Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une faille touchant le RDS de Linux permet d'accéder au statut de "super-utilisateur"
Un correctif est disponible

Le , par Katleen Erna

0PARTAGES

5  2 
Une faille touchant le RDS de Linux permet à un utilisateur de s'offrir le statut de "super-utilisateur", un correctif est heureusement disponible

Une faille de sécurité très problématique dans Linux vient d'être découverte par une équipe de chercheurs.

Les scientifiques pointent ainsi du doigt une vulnérabilité qui est apparue dans la version 2.6.30 du noyau du système d'exploitation libre, et qui perdure jusqu'à ce jour. Elle se situe dans le RDS (reliable datagram sockets) qui est arrivé avec cette mouture du noyau. Plus précisément, elle a été générée par la manière dont l'OS implémente ce protocole.

Le bug peut être exploité par des utilisateurs locaux qui enverraient des paquets spécifiques, qu'ils auraient écrits dans le but d'imprimer certaines données dans la mémoire du noyau.

Ainsi, ils passeraient du statut d'utilisateur lambda à celui de "super-utilisateur", avec tous les privilèges que cela implique.

Heureusement, un correctif à ce problème est disponible (il a été mis en ligne par Linus Torvalds).

Une autre brèche de sécurité a été observée dans la bibliothèque GNU C, mais "elle n'a que peu d'impact et n'intéresse que les professionnels de sécurité ainsi que les administrateurs de systèmes", explique le chercheur qui l'a découverte.

Source : VSR Security

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anomaly
Responsable technique https://www.developpez.com
Le 28/10/2010 à 12:16
Citation Envoyé par wokerm Voir le message
la fiabilité linux robuste fiable et sans antivirus pas besoin de virus pour prendre le controle
Avec une faille Windows on peut faire de même. Alors je te suggère de garder ton troll anti-Linux ailleurs. Ici, on discute technique.
4  0 
Avatar de Rayek
Modérateur https://www.developpez.com
Le 28/10/2010 à 12:08
Citation Envoyé par JohnPetrucci Voir le message

Un simple live-CD Linux et tu démontes toute protection "superutilisateur" Windows.
Je pense qu'il doit y avoir la même chose pour linux dans le cas où l'on perde son mdp superutilisateurs, de plus l'accès en direct sur une machine facilite fortement le piratage de celle-ci.
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 25/10/2010 à 18:21
C'est ballot de rajouter une faille de sécurité en implémentant une techno qui s’appelle "reliable datagram sockets".
0  0 
Avatar de Nollo
Membre régulier https://www.developpez.com
Le 25/10/2010 à 18:30
Ca serait pas ça que les anonymous auraient soit disant découvert ?
0  0 
Avatar de gillai
Membre averti https://www.developpez.com
Le 25/10/2010 à 21:19
Citation Envoyé par Nollo Voir le message
Ca serait pas ça que les anonymous auraient soit disant découvert ?
Non, la faille citée plus haut est un local root exploit et a déjà été patchée partout (enfin du moins, tout ceux qui font les mises à jour).
0  0 
Avatar de FailMan
Membre expert https://www.developpez.com
Le 28/10/2010 à 11:59
Citation Envoyé par wokerm Voir le message
la fiabilité linux robuste fiable et sans antivirus pas besoin de virus pour prendre le controle
Tu as vu les manipulations nécéssaires pour prendre le contrôle de la machine ?

Un simple live-CD Linux et tu démontes toute protection "superutilisateur" Windows.

1  1 
Avatar de FailMan
Membre expert https://www.developpez.com
Le 28/10/2010 à 12:10
Citation Envoyé par Rayek Voir le message
Je pense qu'il doit y avoir la même chose pour linux dans le cas où l'on perde son mdp superutilisateurs, de plus l'accès en direct sur une machine facilite fortement le piratage de celle-ci.
Je sais, c'était juste pour préciser que Windows n'est pas non plus imperméable
1  1 
Avatar de Ragmaxone
Membre éclairé https://www.developpez.com
Le 28/10/2010 à 12:26
Citation Envoyé par Anomaly Voir le message
Avec une faille Windows on peut faire de même. Alors je te suggère de garder ton troll anti-Linux ailleurs. Ici, on discute technique.
le pire dans tout ça c'est que la faille sous Windows ne sera jamais comblée ...
2  2 
Avatar de alexrtz
Membre expérimenté https://www.developpez.com
Le 28/10/2010 à 13:28
Citation Envoyé par Rayek Voir le message
Je pense qu'il doit y avoir la même chose pour linux
Boot sur Live CD puis terminal :
Code : Sélectionner tout
1
2
3
4
mkdir tmp
mount /dev/la_partoche_kivabien tmp
chroot tmp /bin/bash
passwd
1  1 
Avatar de debianhunter
Membre régulier https://www.developpez.com
Le 29/10/2010 à 11:30

Une autre brèche de sécurité a été observée dans la bibliothèque GNU C, mais "elle n'a que peu d'impact et n'intéresse que les professionnels de sécurité ainsi que les administrateurs de systèmes", explique le chercheur qui l'a découverte.
<trollmode>
Le chercheur en question n'est autre que Tavis Ormandy (rendons a Caesar ce qui lui appartient !)
</trollmode>
Pour plus d'info, c'est la.


Un simple live-CD Linux et tu démontes toute protection "superutilisateur" Windows.
C'est vrai aussi sur Linux.
Le risque n'est pas a negliger: on peut tout simplement prendre le controle de tout serveur d'entreprise et ce sans avoir un acces physique a la machine (ce qui est souvent le cas dans les grosses boites ou la salle des serveurs est a acces restreint).
Il ne faut pas negliger le fait qu'une entreprise peut avoir du personnel mal intentionne... ni meme que l'entreprise peut avoir un acces wifi mal protege, et qu'une personne mal intentionnee exterieure a l'entreprise peut alors prendre le controle dudit serveur.

A vos mises a jour !
0  0