Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 29/01/2015, à 21:57

Pit38f

Faille critique Ghost

Bonsoir.

Je lis qu'une faille critique a été détecté qui touche tous les systèmes Linux.
---> http://www.01net.com/editorial/643126/g … tor=EPR-1-
---> http://www.zdnet.fr/actualites/ghost-un … 813740.htm

Cette faille concerne la librairie glibc, et elle permet de prendre le contrôle à distance (via un buffer overflow).
Citation de http://www.developpez.com :
"La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.
Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables
."

Des patchs auraient été développés en particulier pour Debian.

Où en est Canonical de ce point de vue ?
Est-ce que Ubuntu 14.04 est à l'abri ?


L'information seul bien dont la valeur augmente quand on le partage.

Hors ligne

#2 Le 29/01/2015, à 22:50

Compte anonymisé

Re : Faille critique Ghost

Bonsoir.

Beaucoup de bruit, parfois du sensationnel de la part des journalistes. Cette faille a été corrigée suite à sa détection, ce qui prouve que le libre est très réactif sur des sujets de ce type.

Puisque vous évoquez Debian, voici l'annonce de sécurité correspondante : https://www.debian.org/security/2015/dsa-3142
Visiblement et sauf erreur de ma part, la 14.04 n'est pas concernée.

Libc6

#3 Le 01/02/2015, à 11:53

bluc

Re : Faille critique Ghost

Bonjour,

Comment savoir si mon ordi est vulnérable, (j'utilise LXLE basé sur Ubuntu 12.04 qui est concerné) et  si oui comment le protéger

Merci


Clevo :  Ubuntu 23.10   ❖  Xubuntu 22.10  ❖  Kubuntu 23.10   
         avec partition data commune       Une fraction de seconde                    Multiboot

Hors ligne

#4 Le 01/02/2015, à 14:10

jvcharles

Re : Faille critique Ghost


Debian Stable Sid/rc-buggy - Gnome/Kde  Tails LiveUsbPersistance  UBports/Ubuntu-Touch 2022/08/19 (Pixel 3a)
Windows 10/Facebook supprimer 2019/02/02   Compte Google supprimé 2023/02/15

Hors ligne

#5 Le 01/02/2015, à 15:11

bluc

Re : Faille critique Ghost

Merci

Je savais que 12.04 était concerné , ma question était plutôt (je me suis mal exprimé) est ce que des mises a jour ont apporter quelques choses afin de protéger mon système (ce que, si non, je ne trouve pas normal), dans ce cas que faut il que je fasse

Dernière modification par bluc (Le 01/02/2015, à 15:11)


Clevo :  Ubuntu 23.10   ❖  Xubuntu 22.10  ❖  Kubuntu 23.10   
         avec partition data commune       Une fraction de seconde                    Multiboot

Hors ligne

#6 Le 03/02/2015, à 05:39

AlexandreP

Re : Faille critique Ghost

GNU C Library buffer overflow in __nss_hostname_digits_dots() (CVE-2015-0235 aka GHOST) dans le wiki d'Ubuntu:

The GNU C Library upstream had already addressed this issue in its 2.18 release; however, the security impact of the fix was not recognized at the time. Because of this, only Ubuntu 12.04 LTS (Precise) and Ubuntu 10.04 LTS (Lucid) were affected. To address the issue, ensure that libc6 2.15-0ubuntu10.10 (Ubuntu 12.04 LTS) or libc6 2.11.1-0ubuntu7.20 (Ubuntu 10.04 LTS) are installed. These updates were announced in USN 2485-1.

Timeline
    2015 Jan 18: the Ubuntu Security team is notified by Qualsys via the linux-distros list, with a pending CRD of 2015-01-27 18:00 UTC
    2015 Jan 27: issue becomes public a few hours before the CRD; Ubuntu and other distributions release updates
    2015 Jan 28: Cloud image updates (see below)

Pour résumer, pour ceux qui ne comprendraient pas la langue de Barack Obama: il faut s'assurer de disposer du paquet libc6 en version égale ou supérieure à 2.15-0ubuntu10.10 (dans Ubuntu 12.04 LTS) ou 2.11.1-0ubuntu7 (dans Ubuntu 10.04 LTS). Si vous installez régulièrement vos mises à jour, vous devriez déjà être "patché".


«La capacité d'apprendre est un don; La faculté d'apprendre est un talent; La volonté d'apprendre est un choix.» -Frank Herbert
93,8% des gens sont capables d'inventer des statistiques sans fournir d'études à l'appui.

Hors ligne

#7 Le 03/02/2015, à 07:20

bluc

Re : Faille critique Ghost

thank you !... AlexandreP wink


Clevo :  Ubuntu 23.10   ❖  Xubuntu 22.10  ❖  Kubuntu 23.10   
         avec partition data commune       Une fraction de seconde                    Multiboot

Hors ligne