D'après une news de CNET, il serait possible d'exploiter un buffer overflow de la bibliothèque zlib via différents programmes (Mozilla par exemple). Le problème a l'air serieux : RedHat a déjà mis à jour des packages pour pallier à ce probleme (zlib, cvs, dump, rsync, kernel)
NdM : le CERT a également émis une note sur le sujet.
Aller plus loin
# CNET, garant de votre sécurité
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
C'est pas très malin de repomper /. bêtement, faudrait pas que linuxfr devienne comme eux.
[^] # Re: CNET, garant de votre sécurité
Posté par pwet pwet . Évalué à 7.
ouais enfin c'etait aussi sur zdnet et sur un autre site linux donc ...
Il n'y a pas que CNET (heureusement ;p)
Debian a deja sorti des packages.
[^] # Re: CNET, garant de votre sécurité
Posté par kalahann . Évalué à 0.
Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!
[^] # Re: CNET, garant de votre sécurité
Posté par #3588 . Évalué à 0.
La ligne y est, il suffit de la décommenter en meme temps que les 2 autres (serveurs principaux US et non-US). Ces 3 lignes sont consécutives, sans meme une ligne vide pour les séparer... Je parle d'une install avec la 2.2r0 (ie aout 2000)... le "y a pas si longtemps" remonte à Debian 2.1 ou bien tu parles d'une installation un peu particulière ? Quoiqu'il en soit la ligne n'est pas à "deviner", mais au pire à décommenter...
[^] # Re: CNET, garant de votre sécurité
Posté par Laurent Mazet (site web personnel) . Évalué à 6.
Laurent
[^] # Re: CNET, garant de votre sécurité
Posté par Annah C. Hue (site web personnel) . Évalué à -5.
[^] # Re: CNET, garant de votre sécurité
Posté par kalahann . Évalué à 4.
[^] # Re: CNET, garant de votre sécurité
Posté par oink . Évalué à 10.
Dans tous les cas il n'y a aucuns debordements de buffer, ensuite.. la seule chose que certaines personnent peuvent en tirer est un simple DoS qui pourrait par exemple faire tomber un service ou planter un navigateur (qui utiliserait la libpng, qui elle meme utilise zlib).
Ce n'est donc pas si critique, il n'y a pas vraiment a s'alarmer :)
[^] # Re: CNET, garant de votre sécurité
Posté par oink . Évalué à 7.
# [HS] grammaire
Posté par Olivier . Évalué à 10.
pour pallier à ce problème" mais "pour pallier ce problème"Hop, -1
(même si pourtant c'est une faute qui est beaucoup trop entendue)
[^] # Re: [HS] grammaire
Posté par Laurent Mazet (site web personnel) . Évalué à -3.
[^] # Re: [HS] grammaire
Posté par woof . Évalué à -2.
patches are welcome (meme si integrer ispell ca doit etre un peu .. lourd =)
[^] # Re: [HS] grammaire
Posté par kalahann . Évalué à -3.
[^] # Re: [HS] grammaire
Posté par quad . Évalué à 9.
Dans le même esprit, je tenais à signaler que le
verbe pallier a le sens de :
"trouver une solution TEMPORAIRE à un problème".
Quand on veut parler d'une solution définitive, il
me serait agréable de voir le verbe obvier, qui,
comme par hasard, est intransitif : obvier à un problème.
Fabrice.
[^] # Re: [HS] grammaire
Posté par Olivier . Évalué à 2.
Un verbe intransitif ne prend jamais de COD (par ex, partir est intransitif).
Hop, -1, c'est pas Da French Grammaire Page ici ;)
[^] # Re: [HS] grammaire
Posté par Olivier Jeannet . Évalué à 1.
Pour être tout à fait précis, le verbe pallier vient d'un mot latin qui signifie "manteau"; pallier veut dire en quelque sorte "recouvrir le problème", "masquer le problème", il s'agit en effet de contournement et non pas de résolution.
Les "soins palliatifs" sont bien ce qu'ils veulent dire, ils ne soignent pas vraiment mais permettent de soulager les gens qui souffrent, souvent des cancéreux condamnés.
# Debian aussi
Posté par Gaël Le Mignot . Évalué à 8.
zlib (1:1.1.3-19.1) unstable; urgency=high
* Non-maintainer upload
* Apply patch for double-free bug
-- Matt Zimmerman <mdz@debian.org> Sun, 10 Mar 2002 23:52:20 -0500
[^] # Re: Debian aussi
Posté par Benjamin Michotte . Évalué à 1.
Par la meme occasion, mettez a jour le pkg cvs.tgz qui etait linké statiquement avec zlib
# Patchs
Posté par ours Ours (site web personnel) . Évalué à -4.
Après PHP, SSH, ZLIB est là pour montrer que le salaire de l'administrateur réseau est justifié :)
Arf, soit, commencons la mise à jour :'
[^] # Re: Patchs
Posté par matiasf . Évalué à 1.
[^] # Re: Patchs
Posté par ours Ours (site web personnel) . Évalué à 1.
Mais en passant, c'est normal pour une console de jeux
[^] # Re: Patchs
Posté par ronounours . Évalué à -10.
semaine que Linux c'est pas si securise que ca.
Vive les programmes libres et leurs programmeurs
''talentueux''.
** Ronounours **
[^] # Re: Patchs
Posté par lorill (site web personnel) . Évalué à -1.
[^] # Re: Patchs
Posté par ours Ours (site web personnel) . Évalué à -1.
(Bon c'est souvent le cas vu que c'est de l'open source)
Bref vive l'open source
[^] # Re: Patchs
Posté par pasBill pasGates . Évalué à 0.
Le bug je peux t'assurer qu'ils le connaissaient depuis plusieurs jours voire plusieurs semaines avant la release.
Quand tu changes du code dans une librairie, meme si le changement est mineure, tu fais une passe de test sur les softs utilisant la lib, et zlib ca concerne un sacre nombre de softs, les distrib ont pas fait ca en 5 minutes.
[^] # Re: Patchs
Posté par ours Ours (site web personnel) . Évalué à -1.
[^] # Re: Patchs
Posté par G. R. (site web personnel) . Évalué à 9.
En effet, PHP, SSH et zlib sont tous trois non dépendant de Linux. On les trouve sur d'autres plateformes, comme Windows par exemple.
Même si effectivement, Linux n'est pas exempt de bugs et de trous de sécurité (comme tout système informatique, sauf peut être quelques vieux mainframes), il reste quand même que l'ouverture du code permet entre autre une grande rapidité dans le nettoyage et la correction de ces manquements.
[^] # Re: Patchs
Posté par ours Ours (site web personnel) . Évalué à -8.
j'estime que non
Je vais expliquer pourquoi, ils sont totalement dépendants des systèmes unix en général bien qu'il y aie eu des portages. Si un hébergeur prends la décision de prendre NT comme OS, ce sera l'asp et sql server qui seront mis en avant pour ne faire le comparatif qu'avec PHP.
(En passant, je n'ai jamais mentionné que j'utilisais linux, perso j'utilise FreeBSD)
[^] # Re: Patchs
Posté par #3588 . Évalué à 3.
Où est l'explication ? Je ne vois qu'un "exemple", avec une relation disons "d'affinité", pas de dépendance. Concernant le développement, là, aucun lien.
[^] # Re: Patchs
Posté par pas_moi . Évalué à 2.
[^] # Re: Patchs
Posté par nemrod . Évalué à 1.
Il y a beaucoup de programmess qui utilisent la zlib. Pas que sous linux ou *unix d'ailleurs !
Pour les curieux :
http://www.gzip.org/zlib/apps.html(...)
et les plus curieux rechercherons la chaine de caractére Microsoft (non je ne fais pas de fixation sur eux ;-)
Personne n'aurait les sources pour une ptiote recompilation (-;
[^] # Re: Patchs
Posté par pasBill pasGates . Évalué à -8.
J'aimerais tellement que ce soit vrai, ca voudrait dire que je suis paye a rien foutre.
Enfin bon, vaut mieux inventer des defauts chez l'adversaire plutot que regarder la verite en face hein...
# Toutes les distributions
Posté par FRLinux (site web personnel) . Évalué à 4.
Pour une bonne lecture sur les failles, je conseille http://www.linuxtoday.com(...) qui delivre du pur pengouin en zinc tous les matins :)
Steph
# Mozilla 0.9.9 patché
Posté par Olivier Cahagne . Évalué à 5.
Pour les soucieux, l'info se trouve dans le bug 126898 (accès restreint) et dans mozilla/modules/zlib/src/infblock.c
# Patch zlib
Posté par Buto . Évalué à 8.
# from slack world
Posté par Sebastien . Évalué à 10.
Mon Mar 11 13:32:40 PST 2002
patches/packages/zlib.tgz: Upgraded to zlib-1.1.4. This fixes a security
problem which may introduce vulnerabilities into any program that links with
zlib. Quoting the advisory on zlib.org:
"Depending upon how and where the zlib routines are called from the given
program, the resulting vulnerability may have one or more of the following
impacts: denial of service, information leakage, or execution of arbitrary
code."
Sites are urged to upgrade the zlib package immediately.
The complete advisory may be found here:
http://www.zlib.org/advisory-2002-03-11.txt(...)
Le package de la zlib à jour est ici :
ftp://ftp.lip6.fr/pub/linux/distributions/slackware/patches/packag(...)
# OpenBSD : pas de soucis!
Posté par j . Évalué à 10.
- son implementation assez particuliere de malloc/free
- le bogue a de plus ete corrige debut Janvier par Todd (dans la -current) . Mais il pensait juste avoir corrige un bogue, pas un trou de secu :)
# Hors sujet : news sur linuxfr
Posté par Code34 (site web personnel) . Évalué à -6.
Je suis assez mécontent du système de news sur linuxfr. Cela fait déjà deux fois que je propose des news, la première concernant le développement d'un logiciel opengl qui sera intégré dans la Mandrake (je crois que c est bien d encourager les nouveaux projets), et la deuxieme sur le procès Sun-Microsoft qui est l'une des plus grosses news de la journée...
Je ne comprends pas l'éxigence des modérateurs, quand dans une journée qui a étée remplie d'évenements on voit seulement deux news de postées (dont l une sur la zlib et l'autre sur mozilla)... On a mme pas signalé que geko sera intégré dans aol 8.0 ... Comme quoi, j imagine que le système a du etre saturé au point de ne pas pouvoir consulter le reste des posts.
Modéré c est bien, mais bien modéré c'est mieux. Quand a moi, ça ne me donne pas envie de m'investir plus dans l'émission de news...
@+
Code34
[^] # Mea culpa
Posté par Code34 (site web personnel) . Évalué à -6.
12/03/2002 08:59:17
Bonjour,
La nouvelle que tu as proposé a précédemment déjà été approuvée par un
modérateur, elle a donc été refusée.
Cordialement,
Les modérateurs LinuxFr
Excusez moi, il y a donc des modérateurs sur linuxfr qui modèrent bien ;) Par contre, je n'ai pas vu cette fameuse news concernant le procès Sun-Microsoft, j'ai donc du passer à coté ...
@+
Code34
[^] # Re: Mea culpa
Posté par Miod in the middle . Évalué à -1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.