+ Répondre à la discussion Actualité déjà publiée
Page 3 sur 4 PremièrePremière 1234 DernièreDernière
  1. #41
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    septembre 2006
    Messages
    3 652
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : septembre 2006
    Messages : 3 652
    Points : 15 699
    Points
    15 699

    Par défaut

    Apple vient de mettre à disposition des correctifs pour OS X :

    OS X bash Update 1.0 - OS X Lion
    OS X bash Update 1.0 – OS X Mountain Lion
    OS X bash Update 1.0 – OS X Mavericks

    Apparemment, pas de mises à jour pour les versions antérieurs à 10.7 et pas de correctif pour la prochaine version de OS X Yosemite, elle serait directement intégrée.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  2. #42
    Membre actif Avatar de mapmip
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    1 120
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2006
    Messages : 1 120
    Points : 273
    Points
    273

    Par défaut

    pour centos c'est problematique
    vu que yum update bash
    ne réinstalle qu'une vieille version

  3. #43
    Membre actif
    Avatar de Dumbeldor
    Homme Profil pro
    Développeur Concepteur Banque postale / Ecole d'ingénieur Alternance
    Inscrit en
    novembre 2013
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 21
    Localisation : France, Landes (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Concepteur Banque postale / Ecole d'ingénieur Alternance

    Informations forums :
    Inscription : novembre 2013
    Messages : 87
    Points : 284
    Points
    284

    Par défaut

    Pour ubuntu et debian il y a eu une correction du coup ?
    Faut que je tente de mettre à jours.
    N'oubliez pas de mettre un petit pouce vert si mon message vous a aidé !

  4. #44
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    septembre 2006
    Messages
    3 652
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : septembre 2006
    Messages : 3 652
    Points : 15 699
    Points
    15 699

    Par défaut

    Citation Envoyé par Dumbeldor Voir le message
    Pour ubuntu et debian il y a eu une correction du coup ?
    Faut que je tente de mettre à jours.
    Deux mises à jour en quelques jours d'intervalle pour Ubuntu Server.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  5. #45
    Expert éminent
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    5 436
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 5 436
    Points : 7 440
    Points
    7 440

    Par défaut

    Citation Envoyé par kOrt3x Voir le message
    Deux mises à jour en quelques jours d'intervalle pour Ubuntu Server.
    Idem sur une Debian Wheezy pour une machine desktop en passant par Synaptic.
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  6. #46
    Membre éclairé Avatar de Beanux
    Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    octobre 2009
    Messages
    248
    Détails du profil
    Informations personnelles :
    Âge : 29
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : octobre 2009
    Messages : 248
    Points : 754
    Points
    754

    Par défaut

    Idem pour Centos.

    Surement une amélioration du fix, car le 1er patch était considéré comme incomplet et entrainant de potentiels crash.

  7. #47
    Membre actif
    Avatar de Dumbeldor
    Homme Profil pro
    Développeur Concepteur Banque postale / Ecole d'ingénieur Alternance
    Inscrit en
    novembre 2013
    Messages
    87
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 21
    Localisation : France, Landes (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Concepteur Banque postale / Ecole d'ingénieur Alternance

    Informations forums :
    Inscription : novembre 2013
    Messages : 87
    Points : 284
    Points
    284

    Par défaut

    Ok super merci !
    C'était rapide, super !
    N'oubliez pas de mettre un petit pouce vert si mon message vous a aidé !

  8. #48
    Nouveau Candidat au Club
    Profil pro
    Inscrit en
    septembre 2010
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2010
    Messages : 4
    Points : 0
    Points
    0

    Par défaut

    La faille semble être corrigé sur Yosemite GM

  9. #49
    Membre régulier
    Inscrit en
    février 2010
    Messages
    44
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 44
    Points : 94
    Points
    94

    Par défaut

    Enfin - le loup est sorti de la bergerie: Le Monde vient de publier un article sur le sujet ici

    L'article est sobre. Davantage que l'article de CNN: 'Shellshock' can hack lights in your house qui fait dans le sensationnel.

    J'attends de voir le journal de 20h ce soir sur TF1.

  10. #50
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 459
    Points
    32 459

    Par défaut Lycos nie complètement avoir été sous la menace de la faille critique du Bash

    Shellshock : Yahoo! Et WinZip auraient été victimes d’attaques par des pirates
    Yahoo! dément

    Après Heartbleed, l’univers de la sécurité informatique a été secoué par l’apparition d’une autre menace importante qui touche le populaire interpréteur en ligne de commande Bash, utilisé comme Shell dans plusieurs systèmes d’exploitation.

    Cette faille, vieille de 22 ans pratiquement, est très aisée à exploiter, comme a pu le souligner Dan Guido, PDG du cabinet de sécurité Trail of Bit.

    Un hacker éthique du nom de Jonathan Hall, s’est mis à la chasse de cette faille dans les serveurs des géants de l’industrie informatique. Parmi les cibles qu’il a visées, on note entre autres Yahoo!, WinZip et Lycos.

    Tous les serveurs de ces firmes ont été testés positifs à la faille critique Shellshock. Jonathan Hall affirme même que ces trois plateformes auraient été la cible des pirates roumains, qui ont essayé d’exploiter la vulnérabilité pour infecter des serveurs et créer un réseau de PC zombies.
    .
    Cependant, les réponses et les réactions des firmes sont très différentes. Winzip a admis la faille de sécurité au niveau de ses serveurs même si le processus a été très lent.

    Yahoo! également a reconnu que ses serveurs étaient vulnérables. Mais, s’étonne le hacker, dans leur communication tout se passe comme s’ils étaient au courant de la vulnérabilité depuis le début. Autrement dit, le hacker n’aurait été d’aucune aide dans la détection de la faille de sécurité. Yahoo affirme plutôt qu’il a découvert et corrigé un bug qui n’aurait aucun lien avec Shellshock. Les données des utilisateurs n’auraient pas été affectées.

    De l’autre côté, Lycos fait preuve de beaucoup de mauvaise foi, en n’admettant même pas un seul instant avoir été vulnérable à la faille du Bash. De quoi surprendre Jonathan, puisque d’après lui les traces du script perl ha.pl (responsable du succès de l’exploit) sont encore visibles dans le serveur xvisinnow.tripod.com. Mais malgré ça, chez Lycos, on joue les aveugles.


    Source : Future South Gazette

    Et vous ?

    Qu'est-ce qui justifie les comportements différents de ces firmes face à l'annonce de la découverte de la faille dans leurs infrastructures ?

  11. #51
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    4 788
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 4 788
    Points : 18 510
    Points
    18 510
    Billets dans le blog
    17

    Par défaut

    Pour être bien d'accord:
    Si on a un apache utilisant php en "module apache" et non CGI/fast CGI on est à l'abris il me semble : le terminal de www-data etant /bin/sh (dash) et non bash. On est d'accord ?
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  12. #52
    Membre régulier
    Profil pro
    Doctorant
    Inscrit en
    février 2011
    Messages
    256
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2011
    Messages : 256
    Points : 87
    Points
    87

    Par défaut la fin d'un mythe

    je pense qu'avec ces deux grande failles on est arrivé à la fin du mythe que linux et le systéme le plus sécurisé pas de failles pas de virus, la seule chose qui lui a permet de rester peu vulnirable par rapport aux autres systémes est que le hakers ne s'interessaient pas trop à l'attaquer c'est sa part du marché, là avec les declaration de snowden en vie une ruée vers l'open source du coup on s'interesse baucoup plus aux failles qui datent de plus de 22 ans.

  13. #53
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    4 788
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 4 788
    Points : 18 510
    Points
    18 510
    Billets dans le blog
    17

    Par défaut

    Citation Envoyé par persé Voir le message
    je pense qu'avec ces deux grande failles on est arrivé à la fin du mythe que linux et le systéme le plus sécurisé pas de failles pas de virus, la seule chose qui lui a permet de rester peu vulnirable par rapport aux autres systémes est que le hakers ne s'interessaient pas trop à l'attaquer c'est sa part du marché, là avec les declaration de snowden en vie une ruée vers l'open source du coup on s'interesse baucoup plus aux failles qui datent de plus de 22 ans.
    Euh, comment dire: autant pour le marché grand public, GNU/linux a une part de marché anecdotique, autant pour les hackeur il est plus fructueux de s'attaquer à des millions de sites webs hebergés sur des serveurs de cette famille qu'à l'ordinateur sous windows de Mme michu

    Un hackeur preferera hacker un site banquaire, que le PC d'un de ses clients
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  14. #54
    Membre actif
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    avril 2014
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : avril 2014
    Messages : 135
    Points : 267
    Points
    267

    Par défaut

    Absolument pas ! La plupart des experts en sécurité ont connaissances du fait que le milieu open source n'est pas fiable à 100%(rien ne l'est en informatique).
    C'est pour ça qu'ils mettent en place des process au cas ou leur système est vulnérable, voir au cas ou un pirate s'introduit. Peut-être que certains admin sys pensent à tord que toute est fiable. Mais à mon avis ça ne représente pas la majorité.

    Et ça ne remet pas en cause l'open source. Je préfère avoir une faille de temps en temps que beaucoup de failles.

    Ah et je ne suis pas vraiment d'accord avec le mythe du "les hackers ne s'intéresse pas à pirater du linux vu la faible part de marché". C'est totalement faux, je suis d'accord pour l'os d'apple. Mais concernant linux il est très très très largement plus répandu que Windows. La majorité des systèmes utilisant un processeur utilise un kernel linux.(distributeur de banque, décodeur tv etc etc).

    D'autre part la grande majorité des serveurs sont sur des produits open-source et des distrib linux. Alors certes chez le particulier il est moins répandu. Mais le secteur des ordinateurs perso ne représente pas à lui tout seul les systèmes informatiques. Et je ne parle même pas du prestige. Donc je pense qu'un pirate à aussi toute intérêt à chercher des failles de se côté.

  15. #55
    Membre régulier
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2011
    Messages
    55
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Gard (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mars 2011
    Messages : 55
    Points : 99
    Points
    99

    Par défaut

    ======>Debut du troll
    Je ne comprend pas un tel raffut pour une faille de securitée.

    Comme dit dans les messages precedents, aucun programme ne peut certifier qu'il dispose d'une sécurité parfaite et ceux à tous les niveaux de l'architecture du programme / OS.
    Moi ce que je remarque est la rapidité du déploiement de la mise à jour par les grandes distributions.

    Parceque entre "la mise à jour à été detecté, mais faudra attendre que windows update vous propose la mise à jours, ou la télécharger directement depuis le site officiel" pour microsoft.
    Contre apt-get update && upgrade sur debian...

    Pour moi ce raffut n'est là, que pour montrer du doigts la communautée libre, lui arrive de faire des erreurs (c'est humain).
    Mais bon, là l'information divague aux scandale alors que je n'ait rien vue de telles sur les failles decouverte regulierement chez les produits Microsoft/Sun/Oracle...
    ==> fin du troll

  16. #56
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 485
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 485
    Points : 249 819
    Points
    249 819
    Billets dans le blog
    39

    Par défaut Shellshock : de nouvelles attaques ciblent les serveurs de messagerie

    Shellshock : de nouvelles attaques ciblent les serveurs de messagerie
    la faille dans Bash continue à faire du bruit

    Les chercheurs en sécurité avaient déjà alerté sur cet aspect : du fait que la faille Shellshock date de pratiquement 22 ans, cela augmente considérablement le risque d’avoir des équipements vulnérables. De plus, certains équipements vulnérables n’auront peut-être pas de correctifs, car trop anciens et donc plus mis à jour par leurs fournisseurs.

    Cela se confirme. Plus d’un mois après la découverte de la faille, de nombreux équipements sont encore vulnérables et des attaques exploitant la vulnérabilité continuent à émerger sur le Web.

    Des nouveaux rapports sur le web font état de la recrudescence d’attaques exploitant Shellshock à destination des passerelles SMTP. Cette nouvelle campagne aurait pour objectif de créer un botnet IRC pour des attaques DDOS et autres.

    L’infection d’un système se ferait via l’exécution des scripts Perl. Les pirates exploitent Shellshock comme principal vecteur d’attaque via les champs subject, body, to et from. Les systèmes affectés à leur tour vont tenter de propager l’infection à partir du botnet Perl.

    Les utilisateurs sont invités à vérifier si leur système utilisant Bash a bel et bien été patché.

    Au vu de la popularité de Bash qui est utilisé comme Shell par défaut dans les systèmes d’exploitation Linux, Unix et dans de nombreux autres outils, la faille Shellshock à sa découverte affectait des millions de PC, Mac, serveurs et routeurs dans le monde.

    Cette faille avait été qualifiée de critique par les experts en sécurité. La « National Vulnerability Database » utilisée par le gouvernement américain pour suivre les failles de sécurité informatique, avait donné à Shellshock le score maximal (10/10) pour sa « gravité », son « impact » et son « exploitabilité ».

    Des exploits Shellshock ont émergé sur le Web dès les premières heures suivant la découverte de la vulnérabilité. Des pirates avaient développé des outils permettant de procéder à un scan d’Internet pour trouver des serveurs vulnérables, afin de prendre le contrôle de ceux-ci et perpétrer des attaques DDOS.

    Source : InfoSec
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  17. #57
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2012
    Messages : 630
    Points : 1 201
    Points
    1 201

    Par défaut

    Pour avoir fait un nouvelle installation de debian sur une dédibox, faites attention. La faille est encore dans l'os, il faut donc patcher !
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  18. #58
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92

    Par défaut

    Citation Envoyé par TiranusKBX Voir le message
    c'est juste une faille comme une autre
    déjà pour pouvoir l'utiliser il faudrait que toutes les couche au paravent ne soient pas sécurisées donc peut probable
    la méthode d'exploitation est d'une importance cruciale pour ce genre de faille, si l'on ne passe pas les premières lignes de sécurité ça ne feras strictement rien
    Jusqu'à présent personne n'avait imaginé qu'il fallait "sécuriser" ces variables d'environnement!

  19. #59
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92

    Par défaut

    Citation Envoyé par imikado Voir le message
    Pour être bien d'accord:
    Si on a un apache utilisant php en "module apache" et non CGI/fast CGI on est à l'abris il me semble : le terminal de www-data etant /bin/sh (dash) et non bash. On est d'accord ?
    C'est quoi "le terminal de www-data"?

  20. #60
    Inactif
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    novembre 2014
    Messages
    82
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : novembre 2014
    Messages : 82
    Points : 92
    Points
    92

    Par défaut

    Citation Envoyé par Traroth2 Voir le message
    Les commentaires n'apprennent pas grand-chose. Donc je suis allé voir la description de la faille, ici.

    Effectivement, elle est potentiellement plus sérieuse que ce qui est décrit dans l'article, car un exploit n'a pas besoin de connaitre le nom d'une variable. Il suffit qu'une variable soit settée pour qu'on puisse exécuter du code. Par contre, CGI n'est pas juste un exemple d'angle d'attaque, c'est pratiquement le seul permettant un exploit public.
    Le seul sauf tous les autres (DHCP, SMTP, ssh en shell restreint...).

Discussions similaires

  1. Internet Explorer 11 affecté par une faille critique
    Par Amine Horseman dans le forum Sécurité
    Réponses: 11
    Dernier message: 08/02/2015, 17h49
  2. Réponses: 4
    Dernier message: 24/10/2014, 12h21
  3. Adobe corrige une faille critique dans Flash
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2014, 20h09
  4. Réponses: 3
    Dernier message: 14/08/2013, 12h08
  5. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 09h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo