Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 19/03/2017, à 20:08

Underneath

Ubuntu hacké à Pwn2Own

Pour mettre fin aux superstitions concernant la parfaite sécurité d'ubuntu "out-of-the-box" :

http://www.eweek.com/security/ubuntu-li … ompetition

Ca n'aura pas mis longtemps... Ubuntu est tombé dés le premier jour !


Boubounetou 16.10

Hors ligne

#2 Le 19/03/2017, à 20:21

Sylvain Malenfant

Re : Ubuntu hacké à Pwn2Own

neutral:|:|:| Pas long....


HP-ENVY-6-Notebook-PC / LMDE 2 Cinnamon 64-bit ver. 3.2.7 , noyau Linux 3.16.0-4-amd64 / XUbuntu 16.04 Xfce
Dual core AMD A6-4455M 2100 MHz APU with Graphics [Radeon HD 7500G] (Écran LG-IPS206 en hdmi)
Mémoire 8G, HDD SAMSUNG_HM641JI size: 640.1GB Imprimante HP Deskjet 2549 multi-fonction et Brother HL-2140
Linux (ceinture jaune) :)

Hors ligne

#3 Le 19/03/2017, à 20:38

smokeh

Re : Ubuntu hacké à Pwn2Own

ça arrive comme dans toutes les distributions (rien de nouveaux sous le soleil). visiblement une faille dans le kernel 4.8.
il n’empêche que linux reste plus sur que microsoft... c'est pas l’électronique embarqué les routeurs et les switch qui tournent sous windows smile et heureusement d'ailleurs . Sinon l'internet mondial serait déjà mort..

Dernière modification par smokeh (Le 19/03/2017, à 20:41)

Hors ligne

#4 Le 19/03/2017, à 20:46

Underneath

Re : Ubuntu hacké à Pwn2Own

Ce qui es fou, c'est qu'ils ont aussi réussi à sortir d'une VM. En gros, si vous utilisez Edge sur Windows à l'intérieur d'une virtual machine  VMware depuis votre ubuntu 16.10 et qu'ils arrivent à vous diriger vers une page piégée par leurs soins, en chainant les exploits, ils sont capable de prendre les droits root sur votre Ubuntu en 90 secondes...

Ca laisse songeur...


Boubounetou 16.10

Hors ligne

#5 Le 19/03/2017, à 20:50

smokeh

Re : Ubuntu hacké à Pwn2Own

Underneath a écrit :

Ce qui es fou, c'est qu'ils ont aussi réussi à sortir d'une VM. En gros, si vous utilisez Edge sur Windows à l'intérieur d'une virtual machine  VMware depuis votre ubuntu 16.10 et qu'ils arrivent à vous diriger vers une page piégée par leurs soins, en chainant les exploits, ils sont capable de prendre les droits root sur votre Ubuntu en 90 secondes...

Ca laisse songeur...

pas vraiment... regarde les exploits sur exploitdb. tu comprendras. et ça c'est j'imagine la redirection faite par des protocoles réseaux arp j'ai pas regardé c'est juste du guess) etc... ça existe deja depuis longtemps .

bref faut arrêter la psychose. et si tu veux du sécurisé prend linux from scratch.

Dernière modification par smokeh (Le 19/03/2017, à 20:57)

Hors ligne

#6 Le 19/03/2017, à 20:58

Tristan07

Re : Ubuntu hacké à Pwn2Own

Intéressant merci.
Sait on si cela est testé sur d'autres distributions ?
Quelle conséquence pour Canonical et la communauté (si le noyau 4.8 en usage sous 16.04 est impacté - pas plus d'infos simple supposition)
merci


Ubuntu 16.04 64 bits à la Maison et sur  Lenovo ThinkPad Edge E330
Ubuntu MATE 16.04, 64 bits - Asus K52J
"Steve Jobs, le pionner qui a rendu cool la notion de prison informatique, est mort. Son invention était destinée à priver les crétins de leur liberté." Richard Stallman

Hors ligne

#7 Le 19/03/2017, à 21:02

Tristan07

Re : Ubuntu hacké à Pwn2Own

Je fais suivre chez nos amis de https://ubuntu-mate.community/
Il serait intéressant de croiser les remarques ...
https://ubuntu-mate.community/t/ubuntu- … tion/12074

Dernière modification par Tristan07 (Le 19/03/2017, à 21:02)


Ubuntu 16.04 64 bits à la Maison et sur  Lenovo ThinkPad Edge E330
Ubuntu MATE 16.04, 64 bits - Asus K52J
"Steve Jobs, le pionner qui a rendu cool la notion de prison informatique, est mort. Son invention était destinée à priver les crétins de leur liberté." Richard Stallman

Hors ligne

#8 Le 19/03/2017, à 21:08

Underneath

Re : Ubuntu hacké à Pwn2Own

Théoriquement, il y a de grandes chances que toutes les distributions utilisant ce noyau soient impactées. Mais on ne sait pas si cette vulnérabilité est typique au noyau 4.8 ou bien à toute la série 4.*, ou même antérieures. Ils précisent la version du noyau sur lequel ça a fonctionné, mais pas si ça fonctionne sur les autres.

Je sais juste que les versions 4.4.*, 4.9.* et 4.10.* supportées par la foundation Linux ont été mises à jour le lendemain (https://www.kernel.org/).

Je n'ai pas regardé si mes mises-à-jour comportaient une mise-à-jour noyau (je n'utilise pas les noyaux canonical).


Boubounetou 16.10

Hors ligne

#9 Le 19/03/2017, à 22:13

Tristan07

Re : Ubuntu hacké à Pwn2Own

Merci
16.04 à jour :

Linux Ub180317 4.8.0-42-generic #45~16.04.1-Ubuntu SMP Thu Mar 9 14:10:58 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

hmm


Ubuntu 16.04 64 bits à la Maison et sur  Lenovo ThinkPad Edge E330
Ubuntu MATE 16.04, 64 bits - Asus K52J
"Steve Jobs, le pionner qui a rendu cool la notion de prison informatique, est mort. Son invention était destinée à priver les crétins de leur liberté." Richard Stallman

Hors ligne

#10 Le 19/03/2017, à 23:54

Underneath

Re : Ubuntu hacké à Pwn2Own

Après, elle n'a pas été publiée donc, inutilisable, et elle sera patchée en temps et en heure. C'est juste que ça rappelle à quel point Linux n'est pas immune. On lit toujours que personne n'a jamais vu de faille sur Linux ou sur Ubuntu : voilà qui est fait. J'attendais avec impatience le concours de cette année et j'avais parié sur la chute de Linux. Mais pas aussi vite.

Et ça, c'est une faille qu'ils ont eu le temps de conserver. Je n'imagine même pas le nombre de failles qui doivent être corrigées d'une version mineure à une autre, ou qui doivent passer entre les mailles du filet.

Fondamentalement, ça ne change rien, ubuntu n'est pas moins sécurisé qu'avant (mais pas mieux non plus), c'est juste qu'on sait parfaitement désormais (même si on le savait déjà), confirmés en plus par les fuites récentes à propos de la CIA, que Linux est parfaitement piratable y compris dans ses versions les plus à jour.


Boubounetou 16.10

Hors ligne

#11 Le 20/03/2017, à 00:19

lepetit

Re : Ubuntu hacké à Pwn2Own

rien n'est infaillible en logiciel, la différence entre windows et linux est surtout lié au fait que les failles sont corrigées sur linux quand on les trouve contrairement a mac ou microsoft ou il en existe pas mal de connues et toujours pas corrigées

Hors ligne

#12 Le 20/03/2017, à 04:57

Rufus T. Firefly

Re : Ubuntu hacké à Pwn2Own

Underneath a écrit :

C'est juste que ça rappelle à quel point Linux n'est pas immune.

Te voilà rassuré !


La provocation est une façon de remettre la réalité sur ses pieds. (Bertolt Brecht)
Il n'y a pas de route royale pour la science et ceux-là seulement ont chance d'arriver à ses sommets lumineux qui ne craignent pas de se fatiguer à gravir ses sentiers escarpés. (Karl Marx)

Hors ligne

#13 Le 20/03/2017, à 09:19

Tristan07

Re : Ubuntu hacké à Pwn2Own

j'avais parié sur la chute de Linux

Je sais que cela concerne le noyau, mais n'est-ce pas mettre ses œufs dans le même panier ?
Debian, openSUSE / SUSELinux, Redhat, Fedora, Tals, BlackArch, Kali auraient elles la même vulnérabilité ? (Même étude / même noyau)

Fondamentalement, ça ne change rien, ubuntu n'est pas moins sécurisé qu'avant (mais pas mieux non plus)

A quoi te réfères-tu pour l'affirmer ?
Merci


Ubuntu 16.04 64 bits à la Maison et sur  Lenovo ThinkPad Edge E330
Ubuntu MATE 16.04, 64 bits - Asus K52J
"Steve Jobs, le pionner qui a rendu cool la notion de prison informatique, est mort. Son invention était destinée à priver les crétins de leur liberté." Richard Stallman

Hors ligne

#14 Le 20/03/2017, à 09:32

Underneath

Re : Ubuntu hacké à Pwn2Own

Théoriquement oui, dans la mesure où les patches qu'appliquent les distributeurs ont peu de chance de modifier la vulnérabilité. Maintenant, il est aussi possible que l'environnement ou la configuration viennent mitiger la faille. Comme cette faille récente (preuve qu'il y en a un paquet) qui aurait pu être mitigée suivant les distributions (et leur configuration à l'installation) :

https://www.theregister.co.uk/2017/02/2 … arold_bug/

Et pour se faire une idée de la proportion de failles de ce genre qui entrent et sortent.

https://lwn.net/

Sinon, pour revenir au hat-trick consistant à partir d'une page piégée qui toucherait un navigateur Edge puis Windows puis passerait VMware pour aller prendre l'accés root sur l'Ubuntu hote, ce qui est fascinant, c'est que toutes ces failles sont disponibles en même temps. C'est pas comme si elles étaient étalées sur l'année, non, elles existent et sont donc chainables dans le même laps de temps. Comme il y a peu de chance que se soit un hasard, ou un "coup de chance", on peut facilement statuer que ce genre de failles sont plus nombreuses qu'on peut le voir. Il faut regarder "underneath" !

Dernière modification par Underneath (Le 20/03/2017, à 09:32)


Boubounetou 16.10

Hors ligne

#15 Le 21/03/2017, à 12:35

mazarini

Re : Ubuntu hacké à Pwn2Own

Il semble que le noyau ait été corrigé. Qu'en est il de Edge, Windows et VMWare ?


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

En ligne

#16 Le 21/03/2017, à 18:56

Underneath

Re : Ubuntu hacké à Pwn2Own

Je n'ai pas l'impression car je n'ai toujours pas eu de mise-à-jour noyau par canonical. Il y en a eu une autre la semaine dernière :

https://www.theregister.co.uk/2017/03/1 … rnel_vuln/


Boubounetou 16.10

Hors ligne

#17 Le 23/03/2017, à 20:00

catal13

Re : Ubuntu hacké à Pwn2Own

Underneath a écrit :

Sinon, pour revenir au hat-trick consistant à partir d'une page piégée qui toucherait un navigateur Edge puis Windows puis passerait VMware pour aller prendre l'accés root sur l'Ubuntu hote, ce qui est fascinant, c'est que toutes ces failles sont disponibles en même temps. C'est pas comme si elles étaient étalées sur l'année, non, elles existent et sont donc chainables dans le même laps de temps. Comme il y a peu de chance que se soit un hasard, ou un "coup de chance", on peut facilement statuer que ce genre de failles sont plus nombreuses qu'on peut le voir. Il faut regarder "underneath" !

Entièrement d'accord.

Hors ligne