En l'occurrence je pense que juste un schéma de de partitionnement sain avec les bonnes option des montage nosuid sur /usr (mais attention la poc vise su, rien ne dit qu'il y a pas d'autre moyen d'avoir le même comportement ailleurs ou autrement).

Globalement mes machines sont durcis en fonction de leurs usages (besoin avancé réseau ou non, etc car sinon ça peut "casser" des truc mal conf de base) à l'aide d'audit via yasat, lynis (hésitez pas à lui prendre une presta), kernel-hardening-checker et pour la partie "facile" : libpam-tmpdir, hardening-runtime, et oui on peut aussi s'orienter vers des patch kernels mais déjà durcir les options sysctl, configurer selinux, apparmor etc. (j'en oubli sûrement)

(On utilise que debian en interne)


Pensez bien a reboot si vous testez la poc aussi ou a clean le cache.


Par contre globalement une partie des mesures de durcissement existe depuis plus de 10 ans. Même si la gamme s'est étoffée. Les durcissement survivent assez bien au dist-upgrade et sans trop lui mettre des bâtons dans les roues (sauf a durcir l'exec sur les dossier apt/dpkg). On est arrivé a un niveau "de base"

(il y a de la conf, automatisable) qui tank assez bien les failles.



On 07/05/2026 23:04, Neo Futur via frnog wrote:
durcies ? tu veux dire hardened ? genre les patchs grsec de spender ?

On Thu, May 7, 2026 at 10:39 PM Wild Turtles via frnog <[email protected]> wrote:
Ici seulement mes machines non durcis sont touchées.

On 07/05/2026 22:28, Daniel via frnog wrote:
Je confirme

Le 07/05/2026 à 22:26, Mathys LOPINTO via frnog a écrit :
Bonsoir,
Je viens de faire tourner le POC sur une VM en debian13 mis a jour
après la faille copy.fail

Le POC à fonctionner sans problème.


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Attachment: OpenPGP_0x867BF14B0364AB34.asc
Description: OpenPGP public key

Attachment: OpenPGP_signature.asc
Description: OpenPGP digital signature

Répondre à