Nouveau trou de securite dans Apache (mod_ssl)

Nouveau trou de securite dans Apache (mod_ssl) - Codes et scripts - Linux et OS Alternatifs

Marsh Posté le 23-06-2002 à 10:11:34    

Si vous utilisez Apache avec mod_ssl (en fait si mod_ssl est installe, il n'y a meme pas besoin d'avoir de site l'utilisant), vous etes vulnerables a une jolie petite faille permettant de killer Apache, d'avoir un shell, etc.
 
Voici un petit patch pour corriger la faille.
 
http://42-networks.com/ssl_parse_overflow.patch

Reply

Marsh Posté le 23-06-2002 à 10:11:34   

Reply

Marsh Posté le 23-06-2002 à 11:06:45    

Tu as plus d'informations ? Parceque juste avec le patch, on n'a pas grande idées du problème (ça sens le débordement de buffer à priori).


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 23-06-2002 à 11:11:45    

Si un utilisateur a la possibilite de placer des fichiers .htaccess, il peut tres facilement stopper completement Apache (par ex en envoyant un signal stop au pid parent), lire les certificats des autres, executer des commandes sous l'identite du serveur web meme si suexec a ete configure, etc.
 
J'ai envoye mon petit patch a l'equipe de mod_ssl et a security@apache.org donc ca devrait bientot etre corrige.

Reply

Marsh Posté le 23-06-2002 à 11:18:10    

Oui c'est un debordement de buffer assez classique.
Les modules d'Apache utilisant l'API "etendue" (EAPI) peuvent lire les fichiers de conf (globaux et dans les .htaccess), via un hook qui est appelle pour chaque module (handler_redirect).
Si tu regardes la fonction ssl_compat_directive() . Ca permet d'ajouter des directives comme pour lires les certificats dans le cas de mod_ssl .
 
Le hook appelle pour mod_ssl c'est la fonction ssl_compat_directive() . La faille est evidente :
 
 
char *cp;
char caCmd[1024];
...
cp = (char *)oline;
    while ((*cp == ' ' || *cp == '\t' || *cp == '\n';) && (*cp != NUL))
        cp++;
 
oline est un buffer qui n'a pas de taille max.
tant que l'on ne rencontre pas de \0, le pointeur est incremente, il sort donc facilement du buffer caCmd.

Reply

Marsh Posté le 23-06-2002 à 11:23:59    

La suite a aussi l'air d'avoir ete programmee avec les pieds. Par exemple on a ici un tres bel off-by-one :
 
for (i = 0; *cp != ' ' && *cp != '\t' && *cp != NUL && i < 1024; )
        caCmd[i++] = *cp++;

Reply

Marsh Posté le 23-06-2002 à 11:43:38    

juste une question n ayant aucun raport avec le tomic :  
as tu apris par toi meme le c  ou alors quel ecole as tu suivit ?

Reply

Marsh Posté le 23-06-2002 à 11:45:35    

Non par moi-meme. On n'apprend rien dans les ecoles d'info (mais c'est necessaire quand meme pour avoir un bout de papier et se taper de bons delires avec des potes) .

Reply

Marsh Posté le 23-06-2002 à 11:47:17    

c bien ce que je me disais :)  
tout le monde fait pareile  
quel bande d abruti c patron avec leur foutu diplome qui veule rien dire ;)  
tu vas me dire j y connais rien en c ;) mais je compte bien aprendre :D

Reply

Marsh Posté le 23-06-2002 à 11:51:02    

Merde encore une faille dans Apache ... ça veut dire une nouvelle ISO pour la Mandrake en 8.1.02 :lol:


---------------
"You know the name, You know the number..."
Reply

Marsh Posté le 23-06-2002 à 11:54:42    

GUG a écrit a écrit :

c bien ce que je me disais :)  
tout le monde fait pareile  
quel bande d abruti c patron avec leur foutu diplome qui veule rien dire ;)  
tu vas me dire j y connais rien en c ;) mais je compte bien aprendre :D  




 
 
@ ki le dis tu ! Le merite des autodidacte n'est tjrs pas reconnu dans les professions informatiques...Enfin si au contraire ils en abuses en nous souspayant limite exploitant :lol:


---------------
[:kuroineko] Francois.P tel: (+33)617230820 http://www.ifrance.com/fpussault  fpussault@caramail.com
Reply

Marsh Posté le 23-06-2002 à 11:54:42   

Reply

Marsh Posté le 23-06-2002 à 12:06:16    

En dehors du diplome (un truc que l'on a generalement jamais besoin de presenter pour bosser dans l'info), ca reste tout de meme interessant de suivre une formation en info, pour avoir des contacts.
 
Des l'instant ou tu es avec plein de mecs qui font la meme chose que toi, tu apprends plein de trucs avec eux, et par la suite c'est toujours plus facile de trouver un boulot lorsque l'on a des potes un peu partout.
 
Mais les cours eux-memes... bof... c'est souvent tres theorique ou completement depasse. Surtout en ce qui concerne la programmation, beaucoup de profs paraphrasent de vieux bouquins de C, mais seraient incapables de coder le moindre demineur.
 
C'est valable pour tous les domaines. Dans le son, on peut aussi facilement etre autodidacte, mais apres pour trouver du boulot dans le milieu, quand on ne connait personne, c'est assez chaud. Une ecole, ca aide beaucoup...

Reply

Marsh Posté le 23-06-2002 à 12:16:11    

axey a écrit a écrit :

En dehors du diplome (un truc que l'on a generalement jamais besoin de presenter pour bosser dans l'info), ca reste tout de meme interessant de suivre une formation en info, pour avoir des contacts.
 
Des l'instant ou tu es avec plein de mecs qui font la meme chose que toi, tu apprends plein de trucs avec eux, et par la suite c'est toujours plus facile de trouver un boulot lorsque l'on a des potes un peu partout.
 
Mais les cours eux-memes... bof... c'est souvent tres theorique ou completement depasse. Surtout en ce qui concerne la programmation, beaucoup de profs paraphrasent de vieux bouquins de C, mais seraient incapables de coder le moindre demineur.
 
C'est valable pour tous les domaines. Dans le son, on peut aussi facilement etre autodidacte, mais apres pour trouver du boulot dans le milieu, quand on ne connait personne, c'est assez chaud. Une ecole, ca aide beaucoup...  




 
de toutes facon il est tres interressant ne serrait ce qu'a titre personnel de suivre les formation y compris les formations hors de ton domaine de predilection.
 
un developpeur serra d'autant plus efficace si il connait le systeme sur le bout des ongles.
 
Un admin DB serra efficace de la meme maniere
 
un admin system, avec des connaissances en developpement et en DB.
 
et ainsi de suite...  
 
 
En bref l'ideal c'est

  • Formation initial  
  • diplome
  • entrer dans la boite que tu as choisi
  • se faire payer une ou deux formations complementaires par an
  • passer les certifs HPUX SUNOS etc...  

micro$oft meme  :lol:  
 
enfin c mom avis


---------------
[:kuroineko] Francois.P tel: (+33)617230820 http://www.ifrance.com/fpussault  fpussault@caramail.com
Reply

Marsh Posté le 23-06-2002 à 12:55:40    

ouais enfin microsoft faut pas abuser quand meme.... :lol:

Reply

Marsh Posté le 23-06-2002 à 12:59:42    

apolon34 a écrit a écrit :

ouais enfin microsoft faut pas abuser quand meme.... :lol:  




 
 
ça peut servir kan tes supérieurs sont des boulets :D

Reply

Marsh Posté le 23-06-2002 à 13:31:23    

deadog, de nombreuses entreprises ont opte pour des solution tout Microsoft, c a prendre en compte non ?
 
 Les Formations Microsoft sont interessantes dans la mesure ou t'es sur de trouver du boulot.
 
Negliger les produits MS c'est un peu se marginaliser, non ?
 
 Quand Microsoft perdra son monopole on pourra considerer ces formations comme obsoletes

Reply

Marsh Posté le 23-06-2002 à 13:47:41    

deadog a écrit a écrit :

 
 
 
ça peut servir kan tes supérieurs sont des boulets :D  




 
 :lol:  :lol:  :lol:


---------------
[:kuroineko] Francois.P tel: (+33)617230820 http://www.ifrance.com/fpussault  fpussault@caramail.com
Reply

Marsh Posté le 23-06-2002 à 13:49:34    

Si tu veux devenir technicien, alors oui tu pourrais te passer de formation en école ... mais si tu veux devenir un peu plus, ingénieur ou autre, il te faut une formation plurielle avec de l'éco, de la comm, ...
 
Si tu veux coder des programmes "traditionnels" alors oui, tu peux rester autodidacte. Mais si tu veux bosser par exemple avec des scientifiques, des économistes, ... il te faut connaître un peu chacun de ces domaines, être flexible, et là maths et physique peuvent être utiles dans ce sens que ces matières permettre de travailler des raisonnements, mettre en forme des données, les manipuler et résoudre des problèmes.
 
Pour être technicien ok, les formations (et en particulier la formation M$ ;)) ne sont peut-être pas très utiles, mais pour bosser dans la recherche/développement, mieux vaut être un peu plus callé dans les matière "annexes" ...


---------------
"You know the name, You know the number..."
Reply

Marsh Posté le 23-06-2002 à 13:50:08    

samuelp a écrit a écrit :

deadog, de nombreuses entreprises ont opte pour des solution tout Microsoft, c a prendre en compte non ?
 
 Les Formations Microsoft sont interessantes dans la mesure ou t'es sur de trouver du boulot.
 
Negliger les produits MS c'est un peu se marginaliser, non ?
 
 Quand Microsoft perdra son monopole on pourra considerer ces formations comme obsoletes  




 
c'est souvent des entreprise full microsoft station mais 0 serveurs, ceci dit il faut quand meme bien sur garder un niveau suffisant pour se demerde sous krosoft mais pas trop pour ne surtout pas encourrager ton ITservice @ continuer sur microsoft. sauf si tu n'es pas trop anti-kro.
 
pour moi unix c avant tout une GROSS peference.


---------------
[:kuroineko] Francois.P tel: (+33)617230820 http://www.ifrance.com/fpussault  fpussault@caramail.com
Reply

Marsh Posté le 23-06-2002 à 14:17:16    

Ma mère bosse dans une petite PME, qui a un contrat d'entretien avec une boîte spécialisée. Il y a six mois on lui a mis une nouvelle machine, avec un graveur et tout et tout, sous Windows Me. Sans aucune formation pour le graveur bien sûr, parce que tout le monde sait à quoi ça sert m'enfin là n'est pas le pb.
 
Bien, un mois plus tard ça merdum un peu de partout, ça rame un peu partout, les impressions sont bien lentes, Publisher merde aussi ... faut dire qu'avec des fichiers de 40Mo sous Publisher, on sait d'où vient le pb : les 64Mo de Ram sont bien insuffisants. Ces messieurs ont trouvé la solution : je te passe à 128Mo (ça doit faire 300 balles ...) et bien sûr on passe sous Windows 2000 pour "régler les problèmes d'imprimante". Résultat, sous 2K ça rame encore plus, avec l'imprimante ça s'arrange pas et Publisher merde encore mieux :pt1cable:. L'install s'est faite comme je ne sais quoi, les utilisateurs sont en mode administrateur, les programmes sont installés à la va-vite, rien n'est arrangé mais ils ont dû gagner pas mal de blé. En attendant, les autres PCs de la boîte sont tous sous 98 sans aucun réseau (le graveur à 1600 balles devrait régler ces problèmes, parce qu'un réseau à 1000 balles ça aurait servi à rien ...), avec les antivirus partout qu'ils doivent mettre à jour à la main, en gravant chaque semaine les mises à jour Norton sur un CD multisession et en faisant le tour des postes (bien sûr, c'est une employée qui n'y connaît rien qui le fait ...). La machine 2K est la seule reliée à Internet par RTC, Outlook 5 merde comme c'est pas permis (bah oui, on peut pas non plus mettre IE6 ...). Pas de firewall, rien du tout. Cette machine contient tous les fichiers sensibles de la boîte, excel, word et Publisher. Ah oui, en plus du graveur ils ont installé un Zip 250, ça sert vachement avec un graveur à côté ...
 
D'ailleurs sous cette machine un peu à tout faire, il y a un tas de programmes qui servent à rien ... par exemple Acrobat, ils ne savent pas du tout comment s'en servir, mais c'est installé et c'est surtout payé. Un Office SR1 Platinum alors qu'ils n'ont besoin que de Word et Excel, ...
 
Et ces messieurs sont certifiés Microsoft ...
 
La semaine prochaine ils installent le réseau. J'ose même pas imaginer ce que ça va donner.
 
 
 
Personellement, sans certification ni rien, j'aurais mis un serveur Linux qui ferait passerelle/routeur et éventuellement serveur web. Toutes les machines en réseau avec Samba sur la passerelle qui contiendrait des scripts de firewall bien stricts. Des clients sous 98se ou Win2K suivant la puissance des machines et le budget, avec des programmes qui leur servent vraiment et une formation globale sur les quelques programmes importants. Et surtout bien blinder les machines, ne laisser les fichiers de travail que sur le serveur Samba, et faire de vrais comptes utilisateurs, en dépouillant le bureau et le menu de démarrage.


Message édité par - Fred - le 23-06-2002 à 14:19:11

---------------
"You know the name, You know the number..."
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed