| ||||||||
Astucien ![]() | Une faille critique a été découverte dans le noyau Linux. Fonctionnant sur tous les noyaux entre les versions 2.6.17 et 2.6.24.2, elle permet en théorie à n’importe quel compte utilisateur d’obtenir les privilèges root, et donc d’affecter le système dans son ensemble.
(PCI) | |||||||
Publicité | ||||||||
| ||||||||
![]() ![]() | Ça aurait été bon que tu cites tes sources. Pour plusieurs utilisateurs Linux, c'est la même personne qui est derrière les quelques comptes utilisateurs et le compte root. Il s'agit ici de ne pas exploiter la faille sur soi-même. Par contre, pour sur les systèmes Linux avec plusieurs utilisateurs distincts, cela a des conséquences sérieuses. D'autant plus que si un compte utilisateur est contrôlé par un pirate informatique, cette faille ouvre grande la porte au contrôle du compte root et de tout le système. Modifié par Logicien le 13/02/2008 16:58 | |||||||
Astucien ![]() | Si tu lis bien, en dernière ligne, la source est indiquée !
P.S : Tu ne connais pas le mot Bonjour ? Modifié par Fgh le 13/02/2008 17:08 | |||||||
![]() ![]() | Quand même, si tu veux qu'on dise bonjour, tu pourrais le faire toi-même quand tu lances un sujet. PCI ça ne réfère à rien de concret. | |||||||
Astucien ![]() | Quand même, si tu veux qu'on dise bonjour, tu pourrais le faire toi-même quand tu lances un sujet. Et cela au début de mon post, c'est quoi ? D'autre part, si tu ne sais pas que PCI sont les initiales de PC Inpact, cela devient grave ! | |||||||
![]() ![]() | Bonjour Fgh, toutes mes excuses, j'avais seulement vu l'icône, je ne l'avais pas lu. PCI, je retiens l'acronyme dorénavant. Je vois justement sur www.pcinpact.com , Une faille critique dans le noyau Linux 2.6 (MAJ) . C'est très bien merci. | |||||||
Astucien ![]() | Il n'y a pas de mal, Logicien ! Bonne soirée ! | |||||||
Petite astucienne ![]() |
Dîtes-donc, on a frôlé l'incident diplomatique là !!! Ne vous fâchez pas !!!!
Fgh, je vois souvent tes messages, et sincèrement, «PCI» j'ignorais que ça venait de «PC Inpact» !!! Je viens d'apprendre quelque chose pour le coup !!!
Pour en revenir au sujet, j'ai eu une mise à jour du noyau hier, ceci explique-t-il cela ?! Je veux dire, est-ce suite à cet article (ou du moins à cette faille-là) qu'Ubuntu a fait une mise à jour de sécurité ? Car elle s'est faite avant que tu ne postes ton message, aussi je me demande s'il y en a une autre ou si c'est la même ... Amicalement à vous deux !
| |||||||
![]() ![]() | Bonjour La_Licorne, une petite recherche sur Internet m'a conduit à ce site: Linux 2.6.24.2 | KernelTrap On dit à propos de la dernière version stable 2.6.24.2 du noyau Linux: ... It fixes one thing, CVE-2008-0600. ... Cette version mineure, .2, du noyau 2.6.24 corrige la faille de sécurité que nous a rapporté notre ami Fgh. C'est tout ce quelle fait. Si, en exécutant la commande uname -r ton noyau Linux sous Ubuntu est à la version 2.6.24.2, alors, c'est que ta dernière mise-à-jour a corrigé la faille de sécurité. Sinon, à moins que l'équipe de Ubuntu aie patché une version précédente du noyau Linux pour corriger la faille, tu es vulnérables. Le sens de 'untrusted local users', veut dire que si tu es la seule à utiliser Ubuntu, aucun utilisateur non root autre que toi ne peut tenter d'usurper les droits root. Toutefois, si un pirate informatique prend le contrôle d'un de tes comptes non root, il pourrait exploiter la faille pour acquérir les droits root. Cela est théoriquement possible si Ubuntu n'est pas bien protégé, fare-feu, anti-virus, etc. Cette faille semble surtout exploitable à partir de comptes locaux non root sur un système Linux, par des utilisateurs mal intentionnés. Je pense que les distributions Linux vont bouger rapidement vers la version 2.6.24.2 du noyau. Modifié par Logicien le 14/02/2008 19:08 | |||||||
Petite astucienne ![]() | Merci Paul pour ton explication !
J'ai tapé la commande : uname -r dans mon terminal. Voici sa réponse : 2.6.22-14-generic !!! Aïe !!! Que faut-il que je fasse ??? Pourquoi je ne suis pas en 2.6.24 !!! Cela dit, je suis seule sur mon PC. 1 seul root, et 1 seul user : MOI !!! M'enfin, pour le coup, je panique un peu là !!! Help !!! C'est grave Docteur Logicien ???
| |||||||
![]() ![]() | Je suis à compiler la version 2.6.24.2 du noyau afin de mettre fin à cette faille critique sur ma machine. Je n'attend pas que ma distribution utilise la plus récente version du noyau Linux. Je prend les devant et compile moi-même le noyau 2.6.24.2. Je personnalise mes noyaux depuis longtemps et n'utilise les noyaux qu'offrent les distributions que si tout ce dont j'ai de besoin y est. Dans ton cas, si tu veux passer à la version 2.6.24, idéalement 2.6.24.2 du noyau, il faudrait que tu fasses d'abord une mise-à-jour de la liste des paquets disponibles sur les serveurs de Ubuntu. Après ça, il faudrait regarder dans la liste des paquets disponibles si tu pourrais installer la version 2.6.24 du noyau Linux. Le logiciel Synaptic te permet de faire un update de la liste des paquets et faire une recherche pour trouver noyau 2.6.24.2. Si tu trouves, tu peux aussi l'installer. Si ça t'intéresses je te donne la méthode avec les commandes apt-get et apt-cache. Il faut ouvrir une session super-utilisateur root avec la commande 'su -' et donner le mot-de-passe root. Sinon, il faut préfixer toutes les commandes par sudo depuis une session non root: su - apt-get update apt-cache search 2.6.24 Le search recherche la chaîne 2.6.24 dans les noms des paquets disponibles ainsi que dans leurs descriptions. Cela signifie que des noms de paquets n'ayant pas la chaîne 2.6.24 peuvent s'afficher en sortie parce-que la chaîne 2.6.24 apparaît dans leur description. Si tu utilises la commande apt-cache search 2.6.24 -n alors seuls les paquets ayant 2.6.24 dans leurs noms s'afficheront, la recherche ne se fera pas dans leurs descriptions. À partir de là, si un paquet contient dans son nom kernel ou linux, il est possible que la version 2.6.24 du noyau soit disponible à installer. Pour connaître les détails d'un paquet affiché dans la sortie d'un search: apt-cache show nom-du-paquet Pour l'installer: apt-get install nom-du-paquet C'est primitif comme utilisation. C'est comme ça que j'ai appris à utiliser les distributions basées sur Debian. Dans le doute, abstiens-toi. Les mise-à-jours automatiques de Ubuntu vont sûrement te faire passer à la dernière version du noyau tôt ou tard. Il faut se renseigner sur les forums Ubuntu. Modifié par Logicien le 14/02/2008 20:32 | |||||||
Astucien ![]() | Salut Pourquoi paniquer autant pour une faille? Si on comptait celles de Microsoft, on aurait pas fini | |||||||
Petit astucien | Surtout que trouver des failles ça n'a rien d'anormal... Tant que c'est annoncé et rapidement patché les choses progressent dans le bon sens. Ce qui est toujours le cas sous Linux. Modifié par Persée le 14/02/2008 21:41 | |||||||
![]() ![]() | il me semble que Ubuntu a sorti un correctif non ? j'ai eu une mise à jour de noyau hier ou avant hier | |||||||
Petite astucienne ![]() |
Merci pour vos réponses !!! Je vais pouvoir m'endormir moins bête, et moins angoissée !!! Héhéhé ! Je suis une fille alors forcément, je prends vite peur !!! Bonne soirée à vous tous ! @ bientôt !
Val' | |||||||
![]() ![]() | Il s'agit d'une faille critique. Si on peut passer a la version 2.6.24.2 c'est une bonne idee de le faire. Sinon, il n'y a pas lieu de paniquer effectivement. Modifié par Logicien le 14/02/2008 21:34 | |||||||
Petit astucien | Oui, c'est patché, en tout cas sous Ubuntu et Debian etch
Modifié par Persée le 14/02/2008 21:52 | |||||||
Astucien ![]() | Généralement un update n' est pas suffisant, il faut faire un upgrade. Le update ne fait que synchroniser la liste des paquages du PC avec celle des serveurs de menu.list (le reload de synaptic) Mais si différences les programmes ne sont pas mis à jour. (Si la liste du serveur est plus récente ==> Get s' affiche en début de ligne . Si c 'st synchronisé on a alors : Ign en début...)
apt-get upgrade cherche les différences et propose de les charger et de les installer. Cela peut être long En une manoeuvre : apt-get update && apt-get upgrade ( avec 2 &) C 'est mon habitude... Votre avis ? A+ Modifié par Tasgarth le 14/02/2008 22:35 | |||||||
Petit astucien | Oui, un apt-get update n'est jamais suffisant, il faut évidement enchainer sur le apt-get upgrade... Je pense que tout le monde le sait, c'est la base pour ceux qui utilisent apt-get.
Je parlais d'update par extension pour dire qu'il faut mettre à jour le noyau. Modifié par Persée le 14/02/2008 23:24 | |||||||
|
Les bons plans du moment PC Astuces | Tous les Bons Plans | |||||||||||||||
|