Journal faille de sécurité dans GRUB

• # Accès physique à la machine tout ça...

  Posté par psychoslave__ (site web personnel) le 14 décembre 2009 à 12:06. Évalué à 9.

  

  Comme dit dans le titre, tout le monde (ici) sais que le fait d'avoir un accès physique à la machine rend caduque tout un tas de système de "protection".
  
  Bon c'est un problème de sécurité, sévère je sais pas. Ça dépend sans doute du cas dont on parle. Avez-vous des exemples de situations ou le mot de passe grub est d'une importance critique pour la sécurité du système ? Quid du BIOS et de ses mots de passe maître ?

  • [^] # Re: Accès physique à la machine tout ça...

    Posté par JoeltheLion (site web personnel) le 14 décembre 2009 à 15:31. Évalué à 5.

    

    Si tu as le droit de rebooter la machine et que tu as un clavier/écran relié directement à la machine, mais que tu n'as pas accès physique à la machine, tu peux changer le mot de passe root à condition d'avoir le mdp grub. Le fait que le Bios soit protégé par un mdp n'y change rien.

    • [^] # Re: Accès physique à la machine tout ça...

      Posté par psychoslave__ (site web personnel) le 14 décembre 2009 à 15:39. Évalué à 1.

      

      Tu as un exemple concret en tête ? Parcequ'une borne où tu as accès au clavier mais pas à la tour (genre pour mettre ta clef bootable USB en master dans le BIOS) ET sur laquelle tu as le droit de redémarrer la machine, je vois pas trop le cas d'utilisation.

      • [^] # Re: Accès physique à la machine tout ça...

        Posté par Octabrain le 14 décembre 2009 à 15:42. Évalué à 2.

        

        Redémarrer ça se fait en soft, n'est ce pas ?

        • [^] # Re: Accès physique à la machine tout ça...

          Posté par psychoslave__ (site web personnel) le 14 décembre 2009 à 15:45. Évalué à 2.

          

          Seulement si tu as les droits adéquates. Si on veut pas que tu puisses bidouiller le démarrage on t'autorise pas à redémarrer la machine, ça me semble la moindre des choses, non ?

          • [^] # Re: Accès physique à la machine tout ça...

            Posté par Octabrain le 14 décembre 2009 à 15:50. Évalué à 2.

            

            Faut-il encore savoir le faire. OK si déjà on a grub, on sait le faire :-)

            • [^] # Re: Accès physique à la machine tout ça...

              Posté par Olorim le 14 décembre 2009 à 16:20. Évalué à 0.

              

              Ha ben évidement, si tout le monde à le compte root, la sécurité de grub, on s'en fout un peu...
              Par contre, le droit de redémarrage à distance, a part en passant par un boitier Perl ou une carte ILO, je vois pas trop comment tu y accède...
              
              Mais bon, si la machine a un mot de passe Grub, j'imagine que les personnes autorisés à redémarrer sont aussi à même de faire du dégâts sans ça. Ou alors, l'admin est franchement mauvais et ferai mieux de changer de taf, pour le bien de l'informatique : la sécurité, c'est pas pour les bricolos du dimanche(contrairement à ce que veut nous faire croire le gouvernement avec HADOPI...).

              • [^] # Re: Accès physique à la machine tout ça...

                Posté par Octabrain le 14 décembre 2009 à 16:32. Évalué à 5.

                

                "Ha ben évidement, si tout le monde à le compte root, la sécurité de grub, on s'en fout un peu..."
                Ah le super amalgame entre "être root" et "pouvoir rebooter"...

                • [^] # Re: Accès physique à la machine tout ça...

                  Posté par Olorim le 14 décembre 2009 à 16:59. Évalué à 1.

                  

                  Certe, j'exagère, mon propos était plutôt de dire que sur une machine sécurisé, on a une gestion de compte sérieuse, et à mon sens, une machine sécurisé (un serveur, ne parlez pas de poste de travail sécurisé...), le seul à avoir le droit de rebooter c'est root :Linux, c'est pas windows, on va pas rebooter tout les jours.
                  
                  Quand aux postes de travail, faut pas pousser non plus : on industrialise, on met le temps de sélection à 0 secondes, si possible on n'affiche rien (je sait que c'était possible sous LILO, j'imagine que ce doit être faisable sous GRUB) et on verrouille le BIOS. Le cadenas me parait aussi indispensable (j'ai déjà vu des machines de bureau se faire pouiller la RAM...). Mais là encore, si un utilisateur à le droit de rebooter, il y aura une gestion des droits utilisateur d'autant plus rigoureuse.

                  • [^] # Re: Accès physique à la machine tout ça...

                    Posté par briaeros007 le 14 décembre 2009 à 23:09. Évalué à 4.

                    

                    le seul à avoir le droit de rebooter c'est root :Linux, c'est pas windows, on va pas rebooter tout les jours.
                    Pas forcément : on peut vouloir qu'un admin puisse rebooter pour une raison X ou Y, mais ne puisse pas avoir accés aux comptes des utilisateurs (par exemple, premier exemple qui me suis passé par la tête).

                    • [^] # Re: Accès physique à la machine tout ça...

                      Posté par Olorim le 15 décembre 2009 à 10:16. Évalué à 2.

                      

                      Étant admin de serveurs Linux, j'ai choisi de ne pas déléguer ce genre de tâches. Seul root redémarre la machine. Les compte admin permettent de faire du sudo pour installer des applis et d'autres permettent de configurer les appli.
                      
                      Mais tout ce qui touche à la gestion des disques et FS, les redémarrages, les configurations réseaux, les paramétrage système, ça reste pour le root.
                      
                      Quand à l'exploit qui permet de redémarrer la machine couplé à un exploit pour utiliser le bug de grub, il faudrait déjà qu'il te permette de le faire à distance d'une part, d'obtenir une élévation de privilège pour écrire ton deuxième exploit sur le FS. Ce deuxième exploit devant être exécuté avant redémarrage pour modifier GRUB. A quoi ça sert vu que t'as déjà un accès à la machine avec un compte avec privilèges? Obtenir le root n'est plus qu'une affaire de patience, suffit juste de savoir rester discret...
                      
                      Encore une fois, si t'as déjà l'accès physique à la machine, je vois pas pour quoi tu t'embête avec des exploits : BIOS->Boot CD->Boot liveCD-> au revoir Datas...

                  • [^] # Re: Accès physique à la machine tout ça...

                    Posté par kowalsky le 14 décembre 2009 à 23:35. Évalué à 1.

                    

                    Oui, mais un bon exploit est plus fort avec un autre bon exploit.
                    
                    Donc, si je connais un exploit qui fait planter/redemarrer la machine, accoupler à la faille grub, bingo :)

        • [^] # Re: Accès physique à la machine tout ça...

          Posté par Grunt le 14 décembre 2009 à 18:29. Évalué à 3.

          

          Redémarrer ça se fait en soft, n'est ce pas ?
          Ou ça se fait en coupant l'alimentation électrique du bâtiment. À moins d'embarquer un onduleur et un système d'alarme dans la boîte qui protège ton UC, tu ne peux pas être certain qu'un utilisateur malveillant ne se retrouvera pas devant ta machine en train de booter, ne serait-ce que par hasard.

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Accès physique à la machine tout ça...

            Posté par 2PetitsVerres le 14 décembre 2009 à 18:49. Évalué à 3.

            

            En coupant l'alimentation du bâtiment, au mieux, tu peux éteindre une machine. Pour la rallumer, c'est plus dur. (par contre, en coupant l'alimentation un très bref instant, j'ai déjà vu des PC rebooter, donc c'est peut-être jouable...)

            Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

            • [^] # Re: Accès physique à la machine tout ça...

              Posté par phoenix (site web personnel) le 14 décembre 2009 à 19:03. Évalué à 2.

              

              Tout dépend. Beaucoup de PC sont configuré par défaut, pour reprendre l'état dans lequel ils était après une coupure de courant (éteint s'ils étaient éteint, allumé s'ils était allumés). D'ailleurs après une coupure de courant, généralement mon PC est allumé.

          • [^] # Re: Accès physique à la machine tout ça...

            Posté par briaeros007 le 14 décembre 2009 à 23:10. Évalué à 4.

            

            si tu en es là, attaquer la salle serveur avec un commando est aussi une option :P

      • [^] # Re: Accès physique à la machine tout ça...

        Posté par briaeros007 le 14 décembre 2009 à 23:07. Évalué à 2.

        

        Tu as un exemple concret en tête ? Parcequ'une borne où tu as accès au clavier mais pas à la tour (genre pour mettre ta clef bootable USB en master dans le BIOS) ET sur laquelle tu as le droit de redémarrer la machine, je vois pas trop le cas d'utilisation.
        Une carte d'accés à distance qui ne gere pas (désactivé) les périphériques styles cdrom/usb ?

      • [^] # Re: Accès physique à la machine tout ça...

        Posté par Maxime (site web personnel) le 15 décembre 2009 à 16:41. Évalué à 2.

        

        Rebooter ?
        
        Débrancher et rebrancher la prise de courant lorsque celle-ci est disponible... Alternativement, faire un court circuit sur une prise non loin en espérant que ça soit le même disjoncteur.

• # En même temps…

  Posté par 🚲 Tanguy Ortolo (site web personnel) le 14 décembre 2009 à 12:07. Évalué à 10.

  

  Pour ceux qui voudraient considérer cela comme important : n'oubliez pas de désactiver le démarrage sur autre chose que le disque dur, de mettre un mot de passe sur les réglages votre carte mère et de fermer votre boîtier avec un bon verrou. Sinon le mot de passe de GRUB ne sert à rien.

  • [^] # Re: En même temps…

    Posté par 🚲 Tanguy Ortolo (site web personnel) le 14 décembre 2009 à 12:08. Évalué à 2.

    

    s/verrou/cadenas/ :-)

    • [^] # Re: En même temps…

      Posté par the_glu le 14 décembre 2009 à 12:24. Évalué à -4.

      

      De toutes façons le mot de passe du bios sert à rien à part à faire zoli hein, tu peut toujours le faire sauter :)

      • [^] # Re: En même temps…

        Posté par 🚲 Tanguy Ortolo (site web personnel) le 14 décembre 2009 à 13:15. Évalué à 5.

        

        Oui, en ouvrant le boîtier et en mettant le cavalier qui va bien en position de réinitialisation de la flash. D'où le cadenas.

        • [^] # Re: En même temps…1

          Posté par the_glu le 14 décembre 2009 à 13:23. Évalué à 1.

          

          Et c'est là qu'on a inventé les pinces [1] :)
          
          Après forcément si tu arrives au boulot avec ça pour jouer avec le pc de tes collèges ça sera pas discret, mais y'a toujours un moyen.
          
          Autant se concentrer sur tes données comme par exemple en les chiffrant nan ? (Note que rien n'empêche de par ex. mettre un petit truc entre ton clavier et ton pc. On supprimerait tout le matériel les PCs seraient beaucoup plus faible :] )
          
          [1] http://i17.ebayimg.com/08/i/001/20/76/0bfa_35.JPG

        • [^] # Re: En même temps…

          Posté par dyno partouzeur de drouate le 14 décembre 2009 à 15:01. Évalué à 4.

          

          ou avec un master password mis en dur dans le BIOS par le fabriquant, et que tout le monde connait

  • [^] # Re: En même temps…

    Posté par Etienne Bagnoud (site web personnel) le 14 décembre 2009 à 12:49. Évalué à 6.

    

    fermer votre boîtier avec un bon verrou
    
    Coulé dans du béton armé et enterré à 12 mètres de profondeurs ...

    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

    • [^] # Re: En même temps…

      Posté par Mr Kapouik (site web personnel) le 14 décembre 2009 à 13:17. Évalué à 10.

      

      Tu oublie le champs de mine qui a rendu plusieurs stagiaires infirmes et la milice armée qui ont ordre de tirer à vu sur tout ce qui ressemble de près ou de loin à un commercial ou un DSI.

      • [^] # Re: En même temps…

        Posté par Etienne Bagnoud (site web personnel) le 14 décembre 2009 à 13:20. Évalué à 5.

        

        le champs de mine qui a rendu plusieurs stagiaires infirmes
        
        Je mets les mines après avoir enterré la machine, je ne laisses pas quelqu'un le faire à ma place, il risquerait de tenter de pirater la machine en creusant le trou (en fait je fais creuser le trou par quelqu'un que j'élimine ensuite (donc il creuse deux trous)) ... On est jamais trop prudent.

        "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

        • [^] # Re: En même temps…

          Posté par windu.2b le 14 décembre 2009 à 14:04. Évalué à 10.

          

          "le monde se divise en deux catégories : ceux qui ont un pistolet chargé et ceux qui creusent. Toi, tu creuses."

          • [^] # Re: En même temps…

            Posté par bibitte le 14 décembre 2009 à 15:01. Évalué à 8.

            

            ceux qui comprennent le binaire ils sont de quel coté?

            • [^] # Re: En même temps…

              Posté par Grunt le 14 décembre 2009 à 18:31. Évalué à 4.

              

              Ils divisent le monde en 10 catégories?

              THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: En même temps…

        Posté par kowalsky le 14 décembre 2009 à 14:04. Évalué à 10.

        

        la milice armée qui ont ordre de tirer à vu sur tout ce qui ressemble de près ou de loin à un commercial ou un DSI.Inutile, ces gens la ne savent pas ou est la salle informatique !

        • [^] # Re: En même temps…

          Posté par Mr Kapouik (site web personnel) le 14 décembre 2009 à 14:44. Évalué à 5.

          

          C'est comme les aides humanitaires dans les zones où les populations en ont besoin : c'est quelque chose de tellement exceptionnel qu'il faut s'en méfier quand ça arrive.

          • [^] # Re: En même temps…

            Posté par kowalsky le 14 décembre 2009 à 15:35. Évalué à 2.

            

            ça arrive, quand il y a des cameras !!
            
            
            
            ps : Je suis médisant, en plus je n'aide personne (à part moi même(ce que je fais mal en plus)).

• # pas d'urgence...

  Posté par NeoX le 14 décembre 2009 à 12:15. Évalué à 5.

  

  Trouvé dans la version :
  Found in versions grub2/1.97~beta3-1 et , 1.97~beta3-1~bpo50+1
  
  mais fixé :
  Fixed in versions grub2/1.97+experimental.20091110-1, et grub2/1.97+20091115-1
  
  bref fixé depuis mi-novembre, on est mi-decembre
  
  en faisant les mises à jour de mon OS regulierement je suis deja à 1.97-beta4
  (les fichiers datent du 7 decembre, y a surement eu des mises à jours entre le 15 nov et le 7 dec)

  • [^] # >>

    Posté par zebra3 le 14 décembre 2009 à 13:06. Évalué à 2.

    

    En passant, dans grub2/1.97~beta3-1, il y a beta. Personnellement, ça ne me choque pas qu'il y ait des failles de sécurité dans une beta.
    
    Je pense que ceux qui ont des problèmes de sécurité à utiliser grub 2 sur des systèmes sensibles n'ont que ce qu'ils méritent.

    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Re: >>

      Posté par Cyrille Pontvieux (site web personnel, Mastodon) le 14 décembre 2009 à 14:56. Évalué à 2.

      

      C'est beta parce que grub2 n'a pas encore implémenter la pile réseau et donc ne peut servir de remplaçant complet à grub.

      • [^] # Re: >>

        Posté par zerkman (site web personnel) le 14 décembre 2009 à 16:06. Évalué à 6.

        

        Pourquoi réinventer la roue à chaque fois ?
        
        Alors qu'il suffit d'utiliser Emacs.

        • [^] # Re: >>

          Posté par 🚲 Tanguy Ortolo (site web personnel) le 14 décembre 2009 à 16:23. Évalué à 2.

          

          Ça tombe bien, une des nouveautés de GRUB 2, c'est que l'édition d'entrées du menu utilise des raccourcis à la Emacs.

• # Complément

  Posté par kalidor le 14 décembre 2009 à 12:24. Évalué à 1.

  

  Complément d'information:
  Le lien du ticket indique la date du 09 nov 2009 et concerne Debian.
  
  Plus récemment (08 décembre 2009) on trouve une même faille (ou de même type) sur Ubuntu 9.10. (cf:[http://seclists.org/fulldisclosure/2009/Dec/200])
  
  Cordialement,

  • [^] # Re: Complément

    Posté par Mr Kapouik (site web personnel) le 14 décembre 2009 à 13:19. Évalué à 7.

    

    En fait c'est pas un bug ou une quelconque faille mais une feature développé par Canonical pour facilité l'accès à l'ordinateur.
    
    Franchement vous ne comprenez rien ... C'est pas avec de tel raisonnement que GNU/Linux va devenir user friendly !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.