Traduction partielle de la page de securiteam :
Le programme /usr/bin/mail accepte les séquences d'échappement lorsqu'il s'éxécute en mode « non interactif »
C'est donc lors d'une exécution par cron que cette faille peut être exploitée. L'utilisateur malveillant peut insérer des séquences d'échappement et ainsi mettre le système en péril.
Aller plus loin
- Securiteam (2 clics)
- OpenBSD 2.9 errata (2 clics)
- OpenBSD 3.0 errata (2 clics)
# Bravo pour le scoop
Posté par Arnaud Da Costa . Évalué à -10.
(le patch est sorti sur la page errata il y a quelques jours deja)
[^] # Re: Bravo pour le scoop
Posté par Annah C. Hue (site web personnel) . Évalué à 8.
Il n'y a qu'un seul utilisateur : moi.
C'est mal ?
[^] # Re: Bravo pour le scoop
Posté par rootix . Évalué à 10.
Je considère cette news uniquement à titre de rappel.
C'est vrai que chez moi, il me sert uniquement de firewall, de serveur de mail, de serveur web.
Bon, moment: choisir le bon patch président...
[^] # Re: Bravo pour le scoop
Posté par Annah C. Hue (site web personnel) . Évalué à -2.
Pourquoi serait-ce un bon admin ?
Un bon admin est un admin qui patche tout ce qui bouge ?
[^] # Re: Bravo pour le scoop
Posté par Neryel . Évalué à 3.
Quand ils ont rien à patcher, ce qui est rare, les bons admins s'entrainent en faisant du paintpatch.
--
Moi aussi, et pas qu'à moitié !
[^] # Le mauvais admin ... et le bon admin
Posté par adonai . Évalué à 2.
# sacré décalage
Posté par Anonyme . Évalué à 10.
Il n'y a pas un trou « dans les mails » mais un trou dans le programme mail fournit sous OpenBSD. La différence est phénoménale. Le terme employé fait penser à ce que connais Outlook... Alors que finalement, il s'agit que d'une faille classique : une erreur, un oubli... et pas une catastrophe mondiale.
Ca va faire bien quand on ne verra plus que le titre (dans la boite archive) tiens...
[^] # Re: sacré décalage
Posté par pasBill pasGates . Évalué à 4.
Imagines un instant qu'il y ait un buffer overflow dans Apache ou autre, premier abord on se dit "rien a craindre car il tourne en nobody".
Eh c'est con mais Apache peut lancer /usr/bin/mail, tu peux prendre alors un acces root a partir d'Apache alors qu'au depart tu etais avec 2 trous minimes...
[^] # -> le titre actuellement en ligne n'est pas celui dont je parlais
Posté par Anonyme . Évalué à 10.
Une machine qui apache qui tourne et qui est accessible sur internet (donc pas de parefeu interdit la connexion à apache), c'est a priori pas la machine de monsieur tout le monde.
CONTRAIREMENT à la machine qui fait tourner MS Outlook.
Donc ces deux failles n'ont rien à voir. Le titre évoque les failles d'Outlook et des plates-formes microsoft, concernant le grand public et sans solution de sécurité pour eux, alors que ça ne concerne qu'un public restreint : les serveurs accessibles au public.
Certes, c'est une faille, qui peut faire des dégats. Néanmoins, le tittre original (celui qui est écrit actuellement n'est pas l'original, l'original parlait dans les « dans les mails » (cf ma citation ci dessus => à quand un suivi des modifications ?! Forcement, un propos critiquant une part d'une dépêche se retrouve très vite criticable/incompréhensible dès lors que cette part de la dépêche est corrigée)) est trompeur.
[^] # Re: -> le titre actuellement en ligne n'est pas celui dont je parlais
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
# trollorak go !!!
Posté par Le_Maudit Aime . Évalué à 9.
j'ai toujours su que openbsd n'était pas sûr.
Leur slogan (2 millénaires de releases sans faille de sécurité) va en prendre un coup.
Si avec çà vous êtes pas convaincu que c'est la NSA qui est derrière OpenBSD.
</troll>
c'est samedi et hop -1
au fait quelqu'un suit trustedbsd ?
On ne peut pas dire que ce soient les niouze qui encombrent leur page ouebe. http://www.trustedbsd.org/(...)
[^] # Re: trollorak go !!!
Posté par rootix . Évalué à 10.
Ils jouent sur la signification du slogan.
C'est la configuration, installation par défaut qui est sûr. Les softs en eux-mêmes ne le sont pas forcément et c'est impossible à prouver.
Aucun système n'est sûr à 100%, ça se saurait, non ?
fin du moment
# GNU/Linux aussi
Posté par Jar Jar Binks (site web personnel) . Évalué à 10.
http://bugs.debian.org/cgi-bin/bugreport.cgi?archive=no\&bug=14(...)
Les autres distributions peuvent aussi l'avoir été, je pense que tout le monde devrait upgrader.
[^] # Re: GNU/Linux aussi
Posté par Anonyme . Évalué à 7.
tout le monde n'est pas admin d'un serveur/réseau...
[^] # Re: GNU/Linux aussi
Posté par DaFrog . Évalué à 4.
Moralite, si un package connu pour etre vulnerable est sur ta machine: upgrade le ou vire le!
DaFrog.
[^] # Re: GNU/Linux aussi
Posté par Anonyme . Évalué à 2.
# C'est pas le bugtrack ici...
Posté par RB . Évalué à -8.
Ce bug est sortit il y a déjà un certain temps. Si on veut les bugs, on s'abonne à la ml bugtrack (c'est la que j'ai su l'existence de ce problème). Les bugs de sécurité entre les différentes distrib linux, les BSD et le reste y en a pas mal par jour, ça n'a pas à faire de news ici.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.