Re: sécurité (was Re: [Admin-ml] Spam)
Matthieu Brunet
osx at brunet-prod.com
Jeu 6 Mar 14:05:55 CET 2008
Le 6 mars 08 à 13:05, Proniewski Patrick a écrit :
> On 6 mars 08, at 12:27, Matthieu Brunet wrote:
>
>> Ca me fait penser à toutes ces soit-disantes failles de sécurité
>> qu'ils trouvent sur mac OS X : à chaque fois, pour l'activer, il
>> faut soit être déjà connecté en ssh, soit être carrément devant la
>> machine. Il vont bientôt trouver une faille où il faut avoir le
>> mdp root pour l'activer...
>
>
> Et pourtant ces failles sont aussi importantes que les autres.
> Connecté en ssh ? non, pas forcément.
> Prends un serveur web avec php. Si l'admin n'est pas consciencieux
> il peut laisser (ou ouvrir lui même) des failles de sécurité dans
> son installation (du style laisser php utiliser la commande exec(),
> ouvrir les URL comme des fichiers, ...). Ensuite, ce type ou un de
> ses collaborateurs met sur le site une appli en PHP genre forum/
> groupware/webmail/...
> Dans la suite du scénario, un pirate découvre une faille dans
> l'appli php ou dans la configuration du serveur qui lui permet
> d'uploader ou d'exécuter un fichier sur le serveur. Le code ainsi
> exécuté peut exploiter une faille locale de l'OS pour prendre par
> exemple les privilèges de root.
>
> Moralité, personne n'est connecté localement ou en ssh, mais un
> type à l'extérieur viens de prendre le root sur la machine.
>
> Ça arrive tous les jours...
>
Oui enfin tu avoueras que ton scénario est quand même assez élaboré.
Rien à voir avec les failles de windows XP, où un ordinateur
fraîchement installé et connecté sur internet tenait 20mn avant
d'être vérolé (sans la SP2).
Franchement, les possesseurs de mac qui s'en servent de serveur web,
et qui ne font pas gaffe au niveau sécurité, ça représente quoi ? 0,1% ?
Je dis pas que Mac OS est sans faille, hein, c'est juste une histoire
de relativité. Y'a une différence entre une faille qui permet de
transformer 1 million de PC en zombie de manière automatisée, et une
faille où il faut être devant la machine pour avoir un accès root. Ca
n'a pas exactement le même impact.
Plus d'informations sur la liste de diffusion Admin-ml