnérables et qu'il ne suffit pas de dire "Installe un Linux" pour pouvoir se considérer comme un expert en sécurité. Le Credo devrait être (et ce quel que soit le système): - mise à jour - suppression des services (ou firewall le cas échéant) - antivirus (moins vrai pour les Unix, quoi que!) - comportement intelligent (ne pas ouvrir un mail en tchèque qui contient un exécutable <IMG SRC="images/smiles/icon_wink.gif"> (à moins qu'on parle le Tachèque et que se soit un pote qui vous envoie le mail)) C'était juste pour remettre un peut les pendules à l'heure.

par **tomtom** » 02 Déc 2003 10:50

Mouarf, il est beau ton troll Athanase, et j'avoue avoir du mal à résister. N'en parlons plus :biz Sinon, il peut être bon de souligner que bien sur la version du kernel corrigé est apt-able pour toutes les versions de debian <IMG SRC="images/smiles/icon_bise.gif"> Et eventuellement que le integer overflow est une faille à la fois très difficile à eviter dans le code source, et encore plus difficile à exploiter (mais la preuve qu'il y a des tres bons...) J'ajouterai aussi pour parfaire ta théorie de la securité qu'il est absolument necessaire de se tenir informé et de maintenir son système à jour, quel qu'il soit ! t. [edit] Athanase, pas Anathase <IMG SRC="images/smiles/icon_wink.gif"> [/edit] _________________ "Unix is user friendly. He's just very picky about who his friends are... "

par **kornelious** » 02 Déc 2003 10:59

dis moi tomtom tu m'as l'air un peu au jus .... tu pourrais pas m'expliquer un peu quelle est cette faille j'ai deux serveurs qui tournent sous débian (noyau 2.4.21 compilé avec la méthode classique) j'ai bien reçu l'annonce de la faille ce matin mais j'ai pas trop compris de quoi il s'agissait...je voudrais bien savoir dans quel cas c'est dangereux... merci <IMG SRC="images/smiles/icon_eek.gif"> j'adore les petit mots que tout le mode a sous les messages, désolé j'en ai pas trouvé pour moi .... <IMG SRC="images/smiles/icon_confused.gif">

par **carbone** » 02 Déc 2003 11:02

Il faut être honnête et reconnaitre que tout les systèmes ont des bugs! On en trouve plus sous Windows pour une seule raison, c'est le plus courant et donc les hackers en recherche plus sous Windows que sous un autre système. Il faut aussi avouer que le principe même de Linux permet en général une correction plus rapide des problèmes masi cela a déjà entrainé aussi d'autre problèmes (insertions de trojan dans un code source partagé, ...) Chaqu un a ses problèmes, et celui qui dis que Linux, ... n a aucun bug, se ments a lui même.

par **tomtom** » 02 Déc 2003 11:09

Pas plus au jus que les autres, je lis juste bugtrack. Tu as surement vu qu'il y a quelques jours, les serveurs debian ont été atatqués. Un intrus, munis d'un login/mdp volé, s'est introduit sur les serveurs. Bien sur, il a voulu intriduire du bazar dans le code source de la debian, mais ceci a été detecté par le systèmes de gestions du code. Une fois le problème identifié, il y a eu analyse des serveurs, (forensics), et verification de l'arborescence des packages etc... Il se trouve que a priori les packages n'ont pas été corrompus (pas de soucis donc de ce coté là). EN revanche, il a été trouvé que le petit malin a utilisé une faille du kernel pour passer root. Cette faille n'etait pas connue, et après analyse il s'agit d'une erreur de code dans un appelle système "BRK". Un integer overflow, typiquement, c'est que l'on declare dans son code un int et que l'on utilise un unsigned int par exemple pour le positionner. Cela laisse quelques octets de pile attaquable par un programme utilisateur. Et cela necessite de sacrées connaissances pour l'exploiter (enfin, pour trouver l'exploit, hein, pas pour complier le code de bugtrack !). Bref, voila donc la vunlérabilité. L'ennui, c'est que maintenant qu'elle est connue, un petit malin peut l'utiliser contre n'importe quel noyau vulnérable. C'est l'inconvénient de publier les bugs de securité. D'un autre coté, maintenant qu'elle est connue, il te suffit de patcher ton noyau ou d'en installer un patché (dispo pour debian, je ne sais pas pour les autres) pour ne plus etre vulnérable. C'est l'avantage combiné de l'open source et de la publication des bugs. Chacun son truc <IMG SRC="images/smiles/icon_wink.gif"> Il faut relativiser le problème, il faut disposer d'un compte valide pour exploiter la faille. Voila. Toutes les infos dans le lien fourni par Athanase plus haut ! t.

par **kornelious** » 02 Déc 2003 11:16

MERCI mon bon tomtom cette petite synthèse m'a bien eclairci le pb ! bon ben je sais ce que je vais faire cet après midi direction la salle serveur...aller au boulot feinéant pffffff!! tant pis pas de plage cette aprèm..... merci A+ <IMG SRC="images/smiles/icon_frown.gif">

par **Muzo** » 02 Déc 2003 11:23

Eeeeet Meeeerdeeeee! SME est en 2.4.18 ... <IMG SRC="images/smiles/icon_bawling.gif"> Vont-ils patcher la 5.6? ...

par **Athanase** » 02 Déc 2003 11:27

Bien vu TomTom, dans mon petit Credo j'aurais du écrire "mise à jour régulière" pour être tout à fait précis. Enfin, comme vous l'avez peut-être compris, je ne cherche pas à prendre parti pour Linux ou pour Windows (à choisir je prendrai OpenBSD <IMG SRC="images/smiles/icon_biggrin.gif"> ). Seulement, comme je suis consultant en sécurité informatique, j'essaye d'avoir une vision un peu plus large des choses et sortir du débat Windows/Linux. Et quand quelqu'un pose une question sur le forum pour s'entendre répondre "Installe Linux", je dois dire que mes cheveux se hérissent car ce n'est pas une réponse qu'un client ou que même votre patron acceptera. Enfin! Pour ce qui est des mises à jour plus rapide de Linux, voici ce qui a été répondu sur SecurityFocus: Every OSS supporter claims that the Open-Source community is faster at patching vulnerabilities. Sure, they might update the source in the CVS 15 minutes after receiving a report, but how long will it take for that updated code to actually reach supported applications? Administrators and users are wary of updating to the latest unstable beta build, and for good reasons. In the case of Mozilla/Netscape, updated code in the CVS typically took a month, often 2 or 3, to go from nightly/unstable builds and reach the actually supported product - not much unlike the timeframe for IE patches. There is a good reason for the time delay that supported products enforce, namely quality assurance and regression testing. In the recent case of OpenSSH, a vulnerability was discussed on a public mailing list and within hours OpenSSH 3.7 was released. Hooray, I hear the many OSS supporters exclaim, what a quick fix! Later that day, OpenSSH 3.7.1 was released to fix a related vulnerability. By looking at the public CVS it turns out that not 5 minutes after the changes for 3.7 had been committed to CVS, another set of changes were committed and not 10 minutes later more was changed, which in the end was bundled and released as 3.7.1 on that same day - so much for thorough testing. dans un excellent article de Thor Larholm que vous pouvez lire en entier <A HREF="http://www.securityfocus.com/guest/23028" TARGET="_blank">ici.</A>

par **lembal** » 02 Déc 2003 11:28

Mise à jour du noyau très compliquée : Sous Debian : #apt-get update #apt-get upgrade #apt-get dist-upgrade Sous MDK : #urpmi.update -a #mandrakeupdate ou #urpmi --auto-select --auto (la même chose !) Sous RH : Heuuuuuu Yum je connais pas mais il doit faire la même chose ! Pour SlackWare : démerdez-vous, fallait pas prendre une Slack' <IMG SRC="images/smiles/icon_razz.gif"> !!

par **bisol** » 02 Déc 2003 13:06

J'écris pour Redhat <IMG SRC="images/smiles/icon_biggrin.gif"> #up2date -u OU #update -u -f si le mot kernel est blacklisté des mises à jour <IMG SRC="images/smiles/icon_smile.gif">

par **lembal** » 02 Déc 2003 16:29

Heuuuu bon ! je rectifie ! Pour MDK (dans mon cas 9.0), j'ai choisis de mettre à jour toute ma distrib et mes softs SAUF Samba ! Je précise donc dans le fichier /etc/urpmi/skip.list : "samba-server samba-client samba-common" Ensuite j'édite mon fichier inst.list et j'y mets : # Here you can specify packages that need to be installed instead # of being upgraded (typically kernel packages). #kernel kernel-smp kernel-secure kernel-enterprise kernel-linus2.2 kernel-linus2.4 kernel22 kernel22-secure kernel22-smp hackkernel samba-server samba-common ... J'ai "décoché" kernel afin que urpmi mette bien à jour ce composant (et ne l'installe pas). J'ai ajouté samba afin qu'il ne me les mettent définitivement pas à jour ! Je mets à jour mes sources : #urpmi.update -a Je lance la mise à jour : #urpmi --auto-select Et ce ### de urpmi veut absolument me mettre à jour mon SAMBA2.2.8a vers la version 2.2.7a... OOOOOOOOOOOOOOOOOOOOK ! Bon j'accepte pour continuer l'install... J'install en gros 40 mises à jours MAIS, pas de mise à jour du NOYAU !!! Là je pige pô ! Je vais me mettre qu'une seule source "update", source qui contiendra le kernel patché... Ouais je vais essayer ça tiens...

par **lembal** » 02 Déc 2003 17:22

Bon ! Mis à part ce pb de Samba (résolu temporairement en réinstallant la version 2.2.8a), j'ai relancé #urpmi --auto-select Il me sort que tout est dékà installé !!! Je prend le taureau par les cornes, je tape : #urpmi --media update kernel Il me donne une liste de kernel... Il me suffit de taper le numéro de mon kernel et de valider... Oui mais là je vais d'abord télécharger partimage, on sait jamais ! Samba encore je veux bien mais là à 4h30 j'ai pas envie de me retaper l'install de MDK 9.0 !

par **lembal** » 02 Déc 2003 17:37

Sinon j'ai trouvé ça : <a href="http://www.mandrakesecure.net/en/kernelupdate.php" target="_blank">http://www.mandrakesecure.net/en/kernelupdate.php</a>

Faille Noyau Linux

Qui est en ligne ?