La faille du noyau Linux qui a permit de compromettre les serveurs Debian vient d'etre identifiee.
 
Il y a en effet une erreur arithmetique dans l'appel systeme brk() qui permet a n'importe quel utilisateur d'avoir accès à toute la mémoire du noyau et de prendre le controle du système.
 
Upgradez au plus vite en version 2.4.23.
 
Pour ceux qui sont en 2.6, le bogue a été corrigé depuis la 2.6.0-test6.

il corrige des bugs dans le 2.6 et ils sont pas backporté dans le 2.4 ??
parce que le test6 ça fait un petit moment qu'il est sorti quand même non ?
ce que je comprends pas c'est qu'ils aient eu tant de mal à identifier une faille connue

Liens    
 
http://lists.debian.org/debian-sec [...] 00212.html
 
http://developers.slashdot.org/dev [...] 185&tid=90

 
[mode _je_cours_vite_]
atends faut pas se plaindre, y a une certaines sociétés d'info dont je ne donnerai pas les noms qui trainent des bugs connus sur des mois, voire des années
[/mode _je_suis_déjà_loin_]

merde

Il arrive de corriger un bogue sans pour autant réaliser immédiatement qu'il s'agissait d'une faille de sécurité.

hum , moi qui voulait rester avec mon 2.4.22 <_<

et comment qu'on fait quand le driver du sagem fast 800 compile pas avec le 2.4.23 ?

on cherche les erreurs et on modifie from scratch

tain c la periode en ce moment

Yep, c'est une sale période pour le logiciel libre... Entre les OS qui forkent, les vendeurs qui ne supportent plus les versions libres, ceux qui se font racheter, ceux qui font la manche, les tentatives d'insertions de backdoor dans le noyau, SCO qui attaque tout le monde, etc. il y a de quoi décourager quelqu'un qui n'est pas encore familier avec le logiciel libre.

de koi ki forke ??

 
Gentoo => J'ai oublié le nom du fork
FreeBSD => Dragonfly
OpenBSD => MirBSD, EkkoBSD, ISOS
XFree => Freedesktop
 

Mince, mais merci pour l'info.

ah oui oki

 
Personnellement, j'espère qu'ils trouveront rapidement un maximum de failles des sécurité de ce genre dans les mois à venir. Car c'est ainsi que l'on pourra progressivement atteindre un système fiable et bien sécurisé. Il vaut mieux trouver ces failles maintenant que dans quelques années, lorsque le nombre d'utilisateurs Linux sera bien plus élevé. Les conséquences de telles failles pourraient alors être plus graves (avec des utilisateurs moins au fait des processus de mise à jour...)
En tout cas, je trouve que la communauté a rapidement réagit sur ce coup, vous ne pensez pas?
Sinon, sous Debian, il n'est pas nécessaire de passer au 2.4.23. Dans la version stable, il faut passer au 2.4.18-12

j'ai pas suivi: c'est une faille locale ? faut quoi pour l'exploiter ? faut que je patche le 2.4.21pre7 de ma passerelle ?

pour l exploiter il te suffit d etre user

arf....  
(ça attendra le déménagement , en attendant je fais confiance à pure-ftpd et à apache )

Les correctifs st dispos pour Mandrake 9.1 (2.4.21-0.26mdk), et Gentoo (Emerge/Portage roulez). (Les autres je ne connais pas )

faille locale uniquement ?
 
 
faites péter l'exploit !

Faille locale puisque les attaquants avaient besoin d'un login/pass pour claquer les serveurs deb. Maintenant, je me demande pourquoi cette faille n'a pas bénéficié d'un peu plus de mediatisation, même si a priori aucun exploit n'était dispo lorsqu'elle a été découverte. ptrace avait son patch pour les derniers 2.4 qui n'obligait pas à upgrader ...

J'ai l'impression de passer mon temps à updater mon kernel

nouvelle -> ancienne. avant le rapporter une news, il faut la lire en entier

On se croirait vraiment sur slashdot là

Salut.
 
 
j ai un serveur RedHat 9 avec kernel  2.4.20. il est buggé aussi ?  
est ce kil fo appliker un patche kkonke ?

 
Tous les noyaux compilés avant la sortie du 2.4.22 sont buggés. Le 2.4.22 de base l'est aussi.
 
Si personne d'autre que toi n'a d'accès local sur ta machine tu peux attendre avant de te mettre à jour. Il suffit de faire confiance à Apache, pureftpd etc...

ba c est une machine qui sera placé sur Internet avec des acces SSH et SFTP.  
 
Y a des risques ?

 
C'est une faille locale donc tant que tu es le seul à avoir un accès local et tant que les programmes qui tournent dessus sont surs il n'y a pas de problèmes.
 
Mais ça fait beaucoup d'inconue quand même donc moi je patcherais.

Celui de Gentoo, on n'en entend pas trop parler ?
 
Freedestop n'est pas un fork de XFree mais un espace d'expérimentation pour de futur extensions. Enfin, c'est ce que j'ai compris. D'ailleurs, ce n'est qu'un projet de Freedesktop.
 
 
Les autres, je n'en sais rien... C'est la première fois que je vois leurs noms...

> Freedestop n'est pas un fork de XFree
 
  Non ce sont juste deux principaux développeurs de XFree qui se barrent pour divergences d'idées avec les autres... si ça c'est pas du fork...

bon c naze y'a pas d'exploit

bah fais le

cet upgrade fut rude <_<

en tout cas le vanilla kernel 2.4.23 et grsec 1.9.13 compile bien (reste à  activer le bordel et compiler gradm pour 1.9.13 ou attendre le package debian)

oue mais moi je suis ni*é car les drivers bewan pci st ne compilent pas avec le 2.4.23 (des .h du kernels ont ete modifies )