On Sat, 20 Dec 2003 21:18:24 +0100 Philippe Merlin <[EMAIL PROTECTED]> wrote:
> Bonjour, > Les r�centes intrusions sur les sites D�bian, Gentoo etc... ont d�montr� > que les kernel 2.4.18--->2.4.22 avaient une faille de s�curit� > gravissime. N'�tant pas un expert en s�curit�, j'aimerai savoir la > dangerosit� pour un utilisateur lambda ayant un noyau de ce type de > rester avec ce noyau ? Doivent t'ils migrer tout affaire cessante vers > la 2.4.23 ou m�me faire le saut avec le dernier 2.6.0? ou si c'est > seulement vivement conseill� pour ceux ayant des serveurs visibles du > grand public ?. Autre question �tant en Woody Stable et ayant un noyau > 2.4.20, lorsque je fait un apt-cache search kernel-sources la derni�re > version propos�e est le 2.4.22 qui je pense n'a pas encore �t� patch�. > Comme les packages debian ne sont plus accessibles depuis cette > intrusion comment peut on avoir les kernel-sources Debian de la Sid > ?(entre parenth�se je ne comprends pas pourquoi pour les noyaux il y a > ce distinguo, stable et test). Merci de vos avis. > Philou75 > > Ben il se trouve que hier � 17h41, un type a install� un rootkit sur ma passerelle � partir d'un compte courant. Je n'ai pas encore les d�tails mais l'analyse de wtmp montre que le gars essayait depuis au moins le 1er D�cembre. Je pense que sur une machine connect� en permanence, un patch s'impose... Fran�ois Boisson PS: Un administrateur r�seau peut il me donner des conseils, c'est apparemment un Kit0.42, qui install un bindshell sur le port 3049 dont le processus prend les diff�rents noms nmbd, gzip, tar, script, etc. Quelqu'un a-t-il des d�tails sur ce nom Kit 0.42 (nom apparu au boot quand j'ai vir� l'un des processus). J'ai fini par installer une r�gle iptables bloquant ce port en attendant et le sniffer est stopp� (j'ai retrouv� les fichiers de logs du sniffer, c'est impressionnant). Le plus simple est de refaire une install j'imagine :-(. J'ai conserv� une image des disques � tout hasard... > -- > Pensez � lire la FAQ de la liste avant de poser une question : > http://savannah.nongnu.org/download/debfr-faq/html/ > > Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] >
