Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Faille critique Ghost

Pit38f

Bonsoir.

Je lis qu'une faille critique a été détecté qui touche tous les systèmes Linux.
---> http://www.01net.com/editorial/643126/ghost-la-faille-critique-qui-permet-de-prendre-le-controle-des-systemes-linux/#?xtor=EPR-1-
---> http://www.zdnet.fr/actualites/ghost-une-faille-critique-affecte-les-systemes-linux-39813740.htm

Cette faille concerne la librairie glibc, et elle permet de prendre le contrôle à distance (via un buffer overflow).
Citation de http://www.developpez.com :
"La faille est présente dans la version 2.2 de glibc qui date de novembre 2000, soit pratiquement 14 ans. Elle aurait été corrigée depuis le 21 mai 2013, par une mise à jour mineure entre glibc 2.17 et 2.18.
Cependant, le correctif n’ayant pas été classé comme un problème de sécurité, il n’a pas été pris en compte par bon nombre de distributions Linux. De ce fait, les distributions Linux avec un support long terme, dont Debian 7, Ubuntu 12.04, Red Hat Enterprise Linux 6 et 7, CentOS 6 et 7, sont vulnérables."

Des patchs auraient été développés en particulier pour Debian.

Où en est Canonical de ce point de vue ?
Est-ce que Ubuntu 14.04 est à l'abri ?

[supprimé]

Bonsoir.

Beaucoup de bruit, parfois du sensationnel de la part des journalistes. Cette faille a été corrigée suite à sa détection, ce qui prouve que le libre est très réactif sur des sujets de ce type.

Puisque vous évoquez Debian, voici l'annonce de sécurité correspondante : https://www.debian.org/security/2015/dsa-3142
Visiblement et sauf erreur de ma part, la 14.04 n'est pas concernée.

Libc6

bluc

Bonjour,

Comment savoir si mon ordi est vulnérable, (j'utilise LXLE basé sur Ubuntu 12.04 qui est concerné) et si oui comment le protéger

Merci

jvcharles

http://people.canonical.com/~ubuntu-security/cve/2015/CVE-2015-0235.html

bluc

Merci

Je savais que 12.04 était concerné , ma question était plutôt (je me suis mal exprimé) est ce que des mises a jour ont apporter quelques choses afin de protéger mon système (ce que, si non, je ne trouve pas normal), dans ce cas que faut il que je fasse

AlexandreP

GNU C Library buffer overflow in __nss_hostname_digits_dots() (CVE-2015-0235 aka GHOST) dans le wiki d'Ubuntu:

The GNU C Library upstream had already addressed this issue in its 2.18 release; however, the security impact of the fix was not recognized at the time. Because of this, only Ubuntu 12.04 LTS (Precise) and Ubuntu 10.04 LTS (Lucid) were affected. To address the issue, ensure that libc6 2.15-0ubuntu10.10 (Ubuntu 12.04 LTS) or libc6 2.11.1-0ubuntu7.20 (Ubuntu 10.04 LTS) are installed. These updates were announced in USN 2485-1.

Timeline
2015 Jan 18: the Ubuntu Security team is notified by Qualsys via the linux-distros list, with a pending CRD of 2015-01-27 18:00 UTC
2015 Jan 27: issue becomes public a few hours before the CRD; Ubuntu and other distributions release updates
2015 Jan 28: Cloud image updates (see below)

Pour résumer, pour ceux qui ne comprendraient pas la langue de Barack Obama: il faut s'assurer de disposer du paquet libc6 en version égale ou supérieure à 2.15-0ubuntu10.10 (dans Ubuntu 12.04 LTS) ou 2.11.1-0ubuntu7 (dans Ubuntu 10.04 LTS). Si vous installez régulièrement vos mises à jour, vous devriez déjà être "patché".

bluc

thank you !... AlexandreP 😉