lundi 05 janvier

Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Articles précédents : Articles

[37] La commission Brun-Buisson à la recherche d'une association !
[18] Edition video sous Linux
[50] Digital Rights Management : l'Union Européenne s'y met
[45] Le responsable d'un forum est responsable
[10] Sputnik: réseau wireless public Opensource
[29] Chemla raconte son experience
[135] SSSCA, 5 lettres pour un cauchemard
[51] TEMPEST, version optique
[122] Les raisons du déclin de Netscape
[34] SourceForge 3.0

Liens connexes

News sur CNET (531 hits)
CERT (582 hits)
Package sur RedHat (487 hits)

Dépêche modérée par

hirou

Articles : Buffer overflow via zlib

Posté par Laurent Mazet (page perso, ). Modéré le 12 mars 2002.

D'après une news de CNET, il serait possible d'exploiter un buffer overflow de la bibliothèque zlib via différents programmes (Mozilla par exemple). Le problème a l'air serieux : RedHat a déjà mis à jour des packages pour pallier à ce probleme (zlib, cvs, dump, rsync, kernel)

NdM : le CERT a également émis une note sur le sujet.

News sur CNET (531 hits)
CERT (582 hits)
Package sur RedHat (487 hits)

> Lire les commentaires (40 commentaires, moyenne: 1,9).

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

CNET, garant de votre sécurité

Posté par Annah C. Hue (page perso, ) le 12/03/2002 à 14:00. (lien). Évalué à 1.

Maintenant c'est CNET qui divulgue les vulnérabilités ? Ben on est pas dans la merde connaissant leur compétences en sécurité informatique.

C'est pas très malin de repomper /. bêtement, faudrait pas que linuxfr devienne comme eux.

[^]Re: CNET, garant de votre sécurité

Posté par pwet pwet (page perso, ) le 12/03/2002 à 14:07. (lien). Évalué à 7.
Hello,

ouais enfin c'etait aussi sur zdnet et sur un autre site linux donc ...
Il n'y a pas que CNET (heureusement ;p)

Debian a deja sorti des packages.
- [^]Re: CNET, garant de votre sécurité
  
  Posté par kalahann () le 13/03/2002 à 09:43. (lien). Évalué à 0.
  Debian a deja sorti des packages
  
  Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!
  - [^]Re: CNET, garant de votre sécurité
    
    Posté par #3588 () le 13/03/2002 à 13:50. (lien). Évalué à 0.
    Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!
    
    La ligne y est, il suffit de la décommenter en meme temps que les 2 autres (serveurs principaux US et non-US). Ces 3 lignes sont consécutives, sans meme une ligne vide pour les séparer... Je parle d'une install avec la 2.2r0 (ie aout 2000)... le "y a pas si longtemps" remonte à Debian 2.1 ou bien tu parles d'une installation un peu particulière ? Quoiqu'il en soit la ligne n'est pas à "deviner", mais au pire à décommenter...

[^]Re: CNET, garant de votre sécurité

Posté par Laurent Mazet (page perso, ) le 12/03/2002 à 14:48. (lien). Évalué à 6.
Je ne suis pas top fier d'avoir pompe ca sur /. mais j'ai considere qu'un avis sur un buffer overflow devait passer sur linuxfr. Il vaut mieux une redite que d'ignorer le probleme.

Laurent
- [+] [^]Re: CNET, garant de votre sécurité
  
  Posté par Annah C. Hue (page perso, ) le 12/03/2002 à 14:50. (lien). Évalué à -5.
  Je ne critique pas la news, mais la source de la news... Par exemple tu aurais pu donner le lien principal : http://www.gzip.org/zlib/advisory-2002-03-11.txt(...) au lieu de faire de la pub pour CNET. (j'aime pas CNET)
  - [^]Re: CNET, garant de votre sécurité
    
    Posté par kalahann () le 13/03/2002 à 09:51. (lien). Évalué à 4.
    Ce n'est même pas le pb de CNET ou d'un autre, mais dans tous les cas il faut citer la source la plus directe, ça fait moins téléphone arabe. Combien de fois ils font des erreurs en traduisant ou en résumant...
- [^]Re: CNET, garant de votre sécurité
  
  Posté par oink () le 12/03/2002 à 15:34. (lien). Évalué à 27.
  Ca tombe bien car si tu lit bien l'advisory de Zlib ( http://www.gzip.org/zlib/advisory-2002-03-11.txt(...) ), tu te rendra compte que ce n'est pas du tout un buffer overflow, cette vulnerabilite est simplement un double-free (un pointeur free() deux foix), qui provoque simplement un segfault.
  Dans tous les cas il n'y a aucuns debordements de buffer, ensuite.. la seule chose que certaines personnent peuvent en tirer est un simple DoS qui pourrait par exemple faire tomber un service ou planter un navigateur (qui utiliserait la libpng, qui elle meme utilise zlib).
  Ce n'est donc pas si critique, il n'y a pas vraiment a s'alarmer :)
  - [^]Re: CNET, garant de votre sécurité
    
    Posté par oink () le 12/03/2002 à 15:52. (lien). Évalué à 7.
    apres reflexion, ca peut etre exploitable.... mais ce n'est pas un buffer overflow :)

[HS] grammaire

Posté par Olivier () le 12/03/2002 à 14:04. (lien). Évalué à 14.

Totalement hors sujet, mais juste pour dire que le verbe "pallier" est transitif. Donc on ne dit pas " ~~pour pallier à ce problème~~ " mais "pour pallier ce problème"

Hop, -1
(même si pourtant c'est une faute qui est beaucoup trop entendue)

[+] [^]Re: [HS] grammaire

Posté par Laurent Mazet (page perso, ) le 12/03/2002 à 14:52. (lien). Évalué à -3.
J'ai tourne la formule trois fois dans ma tete... mais ca n'a pas suffit. A quand un module ispell dans linuxfr :-)
- [+] [^]Re: [HS] grammaire
  
  Posté par woof () le 12/03/2002 à 19:50. (lien). Évalué à -2.
  s/linuxfr/daCode < http://www.dacode.org(...) >/;
  
  patches are welcome (meme si integrer ispell ca doit etre un peu .. lourd =)
- [+] [^]Re: [HS] grammaire
  
  Posté par kalahann () le 13/03/2002 à 10:06. (lien). Évalué à -3.
  Ispell gère la grammaire? je croyais qu'il ne gérait que l'orthographe...

[^]Re: [HS] grammaire

Posté par quad () le 12/03/2002 à 16:11. (lien). Évalué à 9.
C'est effectivement une faute fréquente.
Dans le même esprit, je tenais à signaler que le
verbe pallier a le sens de :

"trouver une solution TEMPORAIRE à un problème".

Quand on veut parler d'une solution définitive, il
me serait agréable de voir le verbe obvier, qui,
comme par hasard, est intransitif : obvier à un problème.

Fabrice.
- [^]Re: [HS] grammaire
  
  Posté par Olivier () le 12/03/2002 à 19:43. (lien). Évalué à 2.
  En fait "obvier" est aussi transitif. Mais ce dernier est indirect => le COD est introduit par une préposition. "pallier" est transitif direct => le COD n'est pas précédé d'une préposition.
  
  Un verbe intransitif ne prend jamais de COD (par ex, partir est intransitif).
  
  Hop, -1, c'est pas Da French Grammaire Page ici ;)
- [^]Re: [HS] grammaire
  
  Posté par Olivier Jeannet () le 14/03/2002 à 10:16. (lien). Évalué à 1.
  Merci à guinness pour la correction intiale, je m'apprêtais à la faire.
  
  Pour être tout à fait précis, le verbe pallier vient d'un mot latin qui signifie "manteau"; pallier veut dire en quelque sorte "recouvrir le problème", "masquer le problème", il s'agit en effet de contournement et non pas de résolution.
  Les "soins palliatifs" sont bien ce qu'ils veulent dire, ils ne soignent pas vraiment mais permettent de soulager les gens qui souffrent, souvent des cancéreux condamnés.

Debian aussi

Posté par Gaël Le Mignot (page perso, ) le 12/03/2002 à 14:06. (lien). Évalué à 8.

La Debian possède aussi des paquets fixés, dans la Sid en tout cas:
zlib (1:1.1.3-19.1) unstable; urgency=high * Non-maintainer upload * Apply patch for double-free bug -- Matt Zimmerman <mdz@debian.org> Sun, 10 Mar 2002 23:52:20 -0500

[^]Re: Debian aussi

Posté par Benjamin Michotte (page perso, ) le 13/03/2002 à 07:59. (lien). Évalué à 1.
Slack aussi... cfr les ftp (idem pour le bug de securité de rsync)

Par la meme occasion, mettez a jour le pkg cvs.tgz qui etait linké statiquement avec zlib

[+] Patchs

Posté par Philippe SOHM (page perso, ) le 12/03/2002 à 14:11. (lien). Évalué à -4.

Est-ce moi où le rythme de découverte de bugs sérieux depuis 10 jours devient infernal ?
Après PHP, SSH, ZLIB est là pour montrer que le salaire de l'administrateur réseau est justifié :)

Arf, soit, commencons la mise à jour :'

[^]Re: Patchs

Posté par matiasf () le 12/03/2002 à 14:32. (lien). Évalué à 1.
Installes Windows. T'aura beaucoup moins de travail puisque les correctifs n'existent pas.
- [^]Re: Patchs
  
  Posté par Philippe SOHM (page perso, ) le 12/03/2002 à 15:10. (lien). Évalué à 1.
  Bonne réponse :))))
  Mais en passant, c'est normal pour une console de jeux
- [+] [^]Re: Patchs
  
  Posté par ronounours () le 12/03/2002 à 15:26. (lien). Évalué à -19.
  N'empeche qu'on s'apercoit semaine apres
  semaine que Linux c'est pas si securise que ca.
  Vive les programmes libres et leurs programmeurs
  ''talentueux''.
  
  ** Ronounours **
  - [+] [^]Re: Patchs
    
    Posté par lorill (page perso, ) le 12/03/2002 à 15:41. (lien). Évalué à -1.
    et comme tu t'en rends compte, les correctifs sont déja la.
    - [+] [^]Re: Patchs
      
      Posté par Philippe SOHM (page perso, ) le 12/03/2002 à 16:06. (lien). Évalué à -1.
      Evidemment puisque la correction est venue en même temps que la découverte du bug :))
      (Bon c'est souvent le cas vu que c'est de l'open source)
      
      Bref vive l'open source
      - [^]Re: Patchs
        
        Posté par pasBill pasGates () le 12/03/2002 à 19:19. (lien). Évalué à 0.
        La correction est venue en meme temps que L'ANNONCE du bug.
        
        Le bug je peux t'assurer qu'ils le connaissaient depuis plusieurs jours voire plusieurs semaines avant la release.
        
        Quand tu changes du code dans une librairie, meme si le changement est mineure, tu fais une passe de test sur les softs utilisant la lib, et zlib ca concerne un sacre nombre de softs, les distrib ont pas fait ca en 5 minutes.
        
        [+] [^]Re: Patchs
        
        Posté par Philippe SOHM (page perso, ) le 13/03/2002 à 08:34. (lien). Évalué à -1.
        Arf tu as probablement raison, mais une personne bien informée pourrait prendre le CVS
  - [^]Re: Patchs
    
    Posté par G. R. (page perso, ) le 12/03/2002 à 15:45. (lien). Évalué à 9.
    Ta remarque tombe à coté.
    En effet, PHP, SSH et zlib sont tous trois non dépendant de Linux. On les trouve sur d'autres plateformes, comme Windows par exemple.
    
    Même si effectivement, Linux n'est pas exempt de bugs et de trous de sécurité (comme tout système informatique, sauf peut être quelques vieux mainframes), il reste quand même que l'ouverture du code permet entre autre une grande rapidité dans le nettoyage et la correction de ces manquements.
    - [+] [^]Re: Patchs
      
      Posté par Philippe SOHM (page perso, ) le 12/03/2002 à 16:02. (lien). Évalué à -8.
      Arf
      j'estime que non
      Je vais expliquer pourquoi, ils sont totalement dépendants des systèmes unix en général bien qu'il y aie eu des portages. Si un hébergeur prends la décision de prendre NT comme OS, ce sera l'asp et sql server qui seront mis en avant pour ne faire le comparatif qu'avec PHP.
      
      (En passant, je n'ai jamais mentionné que j'utilisais linux, perso j'utilise FreeBSD)
      - [^]Re: Patchs
        
        Posté par #3588 () le 12/03/2002 à 16:49. (lien). Évalué à 3.
        Je vais expliquer pourquoi, ils sont totalement dépendants des systèmes unix en général bien qu'il y aie eu des portages. Si un hébergeur prends la décision de prendre NT comme OS, ce sera l'asp et sql server qui seront mis en avant pour ne faire le comparatif qu'avec PHP.
        
        Où est l'explication ? Je ne vois qu'un "exemple", avec une relation disons "d'affinité", pas de dépendance. Concernant le développement, là, aucun lien.
  - [^]Re: Patchs
    
    Posté par pas_moi () le 13/03/2002 à 10:38. (lien). Évalué à 2.
    /sbin/trolld: segfault
  - [^]Re: Patchs
    
    Posté par nemrod () le 13/03/2002 à 22:18. (lien). Évalué à 1.
    Juste une petite remarque en passant.
    
    Il y a beaucoup de programmess qui utilisent la zlib. Pas que sous linux ou *unix d'ailleurs !
    
    Pour les curieux :
    http://www.gzip.org/zlib/apps.html(...)
    
    et les plus curieux rechercherons la chaine de caractére Microsoft (non je ne fais pas de fixation sur eux ;-)
    
    Personne n'aurait les sources pour une ptiote recompilation (-;
- [+] [^]Re: Patchs
  
  Posté par pasBill pasGates () le 12/03/2002 à 19:22. (lien). Évalué à -8.
  Comme c'est mignon ca.
  
  J'aimerais tellement que ce soit vrai, ca voudrait dire que je suis paye a rien foutre.
  
  Enfin bon, vaut mieux inventer des defauts chez l'adversaire plutot que regarder la verite en face hein...

Toutes les distributions

Posté par FRLinux (page perso, ) le 12/03/2002 à 14:33. (lien). Évalué à 4.

publient depuis hier des patches et RPMs pour corriger le probleme, mes petits serveurs sont mis a jour depuis ce matin.

Pour une bonne lecture sur les failles, je conseille http://www.linuxtoday.com(...) qui delivre du pur pengouin en zinc tous les matins :)

Steph

Mozilla 0.9.9 patché

Posté par Olivier Cahagne () le 12/03/2002 à 14:40. (lien). Évalué à 5.

vu la proximité des 2 news... :) Mozilla 0.9.9 est a priori intact à cette vulnérabilité car patché (voir les release notes). Les nightlies doivent également être ok à partir de la 2002030303...
Pour les soucieux, l'info se trouve dans le bug 126898 (accès restreint) et dans mozilla/modules/zlib/src/infblock.c

Patch zlib

Posté par Buto () le 12/03/2002 à 14:46. (lien). Évalué à 8.

Il est conseillé de passer à la version 1.1.4 de zlib, qui elle est patchée: http://www.gzip.org/zlib/(...)

from slack world

Posté par Sebastien (page perso, ) le 12/03/2002 à 15:40. (lien). Évalué à 11.

Extrait du change log de la slack 8 :
Mon Mar 11 13:32:40 PST 2002
patches/packages/zlib.tgz: Upgraded to zlib-1.1.4. This fixes a security
problem which may introduce vulnerabilities into any program that links with
zlib. Quoting the advisory on zlib.org:

"Depending upon how and where the zlib routines are called from the given
program, the resulting vulnerability may have one or more of the following
impacts: denial of service, information leakage, or execution of arbitrary
code."

Sites are urged to upgrade the zlib package immediately.

The complete advisory may be found here:
http://www.zlib.org/advisory-2002-03-11.txt(...)

Le package de la zlib à jour est ici :
ftp://ftp.lip6.fr/pub/linux/distributions/slackware/patches/packag(...)

OpenBSD : pas de soucis!

Posté par j () le 12/03/2002 à 18:56. (lien). Évalué à 13.

OpenBSD n'est pas vulnerable pour deux raisons :
- son implementation assez particuliere de malloc/free
- le bogue a de plus ete corrige debut Janvier par Todd (dans la -current) . Mais il pensait juste avoir corrige un bogue, pas un trou de secu :)

[+] Hors sujet : news sur linuxfr

Posté par Code34 (page perso, ) le 12/03/2002 à 23:16. (lien). Évalué à -6.

2 considérations sur les news sur linuxfr:

Je suis assez mécontent du système de news sur linuxfr. Cela fait déjà deux fois que je propose des news, la première concernant le développement d'un logiciel opengl qui sera intégré dans la Mandrake (je crois que c est bien d encourager les nouveaux projets), et la deuxieme sur le procès Sun-Microsoft qui est l'une des plus grosses news de la journée...

Je ne comprends pas l'éxigence des modérateurs, quand dans une journée qui a étée remplie d'évenements on voit seulement deux news de postées (dont l une sur la zlib et l'autre sur mozilla)... On a mme pas signalé que geko sera intégré dans aol 8.0 ... Comme quoi, j imagine que le système a du etre saturé au point de ne pas pouvoir consulter le reste des posts.

Modéré c est bien, mais bien modéré c'est mieux. Quand a moi, ça ne me donne pas envie de m'investir plus dans l'émission de news...

@+
Code34

[+] [^]Mea culpa

Posté par Code34 (page perso, ) le 13/03/2002 à 00:15. (lien). Évalué à -6.
Je n'ai reçu que ce soir sur mon email caramail (qui a foiré tt la journée) un mail qui a été émis quelques minutes après mon post:

12/03/2002 08:59:17

Bonjour,

La nouvelle que tu as proposé a précédemment déjà été approuvée par un
modérateur, elle a donc été refusée.

Cordialement,

Les modérateurs LinuxFr

Excusez moi, il y a donc des modérateurs sur linuxfr qui modèrent bien ;) Par contre, je n'ai pas vu cette fameuse news concernant le procès Sun-Microsoft, j'ai donc du passer à coté ...

@+
Code34
- [+] [^]Re: Mea culpa
  
  Posté par miod () le 13/03/2002 à 00:29. (lien). Évalué à -1.
  Elle est dans la section "autres".

Revenir en haut de page

Articles précédents : Articles

Liens connexes

Dépêche modérée par

Articles : Buffer overflow via zlib

CNET, garant de votre sécurité

[^]Re: CNET, garant de votre sécurité

[^]Re: CNET, garant de votre sécurité

[^]Re: CNET, garant de votre sécurité

[^]Re: CNET, garant de votre sécurité

[+] [^]Re: CNET, garant de votre sécurité

[^]Re: CNET, garant de votre sécurité

[^]Re: CNET, garant de votre sécurité

[^]Re: CNET, garant de votre sécurité

[HS] grammaire

[+] [^]Re: [HS] grammaire

[+] [^]Re: [HS] grammaire

[+] [^]Re: [HS] grammaire

[^]Re: [HS] grammaire

[^]Re: [HS] grammaire

[^]Re: [HS] grammaire

Debian aussi

[^]Re: Debian aussi

[+] Patchs

[^]Re: Patchs

[^]Re: Patchs

[+] [^]Re: Patchs

[+] [^]Re: Patchs

[+] [^]Re: Patchs

[^]Re: Patchs

[+] [^]Re: Patchs

[^]Re: Patchs

[+] [^]Re: Patchs

[^]Re: Patchs

[^]Re: Patchs

[^]Re: Patchs

[+] [^]Re: Patchs

Toutes les distributions

Mozilla 0.9.9 patché

Patch zlib

from slack world

OpenBSD : pas de soucis!

[+] Hors sujet : news sur linuxfr

[+] [^]Mea culpa

[+] [^]Re: Mea culpa