l'internet mondial menacé

[romain31000]

http://www.lemonde.fr/technologies/...de-securite_1067967_651865.html#ens_id=884081

Avez vous entendu parler de cette faille?
Touche t-elle que windows?
je cite l'article ""Ce problème affecte non seulement Microsoft et Cisco, mais tout le monde"
Des réactions?

 

[Ironfalcon]

http://www.lemonde.fr/technologies/...de-securite_1067967_651865.html#ens_id=884081

Avez vous entendu parler de cette faille?
Touche t-elle que windows?
je cite l'article ""Ce problème affecte non seulement Microsoft et Cisco, mais tout le monde"
Des réactions?

c'est propres aux normes de communication (d'après l'article). Donc ca touche tout le monde. Enfin bon, vu l'importance de la faille et vu que y'a deja un article dans la presse, s'il y avais des faits importants, on aurait deja un sujet post-it la dessus sur le fofo ^^ et des news sur 90% des sites de geek.

relax c'est le nouveau bug de l'an 2000

 

[Sly54]

Sur ce site, on peut tester notre DBS pour savoir s'il est (déjà) protégé, ou non…

Chez moi ça ne l'est pas


Sly54

 

[romain31000]

je suis au boulot et je ne suis pas protégé non plus

 

[Anonyme]

Puis de toutes façons, ils ont diffusé la nouvelle après avoir corrigé le bug... Pas besoin de paniquer.

Quant au site de test, il fait bien son boulot?

 

[Sly54]

Puis de toutes façons, ils ont diffusé la nouvelle après avoir corrigé le bug... Pas besoin de paniquer.

Quant au site de test, il fait bien son boulot?

Ca, je ne sais pas comment bosse le site de test !

Par contre je lis "Software companies across the industry have quietly collaborated to simultaneously release fixes for all affected name servers." et je me demande si les softwares companies = Apple, Microsoft etc., peut être doit-on (devra-t-on) installer une màj.
Si cette màj n'est pas installée alors on n'est pas protégé. Non ? Oui ? Peut être ?

Allez, trève de bavardage, au boulot…

 

[da capo]

Au boulot, mon pc est déclaré sensible à cette faille par l'outil sur doxpara.com

Là maj windows en cours (il y a une maj datant de juillet disponible), je verrai bien.

Et sur vos mac avec os x ? ça dit quoi ?

 

[benjamin]

Il y a un flou considérable, délibéré, autour de cette affaire. Et je crois que beaucoup de monde écrit dessus sans être suffisamment informé.
Ce qui me pose d'ailleurs problème pour mon article.

 

[da capo]

Première série de maj windows effectuée : rien de neuf

"Your name server, at xxx.xxx.xxx.xxx, appears vulnerable to DNS Cache Poisoning."

Le truc, c'est que le xxx.xxx.xxx.xxx n'est pas chez nous, mais chez notre fai.

Pro qu'ils disaient ?
En tout cas sur la facture, ça se sent.

 

[Anonyme]

J'avais lu un article complet sur le sujet ce matin mais je n'arrive plus à mettre la main dessus. En bref, ça disait que le bug avait été découvert il y a un mois et que les serveurs DNS sur le web avait été débuggé.

Si votre entreprise a des serveurs DNS en interne, là je ne sais pas comment ça se passe mais je suppose que ça ne rentre pas en compte.

 

[Dos Jones]

Même pas peur…

 

[da capo]

FAI professionnel : serveurs encore sensibles à la faille.
FAI personnel, grand public : pas concerné.

C'est un comble.

 

[bompi]

Ça me fait penser à un truc tout bête : lorsqu'on va sur le site de sa banque ou autre site avec des données que l'on souhaite garder confidentielles, il est toujours intéressant de tenter une première connexion avec un faux mot de passe.

Ainsi, si l'on est sur un site de vilains mafieux, ils récupèreront au pire l'identifiant (c'est déjà ça mais le pire sera évité).

Je me suis amusé à faire ainsi avec des mails de phishing paypalesques.

 

[bompi]

Test effectué : mon accès Orange est OK, l'accès du poste de bureau est vulnérable. Bigre !! Que fait donc la sécurité ?

 

[Hindifarai]

Comme dit précédemment il y a tout et n'importe quoi qui est dit sur cette faille.
Pour resituer la personne l'ayant découverte c'est Dan Kaminsky d'IOActive qui a découvert par exemple en 2005 le rootkit de sony et qui est plus que réputé dans le domaine de la sécurité informatique.
Cette faille est découverte de manière théorique depuis un an grosso modo. Son exploitation par la pratique est récente et a poussé les développeurs à chercher un correctif.
Cette faille touche le protocole DNS en lui-même et la génération de nombre aléatoire dans les différents daemons implémentant ce protocole.
Il n'y a pas à paniquer, les correctifs sont dans les tuyaux, la manière d'exploiter la faille est trouvable sur le net mais est très floue, suffisament pour dissuader la mise en oeuvre(qui serait très très vite repérée).
Les acteurs classiques de la sécurité tels Kaminsky et OpenBSD sont les personnes à remercier pour le correctif et non les Microsoft, Cisco et autres Sun comme on peut l'entendre/le lire un peu partout.
Grosso modo :
-si vous avez un serveur DNS tel BIND qui tourne chez vous, faites la mise à jour le plus vite possible(si vous vous demandez si vous en avez un c'est que vous n'en avez pas);
-dans le cas contraire attendez que votre FAI fasse la démarche (pour ma part FAI très répendu en france synonyme de liberté litteralement et c'est à jour) et mettez à jour le système dès qu'une mise à jour est dispo.

Sinon je viens de regarder un .diff de la mise à jour de Bind9 c'est assez costaud comme patch j'ai du mal à l'analyser.

 

[benjamin]

Merci pour ces éclaircissements.

 

[Hindifarai]

Pour ceux que ça intéresse voici le diff de BIND9 (en version colorée c'est plus simple à lire)
http://ngc891.blogdns.net/pub/projects/patches/bind-9.4.2.patch.html
(lien trouvé sur linuxfr.org)

 

[Einbert]

Les exploits sont désormais "officiellement" publiés. Un article à ce sujet par exemple sur heise.de (en allemand).
Les exemples de code ou exploits à utiliser directement depuis metasploit peuvent se trouver sur http://www.caughq.org . Il ne reste plus qu'à espérer que vos FAI ont appliqué les patchs.

Dans le même ordre d'idée, pour contrer les attaques du type DNS cache poisoning, une des meilleures solutions est la mise en oeuvre de dnssec; sa mise en place est apparemment assez contraignant est n'est de loin pas trivial. Le top level domain .org va néanmoins est le premier des différents top level domains à effectuer la transition de dns vers dnssec; par contre, aucune indication sur une roadmap.

 

[Deleted member 18124]

J'ai fait le test. Ca me dit ça :

Your name server, at xx.xx.xxx.xxx, may be safe, but the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 200.
Please talk to your firewall or gateway vendor -- all are working on patches, mitigations, and workarounds.

 

[Anonyme]

"Your name server, at XX.XXX.XXX.XXX, appears to be safe, but make sure the ports listed below aren't following an obvious pattern."

Voila ce qu'il me dit
Par contre , que veux dire below et pattern ?