Youpi, c'est vendredi, je bondis. loblique <[EMAIL PROTECTED]> writes:
> On Thu, 11 Mar 2004 21:29:08 +0100 Raphaël "\"SurcouF\" Bordet" > <[EMAIL PROTECTED]> wrote: > >> Le jeu 11/03/2004 à 18:56, loblique a écrit : >> > L'iptables sert à construire un firewall. Sur les kernel >> > inférieurs à 2.6, il y a de sérieuses failles qui peuvent >> > compromettre beaucoup de chose sur une machine non >> > protégée. C'est pourquoi il est conseillé d'installer un >> > firewall. >> >> Ah oui ? Lesquelles ? ;-) > > http://www.isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt ,---- | Synopsis: Linux kernel do_mremap VMA limit local privilege escalation | vulnerability | Product: Linux kernel | Version: 2.2 up to and including 2.2.25, 2.4 up to to and including | 2.4.24, 2.6 up to to and including 2.6.2 `---- > http://www.ze-linux.org/ [Linux Kernel 2.4.22 "do_brk()" Privilege > Escalation] ,---- | Une vulnérabilité critique a été identifiée dans le noyau Linux | Kernel 2.4.22, elle pourrait être exploitée par des utilisateurs | locaux afin de compromettre un système vulnérable, en augmentant | leurs privilèges (L'exploitation réussie donne les privilèges | "root"). `---- > http://www.k-otik.com/exploits/03.01.mremap_pte.c.php ,---- | Vulnerable kernel versions are all <= 2.2.25, <= 2.4.24 and <= 2.6.2 `---- En résumé: Il s'agit de vulnérabilités locales, 2.2, 2.4, 2.6 sont affectés. Il existe pour les 3 des versions corrigées. Comment est-on plus vulnérable avec un 2.4 à jour qu'avec un 2.6 à jour ? Et surtout, surtout, comment un firewall protège-t-il contre des vulnérabilités locales ? Firewall et 2.4/2.6 sont des questions orthogonales, tout comme firewall et sécurité locale. C'est pas une bonne idée de faire tourner un noyau non patché (ou une appli quelconque), quelque soit la version, même derrière un firewall. C'est pas une bonne idée de brancher une machine sur un réseau sans firewall, quelque soit l'OS. C'est pas une bonne idée de penser qu'un firewall est la solution miracle en matière de sécurité. Bon vendredi. -- Q: Because it reverses the logical flow of conversation. A: Why is top posting frowned upon?