IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

X Window : découverte de failles vieilles de 27 ans


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2014
    Messages : 194
    Points : 12 291
    Points
    12 291
    Par défaut X Window : découverte de failles vieilles de 27 ans
    Sécurité : des failles vieilles de 27 ans découvertes dans le serveur d’affichage X Window
    des correctifs disponibles

    Ilja van Sprundel, un chercheur en sécurité de IOActive, a découvert un grand nombre de bugs dans le code source du système d’affichage open source X Window. Ces bugs sont causés par le code de base du serveur X et certains d’entre eux seraient présents depuis 1987. Ces bugs pourraient être exploités afin d’accéder à la mémoire non initialisée du serveur X, ce qui pourrait provoquer des erreurs de segmentation, ou utilisés pour exécuter du code arbitraire. Ils représentent donc des failles assez importantes.

    Parmi ces failles, on peut citer le risque d’un déni de service en raison d’un malloc non vérifié lors de l’authentification du client. Ce dernier peut provoquer une erreur du système dans le serveur s’il envoie les valeurs qui feront échouer le malloc. Un autre bug concernant les entiers peut provoquer des débordements de mémoire (overflow), et une troisième faille permet de lire ou d'écrire au-delà des limites de la mémoire allouée lors du traitement de la demande.

    Le risque est encore plus grand si « le serveur X est exécuté avec les privilèges root ; s’il est exposé aux clients du réseau ou limité aux connexions locales ; et s’il utilise des extensions de protocoles touchées, en particulier l'extension GLX ».

    Ilja van Sprundel a travaillé avec l'équipe de sécurité de X.org pour confirmer et régler ces problèmes. Les corrections sont disponibles uniquement dans les commits git pour l'instant, mais sont prévues pour être incluses dans le xorg-server-1.17.0 et xorg-server-1.16.3.

    Source : X.org

    Et vous ?

    Qu’en pensez-vous ?

  2. #2
    Membre éprouvé
    Homme Profil pro
    -
    Inscrit en
    Octobre 2011
    Messages
    344
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : -

    Informations forums :
    Inscription : Octobre 2011
    Messages : 344
    Points : 1 235
    Points
    1 235
    Par défaut
    Heureusement que les serveurs Linux ne font pas tourner X dans presque tout les cas.

  3. #3
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    Novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 76
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 1 186
    Points : 3 086
    Points
    3 086
    Par défaut
    Et il y a plus ancien comme faille de sécurité : celle de San Andrea
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  4. #4
    En attente de confirmation mail
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 555
    Points : 1 597
    Points
    1 597
    Par défaut
    Ce chercheur a beaucoup de temps à perdre pour annoncer des vieux bugs connus. Les développeurs de X ne participent pas activement Wayland par hasard.
    Il existe des failles de sécurité jusque dans le protocole même demandant de casser la compatibilité pour être corrigé.

    Plutôt que de retourner du vieux code des années 80 dont plus personne n'assure la maintenance (inconnu et potentiellement incompréhensible), créer un nouveau système d'affichage moderne est tout ce qu'il y a de plus judicieux.

  5. #5
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Plutôt que de retourner du vieux code des années 80 dont plus personne n'assure la maintenance (inconnu et potentiellement incompréhensible), créer un nouveau système d'affichage moderne est tout ce qu'il y a de plus judicieux.
    La maintenance demande du temps, et le temps demande de l'argent... C'est là qu'est le problème...
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  6. #6
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Points : 1 839
    Points
    1 839
    Billets dans le blog
    2
    Par défaut
    Après la correction d'une faille de sécu vieille de 20 ans...
    Si débugger est l'art d'enlever les bugs ... alors programmer est l'art de les créer

Discussions similaires

  1. Réponses: 17
    Dernier message: 20/11/2014, 18h58
  2. Réponses: 25
    Dernier message: 27/01/2010, 13h43
  3. Réponses: 25
    Dernier message: 27/01/2010, 13h43
  4. Réponses: 1
    Dernier message: 30/09/2009, 11h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo