IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Le serveur de la Free Software Foundation attaqué

  1. #41
    Membre habitué
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 41
    Points : 134
    Points
    134
    Par défaut
    Le plus impressionnant c'est qu'ils aient pu écrire dans des fichiers.

    Les fonctions mysql utilisées (via injection SQL) sont "INTO OUTFILE / DUMPFILE".
    Seulement les droits pour cette fonction sont définis à [false] par défaut pour un utilisateur de mysql.
    Sauf pour l'utilisateur root.

    Le(s) pirate(s) (soyons honnêtes, pas besoin d'être cinquante...) avai(en)t les droits en lecture / écriture de l'utilisateur "mysql" du serveur.

    (Dont la possibilité d'écrire des fichiers ".php" qui seraient interprétés par apache si dans l' [include_path])

    Pour que mysql ait droit d'écriture de fichier dans un dossier qui ne lui appartient pas, il faut que tout le monde ait les droits d'écriture dans ce dossier (chmod 777)

    Manquait plus que l'upload et l'exécution d'un rootkit, et on avait un joli serveur zombie à la FSF.

    Bref, du gros berk.

  2. #42
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2006
    Messages : 636
    Points : 745
    Points
    745
    Par défaut
    Citation Envoyé par Louis Griffont Voir le message
    Et surtout, j'imagine que tout le monde se souvient de ce que contenant l'historique 2/3 ans plus tôt !
    Non, mais comme on fait chaque modification par rapport à la précédente, modifier deux ou trois ans plus tôt, ça implique de toute recalculer. Et je ne sais pas exactement comment ça marche avec Mercurial, mais il parait que c'est très proche de Git, et avec Git, chaque modification a pour ID unique (repris à chaque modification, création de branche, ou fusion de branches) le hash de la modif ; il faudrait donc tout recalculer, ce qui demande une sacrée puissance de calcul...

  3. #43
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : avril 2008
    Messages : 537
    Points : 2 031
    Points
    2 031
    Par défaut
    Citation Envoyé par ProgVal Voir le message
    Non, mais comme on fait chaque modification par rapport à la précédente, modifier deux ou trois ans plus tôt, ça implique de toute recalculer. Et je ne sais pas exactement comment ça marche avec Mercurial, mais il parait que c'est très proche de Git, et avec Git, chaque modification a pour ID unique (repris à chaque modification, création de branche, ou fusion de branches) le hash de la modif ; il faudrait donc tout recalculer, ce qui demande une sacrée puissance de calcul...
    Bah possible ou pas, ce détail est connu des pros. Les causal développeurs, et même les gens qui ne touchent pas forcément au domaine du Logiciel Libre (moi, par exemple) mais s'intéressent quand même à l'informatique en général, quand ils lisent cette news, ils ont quand même peur avec tous les "et si" qu'ils se posent.

  4. #44
    Membre du Club
    Profil pro
    Inscrit en
    juillet 2008
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2008
    Messages : 27
    Points : 46
    Points
    46
    Par défaut
    Je suis dans l'attente de connaître l'origine de ces attaques.


  5. #45
    Membre chevronné

    Homme Profil pro
    Mentaliste
    Inscrit en
    mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 872
    Points : 1 802
    Points
    1 802
    Par défaut
    Citation Envoyé par olivier69 Voir le message
    Je sais, mais quand même, pas eux...

    Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !

    Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

    Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles
    Meuheueheuhe c'est pareil chez tout le monde, Free ou pas... y'a que vsftpd que je connaisse qui n'a eu jusqu'à aujourd'hui aucune faille connue. Chaque ligne est analysée dans tous les sens possibles, mais à part eux, si vous avez d'autres suggestions...

    De toutes les façons le mode de vie pourri d'aujourd'hui (= consommer, consommer, consommer) fait qu'il faut fournir à tout prix même s'il n'y a pas la qualité derrière, alors le FSF fait comme tout le monde... et a des failles... comme tout le monde...
    .I..

Discussions similaires

  1. La Free Software Foundation s’attaque à Microsoft
    Par Hinault Romaric dans le forum Actualités
    Réponses: 42
    Dernier message: 13/12/2013, 18h20
  2. Réponses: 244
    Dernier message: 23/09/2013, 07h36
  3. La Free Software Foundation invite Google à rendre libre le code JavaScript de Gmail
    Par Hinault Romaric dans le forum Général JavaScript
    Réponses: 68
    Dernier message: 18/09/2013, 14h22
  4. Connexion au serveur MySQL de Free
    Par T2! dans le forum JDBC
    Réponses: 16
    Dernier message: 11/07/2008, 23h09
  5. importer table sur serveur sql de free?
    Par NoobX dans le forum Requêtes
    Réponses: 4
    Dernier message: 31/10/2005, 17h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo