Re: Détails de la compromission des serveurs Debian.org
Le Mon 1/12/2003, Ludwig BECK disait Le 01.12.2003 12:20, Max Lelubre nous contait : Bonjour, J'ai fait la traduction française de la page de Wichert Akkerman ( http://www.wiggy.net/debian/explanation/ ) qui récapitule l'histoire du problème actuel des serveurs Debian.org : http://castor-server.homelinux.org/debian/ si j'ai bien compris , tout est reparé mais tant qu'on ne connait pas la cause du hack on ne pourras plus faire de MAJ ?! La cause est connue. -- Erwan
Re: Détails de la compromission des serveurs Debian.org
On 2003-12-02 13:41:30 +0100, Nicolas Ledez wrote: Une nouvelle version devrait sortir pour debian (2.4.18 patché) Elle est déjà sortie. -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ - 100% validated (X)HTML - Acorn Risc PC, Yellow Pig 17, Championnat International des Jeux Mathématiques et Logiques, TETRHEX, etc. Work: CR INRIA - computer arithmetic / SPACES project at LORIA
Re: Détails de la compromission des serveurs Debian.org
On Tue, 2 Dec 2003 13:41:30 +0100 Nicolas Ledez [EMAIL PROTECTED] wrote: Le Tue, Dec 02, 2003 at 11:18:20AM +0100, Erwan David a écrit : La cause est connue. C'est une faille dans le kernel-linux, le bug à été trouvé peu avant la sortie du 2.4.22 et n'as pas pus être intégré. Une nouvelle version devrait sortir pour debian (2.4.18 patché) Pour moi qui utilise pour parefeu un noyau 2.0 et pour mon serveur un noyau 2.2, je n'ai pas trouvé de détails disant si ces noyaux ont cette même faille. Quelqu'un a des détails supplémentaires? François Boisson PS: Le noyau 2.0 était déjà insensible au trou ptrace, les bons vieux noyaux bien rodés, ça a du bon... -- CurIeuX ghost, t'as quel provider ? ghost- redhat Nicolas Ledez -- Pensez à lire la FAQ de la liste avant de poser une question : http://savannah.nongnu.org/download/debfr-faq/html/ Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Détails de la compromission des serveurs Debian.org
François Boisson [EMAIL PROTECTED] a écrit : | Pour moi qui utilise pour parefeu un noyau 2.0 et pour mon serveur un | noyau 2.2, je n'ai pas trouvé de détails disant si ces noyaux ont cette | même faille. Quelqu'un a des détails supplémentaires? JoeBuck, qui a publie la nouvelle The hole used by the attack on Debian has been found sur www.debianplanet.org, a egalement signe ce commentaire : This is fixed in 2.4.23, as well as in 2.6.0-test6 and later, and several distros have put out security alerts. 2.2.x kernels are not vulnerable. Daniel -- http://yo.dan.free.fr/
Re: Détails de la compromission des serveurs Debian.org
Le mar 02/12/2003 à 20:43, Vincent Lefevre a écrit : On 2003-12-02 13:41:30 +0100, Nicolas Ledez wrote: Une nouvelle version devrait sortir pour debian (2.4.18 patché) Elle est déjà sortie. heu quelqu'un peut m'expliquer ça ? dans l'annonce on a For Debian it has been fixed in version 2.4.18-12 of the kernel source packages, donc a priori les noyaux compilé avec le paquet kernel-source-2.4.18-12 kernel-source-2.4.18-13 ne sont pas vulnérables pourtant vient juste de sortir un kernel-source-2.4.18-14 avec dans le changelog * Added TASK_SIZE check to do_brk in mm/mmap.c. donc -12 et -13 vulnerable ou pas ? (le changelog de ces 2 versions ne parle pas du tout de mmap.c) -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ - 100% validated (X)HTML - Acorn Risc PC, Yellow Pig 17, Championnat International des Jeux Mathématiques et Logiques, TETRHEX, etc. Work: CR INRIA - computer arithmetic / SPACES project at LORIA -- Philippe Amelant [EMAIL PROTECTED]
Re: Détails de la compromission des serveurs Debian.org
* François Boisson [EMAIL PROTECTED] [2003-12-02 20:48] : On Tue, 2 Dec 2003 13:41:30 +0100 Nicolas Ledez [EMAIL PROTECTED] wrote: Le Tue, Dec 02, 2003 at 11:18:20AM +0100, Erwan David a écrit : La cause est connue. C'est une faille dans le kernel-linux, le bug à été trouvé peu avant la sortie du 2.4.22 et n'as pas pus être intégré. Une nouvelle version devrait sortir pour debian (2.4.18 patché) Pour moi qui utilise pour parefeu un noyau 2.0 et pour mon serveur un noyau 2.2, je n'ai pas trouvé de détails disant si ces noyaux ont cette même faille. Quelqu'un a des détails supplémentaires? Le noyau 2.2 n'est pas touché non plus (http://developers.slashdot.org/comments.pl?sid=87706pid=7605311 et http://openwall.com/Owl/CHANGES-current.shtml) et le 2.0 probablement non plus, mais il suffit de le vérifier dans le code, par exemple par rapport à http://developers.slashdot.org/comments.pl?sid=87706cid=7603569. Fred -- Comment poser les questions de manière intelligente ? http://www.gnurou.org/documents/smart-questions-fr.html Code de conduite des listes Debian http://www.fr.debian.org/MailingLists/#codeofconduct
RE: [HS ?] Re: Détails de la compromission des serveurs Debian.org
-Message d'origine- De : Thomas Pimmel [mailto:[EMAIL PROTECTED] Envoyé : lundi 1 décembre 2003 13:07 À : Max Lelubre; debian-user-french@lists.debian.org Objet : [HS ?] Re: Détails de la compromission des serveurs Debian.org [...] J'ai lu une interview peu concluante d'un responsable de debian (je ne sais plus où et qui, mille excuses) qui parlait d'un jeune de 15 ans qui sans doute voulait se faire remarquer. Drôlement doué l'ado. Connaître aussi bien le système debian, détecter des failles qui échappent aux responsables debian (pas de nains, donc)... L'intérêt d'un exploit est justement qu'il permet à n'importe qui d'exploiter une vulnérabilité sans avoir à en connaître les rouages. Un fait rapporté par l'un de mes formateurs en sécurité : lors de l'autopsie d'un serveur compromis, l'expert a d'abord été surpris par le très haut niveau des compétences de l'intrus. Puis en avançant dans l'analyse, il s'est aperçu qu'à partir d'une certaine phase, celui-ci avait fait de grosses erreurs de débutant. C'est généralement ce qui est relevé lorsque l'attaquant utilise un exploit. Dés que l'outil a terminé son oeuvre, c'est le bonhomme qui reprend les commandes et là ... Cordialement Didier BOURGUIGNON