dirtycow est une faille du noyau qui existe depuis 9 ans, elle vient d'être rendue publique cette semaine.
http://www.nextinpact.com/news/101856-une-faille-dans-kernel-linux-vieille-9...
http://arstechnica.com/security/2016/10/most-serious-linux-privilege-escalat...
Mettez vos systèmes à jour !
Désolé Philippe,
Non content d'avoir ses propres failles de sécurité sur Windows 10, Microsoft va devoir compter avec les nombreuses failles de Linux qu'il inclut dans son Minux ! ... Est ce que Mark a trouvé le moyen de couler Microsoft...
Trop c'est trop !!
Bon là c'est décidé, je quitte Windows ! Au moins sous Linux, je n'aurais que ses propres failles !
Petite Question... Depuis 10 ans on comptabilise les failles de sécurité sur Linux, Mac OS, et Windows, quel est l'ordre dans le nombre de faille de ces différents systèmes ?
Question subsidiaire, quelle est la couleur du cheval bleu d'Henri IV ?
Le 21 oct. 2016 à 22:04, pl pl@artisanlogiciel.net a écrit :
dirtycow est une faille du noyau qui existe depuis 9 ans, elle vient d'être rendue publique cette semaine.
http://www.nextinpact.com/news/101856-une-faille-dans-kernel-linux-vieille-9...
http://arstechnica.com/security/2016/10/most-serious-linux-privilege-escalat...
Mettez vos systèmes à jour !
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Hello,
Le 22/10/2016 à 00:14, Sappas a écrit :
Désolé Philippe,
Non content d'avoir ses propres failles de sécurité sur Windows 10, Microsoft va devoir compter avec les nombreuses failles de Linux qu'il inclut dans son Minux ! ... Est ce que Mark a trouvé le moyen de couler Microsoft...
Le linux natif dans Windaubeten n'est pas estampillé Kernel GNU/Linux mais plutôt Microsoft tout court (Merci à Philippe pour ce rappel!)
Trop c'est trop !!
Bon là c'est décidé, je quitte Windows ! Au moins sous Linux, je n'aurais que ses propres failles !
Avec systemd sous GNU/Linux, on n'est pas encore sorti de l'auberge !
Petite Question... Depuis 10 ans on comptabilise les failles de sécurité sur Linux, Mac OS, et Windows, quel est l'ordre dans le nombre de faille de ces différents systèmes ?
La réponse se trouve dans l’émission Cash Investigation ...
Question subsidiaire, quelle est la couleur du cheval bleu d'Henri IV ?
Ce n'est pas plutôt le cheval blanc d'Henri IV ?
Le 22 oct. 2016 à 15:33, David Pinson dptech06@gmail.com a écrit :
Hello,
Le 22/10/2016 à 00:14, Sappas a écrit : Désolé Philippe,
Non content d'avoir ses propres failles de sécurité sur Windows 10, Microsoft va devoir compter avec les nombreuses failles de Linux qu'il inclut dans son Minux ! ... Est ce que Mark a trouvé le moyen de couler Microsoft...
Le linux natif dans Windaubeten n'est pas estampillé Kernel GNU/Linux mais plutôt Microsoft tout court (Merci à Philippe pour ce rappel!)
Tu es naïf si tu crois que Microsoft a tout réécris... Il y a eut un échange de licence par l'intermédiaire d'Ubuntu... Avec leur tambouille sur snap... Ubuntu a publié cet accord lors de la sortie de la 16.04
Trop c'est trop !!
Bon là c'est décidé, je quitte Windows ! Au moins sous Linux, je n'aurais que ses propres failles !
Avec systemd sous GNU/Linux, on n'est pas encore sorti de l'auberge !
Petite Question... Depuis 10 ans on comptabilise les failles de sécurité sur Linux, Mac OS, et Windows, quel est l'ordre dans le nombre de faille de ces différents systèmes ?
La réponse se trouve dans l’émission Cash Investigation ...
Sur le web, c'est publié tout les ans ! http://www.cvedetails.com/top-50-products.php?year=0
Question subsidiaire, quelle est la couleur du cheval bleu d'Henri IV ?
Ce n'est pas plutôt le cheval blanc d'Henri IV ?
Oui mais j'avais envie qu'il soit bleu ! Bref mon mail était une boutade, il est malheureux que certains me prennent au pied de la lettre !
-- Linuxement vôtre,
dptech ~ David Pinson http://www.linux-azur.org
var beer = new beer(); if (beer.empty) { beer.refill(); } else { beer.drink(); }
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Le 22/10/2016 à 15:58, Sappas a écrit :
Question subsidiaire, quelle est la couleur du cheval bleu d'Henri IV ?
Ce n'est pas plutôt le cheval blanc d'Henri IV ?
Oui mais j'avais envie qu'il soit bleu ! Bref mon mail était une boutade, il est malheureux que certains me prennent au pied de la lettre !
J'ai mieux à faire... La vie à vivre est belle <3
Salutations ensoleillées,
Le 22 oct. 2016 à 20:53, Véronique Fritière vfritiere@free.fr a écrit :
Le 22/10/2016 à 15:58, Sappas a écrit :
Question subsidiaire, quelle est la couleur du cheval bleu d'Henri IV ?
Ce n'est pas plutôt le cheval blanc d'Henri IV ?
Oui mais j'avais envie qu'il soit bleu ! Bref mon mail était une boutade, il est malheureux que certains me prennent au pied de la lettre !
J'ai mieux à faire... La vie à vivre est belle <3
Pourquoi faut il, que tu sois toujours blessante et condescendante, peut être es tu dans ton rôle de présidente ?
Après il ne faut pas s'étonner qu'à vos RAL, vous ne rassembliez que des Geek ou des initiés !
Je ne fais pas du prosélytisme pro libre ou pro propriétaire, j'accepte tout le monde ! Personne n'est responsable de ce qu'il trouve en magasin !
Pour en revenir au sujet Linux et Mac OS qui représente un grosse dizaine de pourcentage de part de marché représente la plus grosse part des failles de sécurité... Ce n'est pas un argument en notre faveur, mais ce n'est pas une raison pour l'occulter ! L'obscurantisme ne fait pas parti de mes principes ! J'aime Linux, Firefox mais je les vois tel qu'ils sont c'est à dire imparfaits comme tout les OS.
Salutations ensoleillées,
-- Véronique Fritière ~ Linux ? C'est le luxe ! Linuxazuréenne http://www.linux-azur.org Afulienne https://aful.org Chef de projet Multimédia http://webverow.com _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
On 22/10/2016 22:04, Sappas wrote:
Pour en revenir au sujet Linux et Mac OS qui représente un grosse dizaine de pourcentage de part de marché représente la plus grosse part des failles de sécurité...
Cela dépends des chiffres que tu prends, il faudrait classer les vulnérabilités par dangerosité et par utilisation.
Je peux décider de prendre les statistiques sous un autre angle, par exemple le nombre d'exploits par système :
http://www.cvedetails.com/vendor/33/Linux.html 29 exploits
http://www.cvedetails.com/vendor/49/Apple.html 48 exploits
http://www.cvedetails.com/vendor/26/Microsoft.html 192 exploits
On peut décider d'en tirer une conclusion immédiate, elle ne serait pas plus juste que celle du nombre de vulnérabilités. Les systèmes les plus répandus sont aussi les plus exposés.
Le nombre de faille n'est pas complet.
Les failles utilisant les pilotes propriétaire qui n'apparaissent pas en tant que vendor du système: https://www.cvedetails.com/vulnerability-list/vendor_id-5264/Nvidia.html . Par exemple https://www.cvedetails.com/cve/CVE-2013-5986/ [ qui affecte tous les systèmes utilisant le pilote propriétaire ... ] ne sera pas comptabilise en tant que vulnérabiltié Microsoft, ce qui est normal.
Un système linux sans utilisation de pilote propriétaire n'est exposé qu'à ses failles, pour les autres il faut cumuler ceux de tous les pilotes potentiels.
Et il faut ajouter à cela le support des architectures matérielles, nombre de vulnérabilité du noyau linux l'on été pour les architectures ARM poussés probablement par l'utilisation de linux en tant que noyau pour les téléphones portables sous android et par l'activité accrue sur ces plateformes de manière générale.
Autant dire que pour donner une bonne lecture d'expositions des vulnérabilités d'un système donné, il n'est pas aisé de simplifier ...
D'autres facteurs jouent : Pour un système propriétaire il est plus facile de corriger silencieusement une faille sans en publier une CVE publique. Il y a des organismes d'états intéressés à conserver privées des failles pour pouvoir les utiliser à dessein.
En matière de sécurité il est préférable d'exposer le code source pour donner à tous d'auditer la qualité du logiciel et de comprendre en profondeur lorsqu'une faille est trouvée d'où vient le problème. Il est plus difficile de créer des vulnérabilités volontaires dans un système où le code est fourni, même si cela reste possible et a été démontré ( dans le cadre des machines à voter ). La mantra de Bruce Schneier, expert reconnu et auteur de nombreux livres sur la sécurité informatique est 'Sécurité réelle : pas de sécurité par l'obscurité' ( https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_par_l%27obscurit%C3%A9).
L'important est le temps d'exposition de la vulnérabilité entre le temps où la faille est découverte et celle où elle corrigée. Et il est très difficile d'obtenir des chiffre fiables pour le temps réél d'exposition. Dans le cas du logiciel libre, aucun éditeur ne peut empêcher ses utilisateurs de chercher à corriger le problème et de fournir un correctif.
Ce n'est pas un argument en notre faveur, mais ce n'est pas une raison pour l'occulter ! L'obscurantisme ne fait pas parti de mes principes ! J'aime Linux, Firefox mais je les vois tel qu'ils sont c'est à dire imparfaits comme tout les OS.
Rien est parfait en ce monde. Il existe des systèmes tes OpenBSD qui placent la sécurité au coeur de tous leurs développements, ces systèmes sont très certainement les plus sûrs à l'heure actuelle.
A chacun de choisir le système qui lui convient.
On 21/10/2016 22:04, pl wrote:
dirtycow est une faille du noyau qui existe depuis 9 ans, elle vient d'être rendue publique cette semaine.
http://www.nextinpact.com/news/101856-une-faille-dans-kernel-linux-vieille-9...
http://arstechnica.com/security/2016/10/most-serious-linux-privilege-escalat...
Mettez vos systèmes à jour !
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Et pour les serveurs il est nécessaire de redémarrer le système, car il s'agit de redémarrer sur le nouveau noyau.
Le 21/10/2016 à 22:04, pl a écrit :
dirtycow est une faille du noyau qui existe depuis 9 ans, elle vient d'être rendue publique cette semaine.
Mettez vos systèmes à jour !
Salut Philippe, j'ai cherché un moyen simple et accessible à tous pour vérifier que le correctif avait été appliqué sur la machine... A part le pugilat sur Linux.fr, je n'ai pas encore su trouver une information simple?
A+ Vincent.
On 10/23/2016 07:07 PM, Vincent wrote: (dirtycow)
j'ai cherché un moyen simple et accessible à tous pour vérifier que le correctif avait été appliqué sur la machine... A part le pugilat sur Linux.fr, je n'ai pas encore su trouver une information simple?
Pour Debian les versions du kernel sont là :
https://security-tracker.debian.org/tracker/CVE-2016-5195
...et sinon la page dirtycow a les liens pour les autres distros :
http://dirtycow.ninja/ "Where can I find more information?"
Vincent.
On 23/10/2016 19:07, Vincent wrote:
Le 21/10/2016 à 22:04, pl a écrit :
dirtycow est une faille du noyau qui existe depuis 9 ans, elle vient d'être rendue publique cette semaine.
Mettez vos systèmes à jour !
Salut Philippe, j'ai cherché un moyen simple et accessible à tous pour vérifier que le correctif avait été appliqué sur la machine... A part le pugilat sur Linux.fr, je n'ai pas encore su trouver une information simple?
Comme il s'agit d'une faille portée par une race condition je pense qu'elle est très dépendante du nombre de coeurs de ta machine. L'exploit est donc assez aléatoire et peut ne pas sembler affecter ta machine sur une série de tests. Pour ma part je me suis contenté de vérifier que le noyau utilisé était bien celui du paquet debian contenant le correctif...
A+ Vincent. _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Le 23/10/2016 à 19:15, Vincent Stehlé a écrit :
Pour Debian les versions du kernel sont là : https://security-tracker.debian.org/tracker/CVE-2016-5195
...et sinon la page dirtycow a les liens pour les autres distros :
http://dirtycow.ninja/ "Where can I find more information?"
Ok, j'ai donc suivi le lien pour les Ubuntu. Et avec un : $ uname -a Linux Lebar 3.13.0-98-generic #145-Ubuntu SMP Sat Oct 8 20:13:07 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
Comme je suis en Xubuntu 14.04 LTS, j'en ai déduit que c'était ce package :
Package Source: linux https://people.canonical.com/%7Eubuntu-security/cve/pkg/linux.html (LP https://launchpad.net/distros/ubuntu/+source/linux Ubuntu http://packages.ubuntu.com/search?suite=all§ion=all&arch=any&searchon=sourcenames&keywords=linux Debian https://packages.qa.debian.org/linux) Upstream: needs-triage Ubuntu 12.04 LTS (Precise Pangolin) https://launchpad.net/ubuntu/precise/+source/linux: released (3.2.0-113.155) Ubuntu 14.04 LTS (Trusty Tahr) https://launchpad.net/ubuntu/trusty/+source/linux: released (3.13.0-100.147) Ubuntu Touch 15.04: DNE Ubuntu Core 15.04: pending (3.19.0-73.81) Ubuntu 16.04 LTS (Xenial Xerus) https://launchpad.net/ubuntu/xenial/+source/linux: released (4.4.0-45.66) Ubuntu 16.10 (Yakkety Yak) https://launchpad.net/ubuntu/yakkety/+source/linux: released (4.8.0-26.28) Ubuntu 17.04 (Zesty Zapus) https://launchpad.net/ubuntu/zesty/+source/linux:
Le 23/10/2016 à 20:15, pl a écrit :
Comme il s'agit d'une faille portée par une race condition je pense qu'elle est très dépendante du nombre de coeurs de ta machine. L'exploit est donc assez aléatoire et peut ne pas sembler affecter ta machine sur une série de tests. Pour ma part je me suis contenté de vérifier que le noyau utilisé était bien celui du paquet debian contenant le correctif...
Oui, c'est bien ce que je cherche : vérifier que le noyau installé contient bien le correctif. Visiblement, dans mon cas, il faudrait avoir le (3.13.0-100.147) au lieu du 3.13.0-98-generic... Bon, je n'ai pas redémarré, mais un dpkg -l | grep -Ei "linux-(g|h|i|lo|si|t)" ne m'a pas listé non plus ce paquet installé... Vais-je devoir mettre à niveau vers la 16.04?
A+ Vincent.
On 23/10/2016 20:54, Vincent wrote:
Le 23/10/2016 à 19:15, Vincent Stehlé a écrit :
Pour Debian les versions du kernel sont là : https://security-tracker.debian.org/tracker/CVE-2016-5195
...et sinon la page dirtycow a les liens pour les autres distros :
http://dirtycow.ninja/ "Where can I find more information?"
Ok, j'ai donc suivi le lien pour les Ubuntu. Et avec un : $ uname -a Linux Lebar 3.13.0-98-generic #145-Ubuntu SMP Sat Oct 8 20:13:07 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
Comme je suis en Xubuntu 14.04 LTS, j'en ai déduit que c'était ce package :
Package Source: linux https://people.canonical.com/%7Eubuntu-security/cve/pkg/linux.html (LP https://launchpad.net/distros/ubuntu/+source/linux Ubuntu http://packages.ubuntu.com/search?suite=all§ion=all&arch=any&searchon=sourcenames&keywords=linux Debian https://packages.qa.debian.org/linux) Upstream: needs-triage Ubuntu 12.04 LTS (Precise Pangolin) https://launchpad.net/ubuntu/precise/+source/linux: released (3.2.0-113.155) Ubuntu 14.04 LTS (Trusty Tahr) https://launchpad.net/ubuntu/trusty/+source/linux: released (3.13.0-100.147) Ubuntu Touch 15.04: DNE Ubuntu Core 15.04: pending (3.19.0-73.81) Ubuntu 16.04 LTS (Xenial Xerus) https://launchpad.net/ubuntu/xenial/+source/linux: released (4.4.0-45.66) Ubuntu 16.10 (Yakkety Yak) https://launchpad.net/ubuntu/yakkety/+source/linux: released (4.8.0-26.28) Ubuntu 17.04 (Zesty Zapus) https://launchpad.net/ubuntu/zesty/+source/linux:
Le 23/10/2016 à 20:15, pl a écrit :
Comme il s'agit d'une faille portée par une race condition je pense qu'elle est très dépendante du nombre de coeurs de ta machine. L'exploit est donc assez aléatoire et peut ne pas sembler affecter ta machine sur une série de tests. Pour ma part je me suis contenté de vérifier que le noyau utilisé était bien celui du paquet debian contenant le correctif...
Oui, c'est bien ce que je cherche : vérifier que le noyau installé contient bien le correctif. Visiblement, dans mon cas, il faudrait avoir le (3.13.0-100.147) au lieu du 3.13.0-98-generic... Bon, je n'ai pas redémarré, mais un dpkg -l | grep -Ei "linux-(g|h|i|lo|si|t)" ne m'a pas listé non plus ce paquet installé... Vais-je devoir mettre à niveau vers la 16.04?
non je ne pense pas qu'il soit nécessaire de mettre à niveau, une mise à jour doit suffire, il est cependant nécessaire de redémarrer pour activer le nouveau noyau. as-tu essayé sudo apt-get dist-upgrade ?
C'est quoi le contenu de ton /etc/apt/sources.list ?
A+ Vincent.
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
Le 23/10/2016 à 21:02, pl a écrit :
non je ne pense pas qu'il soit nécessaire de mettre à niveau, une mise à jour doit suffire, il est cependant nécessaire de redémarrer pour activer le nouveau noyau. as-tu essayé sudo apt-get dist-upgrade ?
C'est quoi le contenu de ton /etc/apt/sources.list ?
Heu... je voulais poster quelque chose de simple pour tous! 80) Il me semble que tout y est, mais je viens juste de rentrer à la maison, 'PC Off' depuis mercredi.
Le 23/10/2016 à 21:13, pl a écrit :
La page relative à la CVE-2016-5195 http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2016-5195 pour ubuntu 14.04 LTS est la suivante : https://www.ubuntu.com/usn/usn-3105-1/
avec dist-upgrade et un reboot cela doit suffire
Merci, le lien confirme ce que je pensais. Noyau ok --> linux-image-3.13.0-100-generic / 3.13.0-100.147 Il y a eu une mise à jour ce soir, je revérifierais après le prochain démarrage, avant de la lancer 'à la main'!
Merci, Vincent.
Le 23/10/2016 à 21:25, Vincent a écrit :
Noyau ok --> linux-image-3.13.0-100-generic / 3.13.0-100.147 Il y a eu une mise à jour ce soir, je revérifierais après le prochain démarrage, avant de la lancer 'à la main'!
Ok, j'ai redémarré, et la mise en jour vers le noyau 3.13.0-100-generic est en cours...
A+
On 23/10/2016 20:54, Vincent wrote:
Le 23/10/2016 à 19:15, Vincent Stehlé a écrit :
Pour Debian les versions du kernel sont là : https://security-tracker.debian.org/tracker/CVE-2016-5195
...et sinon la page dirtycow a les liens pour les autres distros :
http://dirtycow.ninja/ "Where can I find more information?"
Ok, j'ai donc suivi le lien pour les Ubuntu. Et avec un : $ uname -a Linux Lebar 3.13.0-98-generic #145-Ubuntu SMP Sat Oct 8 20:13:07 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
Comme je suis en Xubuntu 14.04 LTS, j'en ai déduit que c'était ce package :
Package Source: linux https://people.canonical.com/%7Eubuntu-security/cve/pkg/linux.html (LP https://launchpad.net/distros/ubuntu/+source/linux Ubuntu http://packages.ubuntu.com/search?suite=all§ion=all&arch=any&searchon=sourcenames&keywords=linux Debian https://packages.qa.debian.org/linux) Upstream: needs-triage Ubuntu 12.04 LTS (Precise Pangolin) https://launchpad.net/ubuntu/precise/+source/linux: released (3.2.0-113.155) Ubuntu 14.04 LTS (Trusty Tahr) https://launchpad.net/ubuntu/trusty/+source/linux: released (3.13.0-100.147) Ubuntu Touch 15.04: DNE Ubuntu Core 15.04: pending (3.19.0-73.81) Ubuntu 16.04 LTS (Xenial Xerus) https://launchpad.net/ubuntu/xenial/+source/linux: released (4.4.0-45.66) Ubuntu 16.10 (Yakkety Yak) https://launchpad.net/ubuntu/yakkety/+source/linux: released (4.8.0-26.28) Ubuntu 17.04 (Zesty Zapus) https://launchpad.net/ubuntu/zesty/+source/linux:
Le 23/10/2016 à 20:15, pl a écrit :
Comme il s'agit d'une faille portée par une race condition je pense qu'elle est très dépendante du nombre de coeurs de ta machine. L'exploit est donc assez aléatoire et peut ne pas sembler affecter ta machine sur une série de tests. Pour ma part je me suis contenté de vérifier que le noyau utilisé était bien celui du paquet debian contenant le correctif...
Oui, c'est bien ce que je cherche : vérifier que le noyau installé contient bien le correctif. Visiblement, dans mon cas, il faudrait avoir le (3.13.0-100.147) au lieu du 3.13.0-98-generic... Bon, je n'ai pas redémarré, mais un dpkg -l | grep -Ei "linux-(g|h|i|lo|si|t)" ne m'a pas listé non plus ce paquet installé... Vais-je devoir mettre à niveau vers la 16.04?
La page relative à la CVE-2016-5195 http://people.ubuntu.com/%7Eubuntu-security/cve/CVE-2016-5195 pour ubuntu 14.04 LTS est la suivante : https://www.ubuntu.com/usn/usn-3105-1/
avec dist-upgrade et un reboot cela doit suffire
A+ Vincent.
Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06
-
David Pinson -
pl -
Sappas -
Vincent -
Vincent Stehlé -
Véronique Fritière