Faille importante sous UNIX

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
20
mar.
2002
Sécurité
Une faille, affectant le daemon X Display Management Console Protocol (XDMCP) vient d'être relayée par le CERT sous le numéro VU#634847.

Cette faille n'affecte pas tous les systèmes UNIX mais quelques déclinaisons. La distribution Linux Mandrake serait affectée (jusqu'à la version 8.0) ainsi que les systèmes Solaris 2.6 (Intel et Sparc) et Solaris 7 Sparc.
En revanche, RedHat 7.2 ne serait pas vulnérable...

Cette faille permet une connexion en root sur le système attaqué.
Avant que la faille ne soit corrigée, il est recommandé de désactiver les connexions à distance et de filtrer le port 177.

Aller plus loin

  • # BugReport Scheduling

    Posté par  . Évalué à -9.

    L'ordre logique et éthique des BugReports n'est-il pas plustôt de faire ce genre d'annonce après qu'un patch ait été écrit pour corriger la sus-dite faille ?
    Le monde ne tourne plus rond.
    • [^] # Re: BugReport Scheduling

      Posté par  . Évalué à 10.

      Même si ce n'est pas un patch, la méthode pour éviter la faille est connue. (ne pas désactiver par défaut la possibilité de se connecter à distance à X est un "oubli" pour la plupart des distrib qui l'autorise)
    • [^] # Re: BugReport Scheduling

      Posté par  . Évalué à 10.

      L'ordre logique et éthique des BugReports n'est-il pas plustôt de faire ce genre d'annonce après qu'un patch ait été écrit pour corriger la sus-dite faille

      Ben non, sinon faut retourner chez microsoft ;-) surtout que le moyen de corriger (provisoirement) la faille est décrite dans l'article... en attendant le service pack un patch correctif.
      • [^] # Re: BugReport Scheduling

        Posté par  . Évalué à 4.

        Ben non, sinon faut retourner chez microsoft ;-) surtout que le moyen de corriger (provisoirement) la faille est décrite dans l'article

        Ok, donc le jour où je trouve THE Buffer Overflow qui permet de lancer un remote shell sur
        n'importe quels Linux ou *BSD, je l'annonce en très gros sur LinuxFr. Yaura pas de patch, mais c'est pas grave puisque une règle DENY ALL permet de contrer la faille.

        Non, je reste persuadé que lorsqu'on trouve une faille de cette ampleur, la première chose à faire et d'écrire le correctif et de l'envoyer à l'auteur, ou alors de prévenir discretement les développeur avant de mêtre le bordel sur le net. Et là, on parle d'OpenSource pas de LP.
        C'est pas tout de bloquer le 177 (UDP j'ai cru lire), mais si ce XDMCP est indispensable au sein d'une société, on ne peu pas le bloquer comme ça pour le traffic intérieur. Donc dire que l'on peut filtrer le port "ok", mais ça ne resoud pas plus de problèmes que cette news n'en crée vu que 80% des attaques se font justement de l'intérieur...

        Voilà, je ne comprend toujours pas.
        • [^] # Re: BugReport Scheduling

          Posté par  . Évalué à 4.

          >Ok, donc le jour où je trouve THE Buffer >Overflow qui permet de lancer un remote shell sur
          >n'importe quels Linux ou *BSD, je l'annonce en >très gros sur LinuxFr.

          Oui et même sur slashdot, comme ca tu sauras sur que le patch sera disponible en quelques heures.

          >Yaura pas de patch, mais >c'est pas grave >puisque une règle DENY ALL >permet de contrer la >faille.

          Ca permettra d'attendre le patch qui ne tardera pas a arriver.Envoyer la faille aux developpeurs et attendre ca ne fonctionne pas toujours, déja parceque les développeurs sont réduits et peuvent etre ailleurs (en vacances, malade, en cours..) qu'ils peuvent avoir autre chose a foutre (puisque tu n'as prevenu personne d'autre, le patch peut attendre...) et aussi parceque ce n'est pas parceque toi tu as trouvé la faille que personne d'autres de plus mal intentionné ne l'a trouvé. On a vu ca récement avec un bug dans php je crois : la faille etait connue dans les milieux "underground" mais personne ne s'etait presse pour prevenir les developpeurs.

          Gueuler une bonne grosse faille sur le net c'est le meilleur moyen de forcer les developpeurs a se bouger...
        • [^] # Re: BugReport Scheduling

          Posté par  . Évalué à 0.

          m'enfin, ça n'a rien à voir. C'est purement un porblème de configuration
          par défaut. Et ça ne donne pas accès au système, mais tout juste d'essayer
          des attaques du genre "brute force". De toute façon, installer un chooser
          sans vérifier la config ni restreindre la liste des systèmes autorisés,
          fait aimer les risques.
    • [^] # Re: BugReport Scheduling

      Posté par  . Évalué à 3.

      Mmmmh... et tu a pensé a l'utilisateur lambda (ou presque) qui a un pc vulnerable et qui, du fait de cette annonce, pourra prendre ses dispositions en attendant le patch? Genre mettre ses machines "en panne", ou de mettre en place une procedure d'urgence? (genre "filtrage du port 117")
      • [^] # Re: BugReport Scheduling

        Posté par  . Évalué à 10.

        L'utilisateur lambda ne devrait pas avoir une distribution ayant activé XDMCP, normalement désactivé.
    • [^] # Re: BugReport Scheduling

      Posté par  . Évalué à 10.

      Dans ce cas la tu pars dans une politique à la microsoft. C'est à dire faire de la rétentions d'informations, avec toutes les conséquences que cela a.
  • # faut dire...

    Posté par  . Évalué à 10.

    Faut pas être malin pour avec un xdm, gdm, configuré pour accepter les connexions distantes par défaut.
    Parce qu'a priori, ça ne concerne pas tant de monde que cela...

    Logiquement, quand GDM est installé, c'est par défaut désinstallé.
    • [^] # Re: faut dire...

      Posté par  (site web personnel) . Évalué à 3.

      Surtout qu'a priori seuls les postes clients sont concernes par la chose. Et un poste client tres souvent il est derriere un firewall et n'est pas lache dans le monde cruel et sauvage du NET sans protection...

      Dans tous les cas, le fait meme d'installer xdm sur un serveur est pour le moins original.

      Linux (UNIX en general) a justement l'avantage d'offrir la possibilite de ne pas installer de couche graphique. Autant en profiter...
      • [^] # Re: faut dire...

        Posté par  (site web personnel) . Évalué à 3.

        Rappelons quand même que 80% des intrusions proviennent de l'intérieur, donc le pare-feu, il n'y verra que du feu :)
        • [^] # Re: faut dire...

          Posté par  . Évalué à 7.

          Rappelons aussi que beaucoup d'"admin" Unix installent X11 sur toutes les machines pour mouvoir lancer linuxconf/smit/... en mode graphique.
          Ils n'ont pas encore capté que
          1/ c'est dangereux
          2/ c'est inutile (on peut installer un client smit graphique et exporter le DISPLAY sans avoir le serveur X sur le serveur !!)

          donc X11 lourd, gourmand, inutile et buggé jusqu'a etre dangereux tourne sur beaucoup de serveurs en DMZ ... ARG!!

          (alors de la a laisser XDMCP en plus ...)
  • # Ben alors .... mais franchement ou est le problème ?

    Posté par  . Évalué à 10.

    Bonsoir,
    je ne maitrise pas beaucoup l'anglais mais bon j'ai bien lu et relus ... je ne vois pas du tout ou est la "faille importante" ...

    Tout au plus on donne la liste des logins dans une bête boite (g|k)dm oui ça aide les méchants à faire du cassage de mots de passe en force ...

    "II. Impact
    An attacker may gain sensitive information about users permitted to login to the system. This may aid in brute-force attacks against the system."

    Ben oui ... normal mais c'est pas une faille importante des systèmes unix ... reveillez-vous ! c'est la même chose que de donner la liste des utilisateurs, ok ça affaiblit la sécurité globale mais je ne trouve pas du tout que ça soit une "faille"!

    Et puis, pour avoir installé des serveurs de terminaux graphiques, la liste des images/logins qui s'affiche c'est un des premiers trucs qu'on vire dès qu'on a plus de 200 utilisateurs, imaginez la tronche de la boite de connexion avec 200 photos ... injouable !

    Allez, je retourne à la pêche aux moules !

    Éric

    eric.linuxfr@sud-ouest.org

    • [^] # Re: Ben alors .... mais franchement ou est le problème ?

      Posté par  . Évalué à 4.

      si c'est bien la fenetre a laquelle je pense, on peut éteindre ou redémarrer l'ordi, ou encore faire redémarrer X, et SANS avoir à entrer un mot de passe ni meme un login.

      (config par défaut souvent constatée ou de commodité, par exemple Mandrake 7.2)
      • [^] # Re: Ben alors .... mais franchement ou est le problème ?

        Posté par  . Évalué à 7.

        On peut configurer gdm kdm et les autres pour qu'il soit impossible pour root de se logger, a n'importe qui de redémarrer/arreter l'ordi. Quand on a envi de faire des connexions distantes, pour moi ce sont les premiere choses a faire.
        Pouvoir redemarrer le systeme comme cela, c'est adapté a une machine qui n'est utilisée que par une personne a la fois, pas pour un serveur de connexions distantes.
      • [^] # Re: Ben alors .... mais franchement ou est le problème ?

        Posté par  . Évalué à 8.

        > si c'est bien la fenetre a laquelle je pense, on peut éteindre ou redémarrer l'ordi

        Si tu penses à la fenêtre à laquelle je pense, le menu système (redémarer, arrêter, etc) n'est disponible qu'à l'utilisateur local et c'est désactivable.

        --
        tibob
  • # login screen?

    Posté par  . Évalué à 8.

    Je ne suis pas certain de comprendre le probleme.

    La faille donne access au 'login screen'. De la on peut obtenir une liste d'utilisateurs. Reste a obtenir un mot de passe.
    • [^] # Re: login screen?

      Posté par  . Évalué à 9.

      Un mot de passe, ça se casse.

      Là, il est dit que « cette faille permet une connexion en root sur le système attaqué. »
      • [^] # Re: login screen?

        Posté par  . Évalué à 7.

        C'est justement ça que je ne comprends pas, il y a un exemple de comment faire ????
        J'ai bien lu la news mais je n'ai pas vu de trace de ce root-exploit !

        Éric

        eric.linuxfr@sud-ouest.org

      • [^] # Re: login screen?

        Posté par  (site web personnel) . Évalué à 7.

        « cette faille permet une connexion en root sur le système attaqué. »

        Tout simplement parce que sur la Mandrake 8 on peut se logger en root à partir de KDM ou de GDM (ce qui ne devrait pas être possible), encore faut il avoir le mot de passe.
        • [^] # Re: login screen?

          Posté par  . Évalué à 10.

          hum, un peu comme sur une machine normale qu'on utilise quoi ...
          moi j'ai le même probleme avec mon appart, si quelqu'un arrive devant ma porte avec ma clef il peut rentrer chef moi... chez une faille importante des systemes appelés "portes"...
          • [^] # Re: login screen?

            Posté par  (site web personnel) . Évalué à 5.

            root n'a pas à se loguer sous X qu'il connaisse son mot de passe ou pas !!!
            • [^] # Re: login screen?

              Posté par  . Évalué à 3.

              je ne suis pas d'accord avec toi. de nombreuses applis d'administration existent sous X et nécessitent les droits de root.

              pour ne donner que les plus connues (par moi ) :

              - linuxconf (beaucoup l'utilisent moi je suis pas fan)
              - l'interface gnome de debconf sous debian (miam)
              - ethereal (que du bonheur)
              - phpmyadmin et webmin (je sais c'est des interfaces web mais avec w3m je suis pas sur du résultat)

              sans parler de la nécessité de temps à autre pour un admin d'éditer des fichier de conf. les éditeur de texte dans la console c'est bien mais ça fatigue à la longue, et il y a trop de raccourcis clavier à apprendre pour faire des trucs aussi simples que couper/copier/coller. la souris ça peut servir...


              c'est vrai qu'ici on est des linusque lordz, on utilise que la console et on code qu'en assembleur parce que le C c'est pour les branleurs.

              :wq
              • [^] # Re: login screen?

                Posté par  (site web personnel) . Évalué à 3.

                euh ... su -c "command" , c'est warlordz aussi ?
                a bon.
                c'est connu, linux c'est nul, on peut pas lancer des applis root sous X si on est en user.
                On est pas sous MS mon gars..
                --
                ps j'aime pas le logo linuxfr
                • [^] # Re: login screen?

                  Posté par  . Évalué à 2.

                  Meme sous MS.

                  runas.exe
                • [^] # Re: login screen?

                  Posté par  . Évalué à 0.

                  euh ... su -c "command" , c'est warlordz aussi ?
                  oui c'est warlordzzzz. heu non je déconne.

                  personnellement je me méfie de ces commandes parce que je ne les connais pas bien : je parle pas de l'utilisation (qui n'est vraiment pas compliquée) , mais du fait que ça mixe les environnements utilisateur et root et que je trouve pas ça très propre.

                  par exemple :
                  j'ai mis les locales pour les utilisateurs en français, mais je laisse les locales de root à "C" parce qu'un certain nombre d'applications présente des bugs quand on change de langue.
                  quand je lance su -c command, je ne suis jamais sur de la valeur des locales.

                  d'autres part j'ai vu des applications qui déconseillaient l'utilisation de su et sudo.

                  dans le doute j'utilise peu su*. quand je suis logué en utilisateur je ne suis pas root et vice versa.

                  ce que je ne comprend pas c'est : qu'y a-t-il de mal à se loguer sous X en root ?
                  pour une connexion en local je vois pas le mal, franchement.
                  pour la connexion distante, le password va sur le réseau en clair ( comme n'importe quelle connexion ssh avec authentification par mot de passe), mais le reste de la session utilise un agent ssh, je crois (confirmation ?).
                  • [^] # Re: login screen?

                    Posté par  (site web personnel) . Évalué à 4.

                    alors jette un oeil à man su, en particulier la différence en « su » et « su - », qui devrait faire ton bonheur.
                  • [^] # Re: login screen?

                    Posté par  (site web personnel) . Évalué à 3.

                    pour la connexion distante, le password va sur le réseau en clair ( comme n'importe quelle connexion ssh avec authentification par mot de passe)

                    C'est bien connu que SSH transmets les mots de passe en clair. gniiii :op
                    Désolé de te decevoir, mais ssh établit un tunnel chiffré entre les deux ordinateurs (désolé, je ne me rappelle plus de l'algorithme - peut-etre du Diffie-Hellman que je verais bien s'appliquer ici) avant l'authentification de l'utilisateur. L'utilisateur peut ainsi saisir son mot de passe en toute sécurité.

                    Sinon, tu m'expliques l'interêt de ssh par rapport à telnet ???
                    • [^] # Re: login screen?

                      Posté par  . Évalué à 1.

                      pardon c'est moi qui avais mal compris ce commentaire dans sshd.conf :

                      # To disable tunneled clear text passwords, change to no here!
                      PasswordAuthentication yes


                      "tunneled clear text password" c'est un peu ambigu comme expression.

                      l'interet de ssh par rapport à telnet, je le voyais parce qu'il chiffrait quand même tout le reste de la transaction et qu'on peut se connecter en utilisant la paire clef publique/ clef privée, qu'on peut faire du transfert de fichier avec scp et sftp, que la communication est compressée, sans parler du "forward X11"...
                  • [^] # Re: login screen?

                    Posté par  . Évalué à 2.

                    mais du fait que ça mixe les environnements utilisateur et root et que je trouve pas ça très propre.

                    C'est pourtant beaucoup plus propre, si si, ça permet de ne lancer en tant que root que le strict minimum, et pas des dizaines de trucs que tu auras inévitablement en se logeant avec root sous X.

                    d'autres part j'ai vu des applications qui déconseillaient l'utilisation de su et sudo.

                    Déconsillé mais par rapport à quoi ? La solution conseillée n'est pas plutot d'utiliser une console plutot que d'utiliser su ? Dans ce cas c'est mieux, c'est sur, si on n'a pas besoin d'X, mais je ne pense pas qu'on puisse conseiller le login X root par rapport à su.
              • [^] # Re: login screen?

                Posté par  (site web personnel) . Évalué à 10.

                IL NE FAUT PAS SE LOGGUER EN ROOT.

                Il faut utiliser su, ou sudo :

                Par exemple j'ai en alias :
                alias xcdroast='sudo xcdroast'

                Avec comme conf sudoers :
                User_Alias GENTILS = annah
                Cmnd_Alias X = /usr/bin/ethereal, /usr/bin/gpowertweak, /usr/bin/xcdroast
                GENTILS ALL = NOPASSWD: X


                Ainsi les applis X autorisées tournent en root sans qu'on est besoin d'exporter des DISPLAY et autres.
                • [^] # Re: login screen?

                  Posté par  . Évalué à 1.

                  Heu... ça te gênes pas de donner ton mot de passe à chaque fois ? Et pis l'idée même de lancer un process en root quand ce n'est pas nécéssaire...

                  Je te propose ceci :

                  1. Crée un nouveau groupe. Ce groupe va autoriser tous les utilisateurs que tu autorise à utiliser le graveur.

                  2. Rajoutes toi dans ce groupe. Oui, bon, c'était évident ça :)

                  3. Donne le périphérique au groupe. Après tout, y'a que eux qui en ont besoin, donc... chown .group /dev/sg..

                  4. Donne leur les droits d'accès. chmod g=rw /dev/sg..



                  Et voila, c'est fini :) A partir de maintenant, tous les utilisateurs dans ce groupe peuvent accéder au graveur, et ce sans avoir besoin de lancer le programme en root.
                  Et pis... lancer xcdroast en root... quelle drole d'idée : t'as essayé de graver l'iso qui s'appelle /etc/shadow ? si tu le peux, tues users le peuvent aussi :(

                  [-1: car je suis vraiment off-topic, là...]
      • [^] # Re: login screen?

        Posté par  (site web personnel) . Évalué à 9.

        en général, ca ne se casse pas au login screen, car la force brute ne marche pas ici, puisque pam a un délai de 2 secondes avant de rendre la main quand tu donnes un mot de passe erroné.
        • [^] # Re: login screen?

          Posté par  . Évalué à 2.

          tu recupere la liste des users avec le login graphique.
          rien ne t'empeche d'utiliser pop/imap/telnet/ssh/rsh/rlogin/...
          pour faire ton attaque brute-force et valider les mots de passe.
          voir de profiter d'un cgi a la con ou d'un mot de passe dans squid, .. bref ca laisse des possibilitées.
          (meme si je trouve l'annonce un peu dramatisante, ce probleme en lui seul n'en est pas vraiment un).
  • # C'est quoi, ce délire ?

    Posté par  (site web personnel) . Évalué à 10.

    C'est le choix de l'administrateur de laisser une boîte de login pouvoir s'afficher à distance. Pas de quoi fouetter un pingouin...
    En plus, de ce que j'ai vu, les configurations par défaut de xdm, gdm et wdm ne sont aucunement concernées par cette « faille ».

    Encore des consultants professionnels qui veulent jouer au malin en trouvant la faille qui tue...
    • [^] # Re: C'est quoi, ce délire ?

      Posté par  (site web personnel) . Évalué à 10.

      Euh, une précision, je trouve que je n'ai pas été tout-à-fait clair : même en activant xdmcp, wdm, xdm et gdm (et probablement kdm) ne sont aucunement concernés. Il faut explicitement modifier certains paramètres pour que ce soit le cas.
    • [^] # Re: C'est quoi, ce délire ?

      Posté par  . Évalué à 6.

      Ouaif, je sais pas si on peut considerer le CERT comme des consultants voulant jouer au malin.

      C'est surement pas le probleme de securite le plus important de l'univers, mais ca donne des infos sensibles(logins des users), c'est pas visible a l'utilisateur, et en cela c'est une faille meme si c'est pas l'equivalent d'une elevation de privilege.
      • [^] # Re: C'est quoi, ce délire ?

        Posté par  (site web personnel) . Évalué à 4.

        Je parlais de Procheckup. Quand au CERT, ils ont bien précisé ce que fait la faille, à savoir pas grand-chose (comme Debian, ils considèrent comme failles des problèmes uniquement potentiels).
    • [^] # Re: C'est quoi, ce délire ?

      Posté par  (site web personnel) . Évalué à 8.

      je confirme c'est n'imp cette news. autant dire que si on a un ssh sur la machine, on a un trou de sécurité. Bon certaines distrib desactivent le login root pour ssh, pareil pour xdmcp.
      De la a trouver qu'on peut faire une brute attack sur le systeme, et que c'est un trou de sécurité, c'est fort.
      et je confirme que malgré que ca soit le CERT qui ait relayé la news, c'est issu d'un groupe de consulting pas tres connu: www.procheckup.com

      Je me demande ce qu'ils ferons comme annonce, le jour où ils vont découvrir que les mdp passent en clair sur le réseau avec xdmcp....
    • [^] # Re: C'est quoi, ce délire ?

      Posté par  (site web personnel) . Évalué à 3.

      bref, ce n'est pas une faille, c'est une configuration par défaut de certaines distrib (ils citent beaucoup Mandrake) qui est un peu trop permissive. Pas de quoi en faire vélo.
  • # new bizarre

    Posté par  (site web personnel) . Évalué à 10.

    - ils disent que RH-7.2 n'est pas vulnérable (la dernière RH) sans dire que MDK-8.1 n'est pas vulnérable (la dernière MDK), c'est bizarre

    - à la fin des explications ils sous-entendent que peut-être que Suse et IRIX aussi sont vulnérable, on ne sait donc pas trop quelles "distribs" d'unix/linux ont été testées

    - ils sous-entendent qu'on peut avoir un root login, ce qui est faux a priori puisque ça donne juste un login screen

    Ceci dit, c'est vrai que ce n'était probablement pas une bonne idée de mettre ça par défaut, et toutes les distribs proposent en général leur dernière version avec cette caractéristique désactivée.
    • [^] # Re: new bizarre

      Posté par  (site web personnel) . Évalué à 4.

      En fait, pour la comparaison Mdk 8.0 et 8.1, c'est très simple :

      - avant la mdk 8.1, xdmcp était activé par défaut (kdm).
      - par contre, la mdk 8.1 a fait changer cela... elle désactive par défaut xdmcp.

      Après, n'ayant pas de red hat d'installée en ce moment, je ne peux pas vérifier avec la red hat 7.2...
      • [^] # Re: new bizarre

        Posté par  . Évalué à 2.

        la dernière Mdk est la 8.2

        la Mdk 8.1 et 8.2 ne sont pas sensibles au problèmes, ainsi que la RH 7.2

        il est à noter que le fonctionnement de kdm, qui est utilisé par défaut suur les mdk est complètement différent sur la 8.0- et la 8.1+:
        en 8.0-, kdm est un simple ripoff de xdm et utilise les mêmes fichiers de conf que xdm. c'est dans un de ces fichiers de conf que se situe le "problème", encore une fois, un simple "#" à placer judicieusement.
        en 8.1+, kdm est totalement indépendant, et il se trouve que les mecs de Mdk ont par ailleurs configuré correctement kdm par défaut dans le kdmrc (ou peut etre les mecs de kde l'ont fait ainsi).

        c tout...
      • [^] # Re: new bizarre

        Posté par  . Évalué à 1.

        La RH propose GDM par défaut, ce depuis des lustres.

        Et GDM est par défaut avec le XDMCP désactivé.
  • # Ha ! Ha ! Quelle bande de branleurs !

    Posté par  . Évalué à 10.

    Ma-gni-fi-que le paragraphe Comments. Je ne peux pas m'empêcher de le citer :

    Although this vulnerability has been possible for many years but has never been discovered because of the human assumptions made about hardware, software and the possibilities of hacking them. Standard scanners would not have found it because of the linear way they function and because it is not a published vulnerability; Human intelligence has flirted with it but did not go all the way due to the pre-conceptions regarding other protocols and existing methods of attack (DOS etc). The artificial intelligence of ProCheckUp and tools "protocol specialists" discovered it simply because it was there


    Alez, comme je suis un seigneur, je vais tenter une traduction (libre) du bout qui me fait marrer :

    Bien qu'existante depuis de nombreuses années cette faille n'a jamais été découverte à cause des suppositions humaines faites sur les possibilités matérielles et logicielles de les exploiter. Les scanners standards n'ont pu la trouver à cause de leur fonctionnement linéaire et du fait que la faille n'a jamais été publiée; [... Blabla ...]
    L'intelligence artificielle de ProCheckUp et des outils « experts en protocoles » ont découvert [les failles] simplement car elles étaient là.


    J'en trouve 42 par seconde des failles comme ça grâce à mon moteur de connerie naturelle.

    Encore une boîte qui cherche à vendre sa « solution » de sécurité sur internet et les services associés habituels et lance des advisories sur tout et n'importe quoi pour que le nom de la boîte soit connu.

    Le tableau de comparaison de ProCheckUp [1] avec les autres méthodes existantes est un bel exemple de foutage de gueule pas clair aussi (mais pourquoi dans la liste plus bas cela correspond-il à des fonctions d'outils libres ?).

    Allez, on leur souhaite bonne chance quand même ...

    [1] http://www.procheckup.com/services/faq.html(...)
    • [^] # Re: Ha ! Ha ! Quelle bande de branleurs !

      Posté par  . Évalué à 3.

      Encore une boîte qui cherche à vendre sa « solution » de sécurité sur internet et les services associés habituels et lance des advisories sur tout et n'importe quoi pour que le nom de la boîte soit connu.

      Et n'importe comment qui plus est.
      Encore une société "sans gène" prête à faire du profit sur n'importe quoi.
    • [^] # Re: Ha ! Ha ! Quelle bande de branleurs !

      Posté par  (site web personnel) . Évalué à 4.

      Allez, j'men vais leur faire exploser la souris à distance, ça leur apprendra a me faire perdre mon temps à aller sur leur site.

      Et [-10] a celui qui a proposé la news et a celui qui l'a modéré ! Si seulement ça avait été mis dans la catégoie humour !
      • [^] # Re: Ha ! Ha ! Quelle bande de branleurs !

        Posté par  . Évalué à 2.

        Et encore [-20] pour le titre ...

        [-1] Pour moi ;-)
      • [^] # Mea Culpa...

        Posté par  . Évalué à 2.

        Mea Culpa...

        J'aurais dû effectivement vérifier de plus près mon info...
        Mais bon, les références du CERT me semblait suffisante et j'aurai dû gratter un peu plus...

        Mais en terme de sécurité il faut avouer, que la récupération des UID et suffisante pour récupérer au moins un compte en faisant du Brutal Force Cracking basé sur un dico ( pour le mot de passe, si certaines règles en dures ne sont pas établies, on a souvent du médore ou autre comme mot de passe..)...
        Il me semble que cela affaiblit la sécurité.

        La prochaine fois, si mon info et de la même veine, je le jure, je me coupe la couille gauche....
        Faut pas en faire un fromage quand même, je me colle un [-30] et je retourne gober une dizaine d'huîtres...
        Ki veut me fesser avec une pelle....
        ;o)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.