134 liens privés
Un bug dans la bibliothèque glibc. Ça affecte une tonne de choses, sur des centaines de milliers de machines. Ça craint...
C'est corrigé et les mises à jours sont disponibles, mettez à jour.
"The widely used ssh, sudo, and curl utilities are all known to be vulnerable (...)"
Il y a un POC là : https://github.com/fjserna/CVE-2015-7547/blob/master/CVE-2015-7547-poc.py
(Je n'ai pas testé!)
Je cite : https://github.com/denandz/KeeFarce
| ========
Compatibility
KeeFarce has been tested on:
KeePass 2.28, 2.29 and 2.30 - running on Windows 8.1 - both 32 and 64 bit.
This should also work on older Windows machines (win 7 with a recent service pack).
| ========
En gros, sous GNU/Linux on est tranquilles. (Par rapport à ce bug précis, en tout cas.)
Effrayant... :-O
La faille "Ghost" a été corrigée chez Debian. La version "2.13-38+deb7u7" est correcte.
Pour vérifier la version de la lib sur votre machine, il faut la trouver et puis l'exécuter :
Sur un serveur (64bits)
| ========
simon@ordi$ $ locate libc.so
/lib/x86_64-linux-gnu/libc.so.6
/usr/lib/x86_64-linux-gnu/libc.so
simon@ordi$ /lib/x86_64-linux-gnu/libc.so.6
GNU C Library (Debian EGLIBC 2.13-38+deb7u7) stable release version 2.13, by Roland McGrath et al.
(...)
| ========
Sur une machine en 32 bits:
| ========
simon@ordi$ locate libc.so.6
/lib/i386-linux-gnu/libc.so.6
/lib/i386-linux-gnu/i686/cmov/libc.so.6
/opt/AutoScan/usr/lib/libc.so.6
simon@ordi$ /lib/i386-linux-gnu/libc.so.6
GNU C Library (Debian EGLIBC 2.13-38+deb7u7) stable release version 2.13, by Roland McGrath et al.
(...)
| ========
Si la version que vous avez sur votre machine n'est pas la bonne, faites une mise à jour rapidement!
[Edit: J'ai oublié de le dire mais il faut redémarrer la machine ensuite (ou utiliser CheckRestart [ https://www.octopuce.fr/checkrestart-outil-pratique-de-debian-goodies-et-version-octopuce/ ] ?).
Diverses sources à propos de la faille Ghot :
http://www.undernews.fr/alertes-securite/ghost-cve-2015-0235-une-faille-serieuse-touche-linux.html
http://www.nextinpact.com/news/92886-ghost-nouvelle-faille-critique-qui-fait-trembler-linux.htm
http://www.bortzmeyer.org/ghost-getaddrinfo.html
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
J'ai survolé, ça semble intéressant.
(via http://lien.shazen.fr/?YLkVew , http://dooby.fr/links/?pQcSkQ , https://shaarli.e-loquens.fr/shaarli/?CUK76g et d'autres sur shaarli.fr )
Condamnation pour le fait "de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération".
Et s'il avait fait une copie du site,modifier certaines choses (articles, etc..) et diffuser le faux site, c'est punissable ? Ou bien si c'est sous une autre URL, ça va ?
Et si le Gorafi publie un article sur une personnalité, c'est illégal aussi ?
Encore une vulnérabilité critique dans un programme de base utilisé sur GNU/Linux. Est-ce que les différentes failles plus ou moins récentes (Heartbleed, Shellshock, ..) ont poussé les experts en sécurité à faire plus d'audit ? C'est en tout cas une bonne chose que ces failles soient rendues publiques et corrigées, nos systèmes deviennent de plus en plus sûrs.
Je suis tout de même assez épaté qu'il reste des failles dans des logiciels tels que WGET qui sont utilisés depuis des années et des années.
Ça pue aujourd'hui... La faille dans bash et apparemment aussi des soucis chez Mozilla au niveau des bibliothèques de sécurité.
Bash : http://www.01net.com/editorial/627512/la-megafaille-shellshock-secoue-le-monde-linux-et-max-os/#?xtor=RSS-20
NSS chez Mozilla : https://www.mozilla.org/security/announce/2014/mfsa2014-73.html
Mauvaise journée pour les informaticiens.
J'ai testé chez moi :
| ========
| simon@ordi:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
| vulnerable
| this is a test
| ========
J'ai ensuite fait un "$ sudo aptitude update" , suivi d'un "$ sudo aptitude upgrade" et c'est apparemment corrigé. Ouf!
| ========
| simon@ordi:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
| bash: warning: x: ignoring function definition attempt
| bash: error importing function definition for `x'
| this is a test
| ========