Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 19/03/2017, à 21:08

Underneath

Ubuntu hacké à Pwn2Own

Pour mettre fin aux superstitions concernant la parfaite sécurité d'ubuntu "out-of-the-box" :

http://www.eweek.com/security/ubuntu-li … ompetition

Ca n'aura pas mis longtemps... Ubuntu est tombé dés le premier jour !


Boubounetou 17.04

Hors ligne

#2 Le 19/03/2017, à 21:21

Sylvain Malenfant

Re : Ubuntu hacké à Pwn2Own

neutral:|:|:| Pas long....


HP-ENVY-6-Notebook-PC / LMDE 2 Cinnamon 64-bit ver. 3.2.7 , noyau Linux 3.16.0-4-amd64 / XUbuntu 16.04 Xfce
Dual core AMD A6-4455M 2100 MHz APU with Graphics [Radeon HD 7500G] (Écran LG-IPS206 en hdmi)
Mémoire 8G, HDD SAMSUNG_HM641JI size: 640.1GB Imprimante HP Deskjet 2549 multi-fonction et Brother HL-2140
Linux (ceinture jaune) :)

Hors ligne

#3 Le 19/03/2017, à 21:38

smokeh

Re : Ubuntu hacké à Pwn2Own

ça arrive comme dans toutes les distributions (rien de nouveaux sous le soleil). visiblement une faille dans le kernel 4.8.
il n’empêche que linux reste plus sur que microsoft... c'est pas l’électronique embarqué les routeurs et les switch qui tournent sous windows smile et heureusement d'ailleurs . Sinon l'internet mondial serait déjà mort..

Dernière modification par smokeh (Le 19/03/2017, à 21:41)

Hors ligne

#4 Le 19/03/2017, à 21:46

Underneath

Re : Ubuntu hacké à Pwn2Own

Ce qui es fou, c'est qu'ils ont aussi réussi à sortir d'une VM. En gros, si vous utilisez Edge sur Windows à l'intérieur d'une virtual machine  VMware depuis votre ubuntu 16.10 et qu'ils arrivent à vous diriger vers une page piégée par leurs soins, en chainant les exploits, ils sont capable de prendre les droits root sur votre Ubuntu en 90 secondes...

Ca laisse songeur...


Boubounetou 17.04

Hors ligne

#5 Le 19/03/2017, à 21:50

smokeh

Re : Ubuntu hacké à Pwn2Own

Underneath a écrit :

Ce qui es fou, c'est qu'ils ont aussi réussi à sortir d'une VM. En gros, si vous utilisez Edge sur Windows à l'intérieur d'une virtual machine  VMware depuis votre ubuntu 16.10 et qu'ils arrivent à vous diriger vers une page piégée par leurs soins, en chainant les exploits, ils sont capable de prendre les droits root sur votre Ubuntu en 90 secondes...

Ca laisse songeur...

pas vraiment... regarde les exploits sur exploitdb. tu comprendras. et ça c'est j'imagine la redirection faite par des protocoles réseaux arp j'ai pas regardé c'est juste du guess) etc... ça existe deja depuis longtemps .

bref faut arrêter la psychose. et si tu veux du sécurisé prend linux from scratch.

Dernière modification par smokeh (Le 19/03/2017, à 21:57)

Hors ligne

#6 Le 19/03/2017, à 21:58

Tristan07

Re : Ubuntu hacké à Pwn2Own

Intéressant merci.
Sait on si cela est testé sur d'autres distributions ?
Quelle conséquence pour Canonical et la communauté (si le noyau 4.8 en usage sous 16.04 est impacté - pas plus d'infos simple supposition)
merci


Debian 9 Stable sur portable et poste fixe

Hors ligne

#7 Le 19/03/2017, à 22:02

Tristan07

Re : Ubuntu hacké à Pwn2Own

Je fais suivre chez nos amis de https://ubuntu-mate.community/
Il serait intéressant de croiser les remarques ...
https://ubuntu-mate.community/t/ubuntu- … tion/12074

Dernière modification par Tristan07 (Le 19/03/2017, à 22:02)


Debian 9 Stable sur portable et poste fixe

Hors ligne

#8 Le 19/03/2017, à 22:08

Underneath

Re : Ubuntu hacké à Pwn2Own

Théoriquement, il y a de grandes chances que toutes les distributions utilisant ce noyau soient impactées. Mais on ne sait pas si cette vulnérabilité est typique au noyau 4.8 ou bien à toute la série 4.*, ou même antérieures. Ils précisent la version du noyau sur lequel ça a fonctionné, mais pas si ça fonctionne sur les autres.

Je sais juste que les versions 4.4.*, 4.9.* et 4.10.* supportées par la foundation Linux ont été mises à jour le lendemain (https://www.kernel.org/).

Je n'ai pas regardé si mes mises-à-jour comportaient une mise-à-jour noyau (je n'utilise pas les noyaux canonical).


Boubounetou 17.04

Hors ligne

#9 Le 19/03/2017, à 23:13

Tristan07

Re : Ubuntu hacké à Pwn2Own

Merci
16.04 à jour :

Linux Ub180317 4.8.0-42-generic #45~16.04.1-Ubuntu SMP Thu Mar 9 14:10:58 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

hmm


Debian 9 Stable sur portable et poste fixe

Hors ligne

#10 Le 20/03/2017, à 00:54

Underneath

Re : Ubuntu hacké à Pwn2Own

Après, elle n'a pas été publiée donc, inutilisable, et elle sera patchée en temps et en heure. C'est juste que ça rappelle à quel point Linux n'est pas immune. On lit toujours que personne n'a jamais vu de faille sur Linux ou sur Ubuntu : voilà qui est fait. J'attendais avec impatience le concours de cette année et j'avais parié sur la chute de Linux. Mais pas aussi vite.

Et ça, c'est une faille qu'ils ont eu le temps de conserver. Je n'imagine même pas le nombre de failles qui doivent être corrigées d'une version mineure à une autre, ou qui doivent passer entre les mailles du filet.

Fondamentalement, ça ne change rien, ubuntu n'est pas moins sécurisé qu'avant (mais pas mieux non plus), c'est juste qu'on sait parfaitement désormais (même si on le savait déjà), confirmés en plus par les fuites récentes à propos de la CIA, que Linux est parfaitement piratable y compris dans ses versions les plus à jour.


Boubounetou 17.04

Hors ligne

#11 Le 20/03/2017, à 01:19

lepetit

Re : Ubuntu hacké à Pwn2Own

rien n'est infaillible en logiciel, la différence entre windows et linux est surtout lié au fait que les failles sont corrigées sur linux quand on les trouve contrairement a mac ou microsoft ou il en existe pas mal de connues et toujours pas corrigées

Hors ligne

#12 Le 20/03/2017, à 05:57

Rufus T. Firefly

Re : Ubuntu hacké à Pwn2Own

Underneath a écrit :

C'est juste que ça rappelle à quel point Linux n'est pas immune.

Te voilà rassuré !


La provocation est une façon de remettre la réalité sur ses pieds. (Bertolt Brecht)
Il n'y a pas de route royale pour la science et ceux-là seulement ont chance d'arriver à ses sommets lumineux qui ne craignent pas de se fatiguer à gravir ses sentiers escarpés. (Karl Marx)
Il est devenu plus facile de penser la fin du monde que la fin du capitalisme

Hors ligne

#13 Le 20/03/2017, à 10:19

Tristan07

Re : Ubuntu hacké à Pwn2Own

j'avais parié sur la chute de Linux

Je sais que cela concerne le noyau, mais n'est-ce pas mettre ses œufs dans le même panier ?
Debian, openSUSE / SUSELinux, Redhat, Fedora, Tals, BlackArch, Kali auraient elles la même vulnérabilité ? (Même étude / même noyau)

Fondamentalement, ça ne change rien, ubuntu n'est pas moins sécurisé qu'avant (mais pas mieux non plus)

A quoi te réfères-tu pour l'affirmer ?
Merci


Debian 9 Stable sur portable et poste fixe

Hors ligne

#14 Le 20/03/2017, à 10:32

Underneath

Re : Ubuntu hacké à Pwn2Own

Théoriquement oui, dans la mesure où les patches qu'appliquent les distributeurs ont peu de chance de modifier la vulnérabilité. Maintenant, il est aussi possible que l'environnement ou la configuration viennent mitiger la faille. Comme cette faille récente (preuve qu'il y en a un paquet) qui aurait pu être mitigée suivant les distributions (et leur configuration à l'installation) :

https://www.theregister.co.uk/2017/02/2 … arold_bug/

Et pour se faire une idée de la proportion de failles de ce genre qui entrent et sortent.

https://lwn.net/

Sinon, pour revenir au hat-trick consistant à partir d'une page piégée qui toucherait un navigateur Edge puis Windows puis passerait VMware pour aller prendre l'accés root sur l'Ubuntu hote, ce qui est fascinant, c'est que toutes ces failles sont disponibles en même temps. C'est pas comme si elles étaient étalées sur l'année, non, elles existent et sont donc chainables dans le même laps de temps. Comme il y a peu de chance que se soit un hasard, ou un "coup de chance", on peut facilement statuer que ce genre de failles sont plus nombreuses qu'on peut le voir. Il faut regarder "underneath" !

Dernière modification par Underneath (Le 20/03/2017, à 10:32)


Boubounetou 17.04

Hors ligne

#15 Le 21/03/2017, à 13:35

mazarini

Re : Ubuntu hacké à Pwn2Own

Il semble que le noyau ait été corrigé. Qu'en est il de Edge, Windows et VMWare ?


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#16 Le 21/03/2017, à 19:56

Underneath

Re : Ubuntu hacké à Pwn2Own

Je n'ai pas l'impression car je n'ai toujours pas eu de mise-à-jour noyau par canonical. Il y en a eu une autre la semaine dernière :

https://www.theregister.co.uk/2017/03/1 … rnel_vuln/


Boubounetou 17.04

Hors ligne

#17 Le 23/03/2017, à 21:00

catal13

Re : Ubuntu hacké à Pwn2Own

Underneath a écrit :

Sinon, pour revenir au hat-trick consistant à partir d'une page piégée qui toucherait un navigateur Edge puis Windows puis passerait VMware pour aller prendre l'accés root sur l'Ubuntu hote, ce qui est fascinant, c'est que toutes ces failles sont disponibles en même temps. C'est pas comme si elles étaient étalées sur l'année, non, elles existent et sont donc chainables dans le même laps de temps. Comme il y a peu de chance que se soit un hasard, ou un "coup de chance", on peut facilement statuer que ce genre de failles sont plus nombreuses qu'on peut le voir. Il faut regarder "underneath" !

Entièrement d'accord.

Hors ligne

#18 Le 31/03/2017, à 13:34

libc6

Re : Ubuntu hacké à Pwn2Own

On lit toujours que personne n'a jamais vu de faille sur Linux ou sur Ubuntu : voilà qui est fait. J'attendais avec impatience le concours de cette année et j'avais parié sur la chute de Linux. Mais pas aussi vite.

Raccourci volontairement polémique. Nul ne prétend que Gnu/Linux est infaillible en matière de vulnérabilité ! En revanche, il est bien connu pour mieux résister aux attaques virales, de part la séparation des droits et d'autre part ,est plus sécurisé si son utilisateur sait adapter l'outil à ses besoins (réduire sa surface d'attaque).
Comme déjà évoqué par ailleurs, les failles, quand elles sont découvertes, sont patchées dans les heures qui suivent sur un système Gnu/Linux! Maintenant, le problème étant de découvrir les failles avant des personnes mal-intentionnées... Des Audits ne sont pas superflus, en effet. Je crois comprendre que celle découverte concerne le noyau 4, j'en suis au noyau 3.16.
Comme quoi, concentrer tous ses efforts pour toujours être Up Of The Date n'est pas pertinent pour des raisons de sécurité. En la matière, mieux vaut utiliser une distrib qui prend son temps en axant la sécurité globale (boggue/vulnérabilité) AVANT l'innovation qui n'est qu'une vitrine pour attirer les utilisateurs !
Enfin, un anti-virus ne protège pas des exploits (vulnérabilité), qu'on se le dise et quand l'on connait le temps de réaction des géants comme Microsoft ou Apple à reboucher leurs failles, un système libre, reste en effet, plus que judicieux pour les arguments précités (temps de réaction court et immunisé face aux bestioles). Mais il n'est pas parfait, hein wink. D'ailleurs, un code ne peut l'être dès sa naissance, il se bonifie au fur et à mesure.

3.16.0-4-amd64 #1 SMP Debian 3.16.39-1+deb8u2

Tu ne sembles pas avoir acquis les fondamentaux en matière de sécurité! Gnu/Linux livre un truc neutre mais il a bon goût de ne pas permettre un simple telnet sur le port 80, alors que W10, en version standard (pas serveur) en 2017, le permet encore. Je n'ose imaginer le temps de résistance de ce système face au même test.
roll

Dernière modification par libc6 (Le 31/03/2017, à 13:48)


FreeBSD et Devuan... That's all
No SystemD User \ö/

En ligne

#19 Le 31/03/2017, à 20:01

Tristan07

Re : Ubuntu hacké à Pwn2Own

Réflexion très intéressantes libc6, merci de le rappeler.
ton lien devuan.fr ne fonctionne pas wink


Debian 9 Stable sur portable et poste fixe

Hors ligne

#20 Le 01/04/2017, à 18:29

Underneath

Re : Ubuntu hacké à Pwn2Own

libc6 a écrit :

On lit toujours que personne n'a jamais vu de faille sur Linux ou sur Ubuntu : voilà qui est fait. J'attendais avec impatience le concours de cette année et j'avais parié sur la chute de Linux. Mais pas aussi vite.

Raccourci volontairement polémique.

C'est bien tenté, mais ce genre de procédé ne fonctionne pas sur moi, bien désolé.


Boubounetou 17.04

Hors ligne

#21 Le 02/04/2017, à 20:51

libc6

Re : Ubuntu hacké à Pwn2Own

Merci Tristan, faut que je corrige mon lien wink
Sinon Underneath, mon interrogation est légitime. Qui peut, en étant un minimum sérieux, présenter le sujet comme tu le résumes. Tout un chacun sait que l'OS n'est qu'un composant d'une réflexion sur la sécurité qui s'insert dans un long processus. Mais Gnu/Linux ne prétend pas être inviolable, ton constat est érroné ou tries les personnes qui affirment de telles inepties avant d'y apporter ton crédit.
La brique libre (l'OS) est immensément plus saine car plus adaptable et configurable, ce qui, allié, à la réactivité du monde du logiciel libre apporte une solution beaucoup plus rapidement qu'elle ne créer un problème en fait .
https://www.debian.org/security/index.fr.html
«Debian prend les questions de sécurité très au sérieux.»
https://www.debian.org/security/audit/
L'audit est un projet récent mais prouve une fois de plus cette volonté de sécuriser au maximum sa distribution. Je ne sais pas trop pour Ubuntu car je ne suis pas suffisamment Canonical pour préjuger de leur réelle motivation sur ce sujet mais il serait étonnant qu'il ne bénéficie pas des travaux de Debian sur cette problématique dans les temps à venir...

Dernière modification par libc6 (Le 02/04/2017, à 20:56)


FreeBSD et Devuan... That's all
No SystemD User \ö/

En ligne

#22 Le 05/04/2017, à 22:51

Underneath

Re : Ubuntu hacké à Pwn2Own

Le problème ici, c'est principalement Linux, même si Debian et Canonical en sont dépendants. Ici, l'un implique l'autre.

Il doit sans doute y avoir un certain nombre de soucis de sécurité liés à ces distributions, mais les plus répandus concernent le noyau et le navigateur (en ce qui concerne les utilisateurs desktops), donc, le problème propre à chaque distribution est orthogonal.

Grossomodo, c'est le même débat qui existe entre Brad Spengler et Linus Torvalds. Et personnellement, je suis complètement d'accord avec le premier. Donc, je parierai toujours sur la chute d'une distribution Linux à ce genre de contests dans l'état actuel des choses.


Boubounetou 17.04

Hors ligne

#23 Le 05/04/2017, à 23:41

Tristan07

Re : Ubuntu hacké à Pwn2Own

Grossomodo, c'est le même débat qui existe entre Brad Spengler et Linus Torvalds

Sécurité vs ... performances, adaptabilité, etc ?

Donc, je parierai toujours sur la chute d'une distribution Linux à ce genre de contests dans l'état actuel des choses

C'est amusant ce terme de "je parierai" ... Moi je souhaite parier sur la pertinence du Logiciel LIbre et tout le positionnement, l'angle de vision que ce dernier implique.

Question 01 : Quel système d'exploitation utilises-tu sur ton laptop/desktop et pourquoi as tu choisi ce système d'exploitation particulier ?

]Spender : Je sais que cela va probablement énerver certains des lecteurs, mais en ce moment je suis en train d'utiliser Windows 7 RC. Avant ça, je faisais tourner Windows Vista et je n'ai pas utilisé Linux sur ma machine principale environ depuis la fac. Maintenant que j'ai un boulot et que mon temps libre est limité, je ne peux plus perdre des jours à essayer de faire fonctionner tel ou tel pilote ou à essayer de récupérer un système complètement cassé parce que je ne l'ai pas mis à jour depuis un certain temps et que maintenant je veux mettre à jour Pidgin. Si je veux mettre à jour une application spécifique sur la machine alors je veux juste updater cette application - Je ne veux pas avoir à mettre à jour 140 autres dépendances.

Je sais ça date de 2009 ... Je parie ... qu'il est sur Windows 10 maintenant ! big_smile
Blague à part je ne connaissais pas B.S n'y le fonctionnement de grsecurity, merci.

Dernière modification par Tristan07 (Le 05/04/2017, à 23:44)


Debian 9 Stable sur portable et poste fixe

Hors ligne

#24 Le 06/04/2017, à 17:57

Underneath

Re : Ubuntu hacké à Pwn2Own

Tristan07 a écrit :

Grossomodo, c'est le même débat qui existe entre Brad Spengler et Linus Torvalds

Sécurité vs ... performances, adaptabilité, etc ?

Donc, je parierai toujours sur la chute d'une distribution Linux à ce genre de contests dans l'état actuel des choses

C'est amusant ce terme de "je parierai" ... Moi je souhaite parier sur la pertinence du Logiciel LIbre et tout le positionnement, l'angle de vision que ce dernier implique.

Tu as la réponse à la question dans la même phrase.

On compare souvent la sécurité informatique à la théorie des jeux. Moi, ce qui m'intéresse dans l'informatique et Internet, c'est la sécurité, car c'est comme un jeu d'échec. Le reste m'intéresse peu, voire pas. Du coup, je suis pas très callé en informatique "générale" comparé "à la moyenne", mais bien plus callé que "cette moyenne" quand il s'agit de sécurité, car je trouve ça intéressant.

C'est juste une question d'intérêt. Donc théorie des jeux = je parie.


Boubounetou 17.04

Hors ligne