Faille locale : passez en root comme rien !

Bigcake · Le 09/11/2009, à 11:22

Parce que donner les droits root à 1 programme donne les droits root à tous les autres programmes ??? On m'aurait menti !??!!

ps: Le post du farfadet que tu link va dans mon sens, l'installeur .deb n'execute pas le logiciel installé, et pour choper ton mot de passe su/sudo, il faudrai deja que le keyloggeur soit installé et lancé. Faille ou pas faille, dans ce cas la, c'est une autre histoire.

Dernière modification par Bigcake (Le 09/11/2009, à 11:43)

bloublou · Le 09/11/2009, à 11:57

Non, le logiciel d'installation n'execute en effet pas le programme, il exécute juste le script d'installation de ce programme.
DONC si c'est le script d'installation qui est malveillant, ce script a les droits root et peut t'installer tout ce qu'il veut, genre des scripts de démarrage qui tournent sous l'utilisateur root, voire créer un utilisateur bidon qui pourra ensuite être utilisé pour se loguer chez toi en ssh.

compte supprimé · Le 09/11/2009, à 12:02

hopimet a écrit :

Sinon sur mon laptop sous Hardy et Wine installé
cat /proc/sys/vm/mmap_min_addr renvoie 65536
Mais sur mon serveur sous Debian Lenny sans Wine
cat /proc/sys/vm/mmap_min_addr renvoie 0

Je n'ai pas tout relu en détail mais finalement c'est la faute de Wine ou pas ?

Bigcake · Le 09/11/2009, à 12:22

louizatakk a écrit :

il exécute juste le script d'installation de ce programme [..] ce script a les droits root

aouch, j'avais pas pensé à ça , mon exemple du .deb est pas top alors.

sylvainsjc · Le 09/11/2009, à 12:28

Bigcake a écrit :

Parce que donner les droits root à 1 programme donne les droits root à tous les autres programmes ??? On m'aurait menti !??!!

Meuh non... enfin l'autre

Il faut toujours être sur de ses sources c'est tout (et encore...) De toutes façons la sécurité zéro ça n'existe pas.

Dernière modification par sylvainsjc (Le 09/11/2009, à 12:28)

compte supprimé · Le 09/11/2009, à 12:31

sylvainsjc a écrit :

De toutes façons la sécurité zéro ça n'existe pas.

Si, ça, ça existe. Je connais plein de PC dont la sécurité est à zéro.
C'est le risque zéro qui n'existe pas.

Bigcake · Le 09/11/2009, à 12:35

hopimet a écrit :

sylvainsjc a écrit :
De toutes façons la sécurité zéro ça n'existe pas.
Si, ça, ça existe. Je connais plein de PC dont la sécurité est à zéro.

MDR, w.....s ?

Dernière modification par Bigcake (Le 09/11/2009, à 12:35)

compte supprimé · Le 09/11/2009, à 12:44

Bigcake a écrit :

hopimet a écrit :
sylvainsjc a écrit :
De toutes façons la sécurité zéro ça n'existe pas.
Si, ça, ça existe. Je connais plein de PC dont la sécurité est à zéro.
MDR, w.....s ?

C'est pas moi qui l'ait dit

Bon sinon j'insiste avec ma question : c'est wine ou pas la cause de la faille ?

Fr_neo · Le 09/11/2009, à 12:56

La communauté du libre se penche t-elle sur un correctif ?

sylvainsjc · Le 09/11/2009, à 13:00

hopimet a écrit :

Bon sinon j'insiste avec ma question : c'est wine ou pas la cause de la faille ?

Oui c'est Wine d'une part qui passe le paramètre mmap_min_addr à zéro et le kernel d'autre part qui autorise le passage à zéro alors qu'il devrait l'interdire

djiock · Le 09/11/2009, à 13:03

Pasqu'à partir du moment que ce paramètre est à 0, il n'y a rien à faire ? Que ne plus l'avoir à 0 ?

Je veux dire on ne pourrait pas imaginer une mise à jour du noyau qui laisse ce paramètre à 0, mais empêche l'exploit ?

compte supprimé · Le 09/11/2009, à 13:07

sylvainsjc a écrit :

hopimet a écrit :
Bon sinon j'insiste avec ma question : c'est wine ou pas la cause de la faille ?
Oui c'est Wine d'une part qui passe le paramètre mmap_min_addr à zéro et le kernel d'autre part qui autorise le passage à zéro alors qu'il devrait l'interdire

Comment t'explique ça alors ?

Mais sur mon serveur sous Debian Lenny sans Wine
cat /proc/sys/vm/mmap_min_addr renvoie 0

Je n'ai JAMAIS installé Wine sur ce serveur...
(voir mon post 78 et précédent)

HymnToLife · Le 09/11/2009, à 14:26

hopimet a écrit :

sylvainsjc a écrit :
hopimet a écrit :
Bon sinon j'insiste avec ma question : c'est wine ou pas la cause de la faille ?
Oui c'est Wine d'une part qui passe le paramètre mmap_min_addr à zéro et le kernel d'autre part qui autorise le passage à zéro alors qu'il devrait l'interdire
Comment t'explique ça alors ?
Mais sur mon serveur sous Debian Lenny sans Wine
cat /proc/sys/vm/mmap_min_addr renvoie 0
Je n'ai JAMAIS installé Wine sur ce serveur...
(voir mon post 78 et précédent)

Eh bien il y a autre chose qui te l'a passé à 0, pardi. On parle de Wine parce que c'est la principale raison pour laquelle on la voudrait à 0, mais ça n'est pas forcément la seule.

kuri · Le 09/11/2009, à 14:48

comment une vieille faille est revenue ici ?
l exploit (a la base wunderbar_emporium) est sorti un peu avant mi-aout, et ca a l air d en parler comme si c etait nouveau ?

HymnToLife · Le 09/11/2009, à 15:03

kuri a écrit :

comment une vieille faille est revenue ici ?
l exploit (a la base wunderbar_emporium) est sorti un peu avant mi-aout, et ca a l air d en parler comme si c etait nouveau ?

D'où mon premier message. Je croyais qu'il y en avait encore une, et je me disais que ça commençait à faire beaucoup.

compte supprimé · Le 09/11/2009, à 15:11

HymnToLife a écrit :

Eh bien il y a autre chose qui te l'a passé à 0, pardi. On parle de Wine parce que c'est la principale raison pour laquelle on la voudrait à 0, mais ça n'est pas forcément la seule.

Ouais, j'avais bien compris mais là ça devient un peu chiant parce que je n'ai vraiment rien de spécial sur ce serveur. Que du classique (apache, ssh, exim) et les logiciels de base de Lenny.

Ce serait peut être intéressant d'avoir une liste des soft installés qui peuvent mettre cette valeur à 0. Ou alors faut vérifier après chaque install...

Bigcake · Le 09/11/2009, à 15:17

kuri a écrit :

comment une vieille faille est revenue ici ?

Avec l'arrivé de karmic, qui contient tjs la faille qd on install wine

kuri a écrit :

l exploit (a la base wunderbar_emporium) est sorti un peu avant mi-aout, et ca a l air d en parler comme si c etait nouveau ?

J'ai pas compris la question mais j'ai l'impression que tu parle de cette faille

Ce post parle de celle la

Et d'après, tux-planet, si je comprend bien, il faut passer en 2.6.32, pour ne plus avoir la faille, sa me parait bizarre qd même.

tux-planet a écrit :

Une nouvelle faille de sécurité a été découverte dans le noyau Linux pour les versions inférieures à la 2.6.32. L'exploit permet à un simple utilisateur de passer root. La seule solution pour contrer ce type d'attaque est de mettre à jour son système.

Dernière modification par Bigcake (Le 09/11/2009, à 15:24)

Link31 · Le 09/11/2009, à 15:47

sylvainsjc a écrit :

hopimet a écrit :
Bon sinon j'insiste avec ma question : c'est wine ou pas la cause de la faille ?
Oui c'est Wine d'une part qui passe le paramètre mmap_min_addr à zéro et le kernel d'autre part qui autorise le passage à zéro alors qu'il devrait l'interdire

Non.

La cause de la faille est bien évidemment le kernel qui ne devrait pas permettre de placer du code dans la première page. Cela dit, il existe un paramètre mmap_min_addr qui est par défaut à 4096 dans le noyau officiel (vanilla), qui peut prévenir l'exploitation de toute cette catégorie de failles. Mais ce paramètre peut gêner certains programmes, en particulier Wine avec de très vieux exécutables windows 16 bits.

Les développeurs d'Ubuntu (enfin, ça vient probablement de Debian) ont apparemment décidé que les programmes windows 16 bits étaient une raison suffisante pour passer ce paramètre à 0 et se rendre potentiellement vulnérable à toutes les futures failles plaçant du code à la page zéro. Wine ne touche pas de sa propre initiative à ce paramètre, c'est bien les mainteneurs de la distribution qui en sont responsables.

Personnellement, je trouve ça parfaitement stupide. Qui utilise encore des programmes DOS ou windows 16 bits, d'autant plus sous GNU/Linux ?

sylvainsjc · Le 09/11/2009, à 16:04

Non.

L'exploit fonctionne sur Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4)
==> Source

Tu insinues donc que les devs d'Ubuntu ont aussi compilé le kernel des ces autres distribs ?

Dernière modification par sylvainsjc (Le 09/11/2009, à 16:05)

Link31 · Le 09/11/2009, à 16:17

sylvainsjc a écrit :

Non.
L'exploit fonctionne sur Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4)
==> Source
Tu insinues donc que les devs d'Ubuntu ont aussi compilé le kernel des ces autres distribs ?

- la valeur par défaut de mmap_min_addr dans le kernel vanilla est 4096
- Wine lancé dans une session utilisateur n'a PAS les droits pour modifier dynamiquement cette valeur
- l'exploit ne fonctionne pas sur ma Gentoo, où les utilisateurs (moi) compilent eux-mêmes leur kernel, lisent la documentation et évitent de faire des choix stupides

Toutes les distributions que tu cites sont soit trop vieilles pour intégrer mmap_min_addr, soit trop focalisées sur l'"expérience desktop" et en arrivent à négliger des paramètres importants de sécurité sous prétexte de faire tourner des applications windows 16 bits. C'est ce qu'on appelle les distributions "grand public", les plus proches parmi l'écosystème GNU/Linux du niveau de sécurité habituel de Windows.
Pour Debian Lenny, ils ont normalement une bonne politique de sécurité, mais ça arrive à tout le monde de faire des bêtises.

Dernière modification par Link31 (Le 09/11/2009, à 16:20)

djiock · Le 09/11/2009, à 16:31

C'est moi ou ça trolle un poil là ?

sylvainsjc · Le 09/11/2009, à 16:33

Troll en vue...

Oui surement que l'exploit ne fonctionne pas chez toi mais ici c'est un forum quand même à destination du grand public qui ne compile surement pas (moi inclus) son kernel

Et comparer la sécurité d'Ubuntu à Windows - Aie Aie Aie !!!

Attendons le fix

Dernière modification par sylvainsjc (Le 09/11/2009, à 16:35)

Grünt · Le 09/11/2009, à 18:52

Surtout que pour utiliser des logiciels DOS 16 bits, Freedos est bien meilleur que Wine.

HymnToLife · Le 09/11/2009, à 19:01

Link31 a écrit :

C'est ce qu'on appelle les distributions "grand public", les plus proches parmi l'écosystème GNU/Linux du niveau de sécurité habituel de Windows.
Pour Debian Lenny, ils ont normalement une bonne politique de sécurité, mais ça arrive à tout le monde de faire des bêtises.

La politique de sécurité d'Ubuntu est au moins aussi bonne que celle de Debian stable. Sans doute meilleure, même, puisque les mises à jour de sécurité y sont généralement disponibles plus rapidement.

Prosis · Le 09/11/2009, à 19:49

Ah merci de vos réponses. Je trouvais ça étrange aussi d'avoir à compiler un exploit. Mais j'avais pas pensé à ca

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#76 Le 09/11/2009, à 11:22

Re : Faille locale : passez en root comme rien !

#77 Le 09/11/2009, à 11:57

Re : Faille locale : passez en root comme rien !

#78 Le 09/11/2009, à 12:02

Re : Faille locale : passez en root comme rien !

#79 Le 09/11/2009, à 12:22

Re : Faille locale : passez en root comme rien !

#80 Le 09/11/2009, à 12:28

Re : Faille locale : passez en root comme rien !

#81 Le 09/11/2009, à 12:31

Re : Faille locale : passez en root comme rien !

#82 Le 09/11/2009, à 12:35

Re : Faille locale : passez en root comme rien !

#83 Le 09/11/2009, à 12:44

Re : Faille locale : passez en root comme rien !

#84 Le 09/11/2009, à 12:56

Re : Faille locale : passez en root comme rien !

#85 Le 09/11/2009, à 13:00

Re : Faille locale : passez en root comme rien !

#86 Le 09/11/2009, à 13:03

Re : Faille locale : passez en root comme rien !

#87 Le 09/11/2009, à 13:07

Re : Faille locale : passez en root comme rien !

#88 Le 09/11/2009, à 14:26

Re : Faille locale : passez en root comme rien !

#89 Le 09/11/2009, à 14:48

Re : Faille locale : passez en root comme rien !

#90 Le 09/11/2009, à 15:03

Re : Faille locale : passez en root comme rien !

#91 Le 09/11/2009, à 15:11

Re : Faille locale : passez en root comme rien !

#92 Le 09/11/2009, à 15:17

Re : Faille locale : passez en root comme rien !

#93 Le 09/11/2009, à 15:47

Re : Faille locale : passez en root comme rien !

#94 Le 09/11/2009, à 16:04

Re : Faille locale : passez en root comme rien !

#95 Le 09/11/2009, à 16:17

Re : Faille locale : passez en root comme rien !

#96 Le 09/11/2009, à 16:31

Re : Faille locale : passez en root comme rien !

#97 Le 09/11/2009, à 16:33

Re : Faille locale : passez en root comme rien !

#98 Le 09/11/2009, à 18:52

Re : Faille locale : passez en root comme rien !

#99 Le 09/11/2009, à 19:01

Re : Faille locale : passez en root comme rien !

#100 Le 09/11/2009, à 19:49

Re : Faille locale : passez en root comme rien !

Pied de page des forums