Articles précédents : Internet
- [58] Les navigateurs Web, Firefox et les parts de marchés en Europe
- [62] SeaMonkey : C'est parti !
- [95] La FreeBox devient un media center grâce à VLC
- [32] Ekopedia progresse et a besoin de toi
- [27] talweg, solution de portail captif
- [3] Tuxfamily, Solutions linux, beta-test et bouffe
- [20] Wiki et Forum Linux Suisse Romande
- [3] PostgreSQLFr.org : plus de 1000 lectures du livre "Témoignages d'utilisation de PostgreSQL" en ligne
- [25] Linuxgraphic.org à nouveau en vitesse de croisière !
- [30] LeMonde.fr adopte le XUL
Liens connexes
- Alerte de sécurité Cisco (351 hits)
- Exemple d'injonction de Cisco (307 hits)
- Article d'Infos-du-net (279 hits)
- Article du Nouvel Observateur (311 hits)
- Présentation de Michael Lynn (237 hits)
Dépêche modérée par
Dépêche éditée par
La dernière faille importante en date semble vouloir être étouffée par Cisco, qui utilise la justice pour tenter (inutilement) de faire oublier un trou de sécurité d'IOS (le système d'exploitation des routeurs de Cisco).
Ceci montre encore une fois l'importance d'avoir un code ouvert partout : la sécurité par obscurcissement n'étant pas une méthode sûre, et les entreprises propriétaires du code souhaitant cacher l'information plutôt que corriger.
Administrateurs réseau, avec IOS <12.0(31), 12.1 toute version, <12.2(25), <12.3(15) ou 12.4(2), patchez!
![[en]](../../../images/en.png)
Alerte de sécurité Cisco (351 hits)-
Exemple d'injonction de Cisco (307 hits)
![[fr]](../../../images/fr.png)
Article d'Infos-du-net (279 hits)-
Article du Nouvel Observateur (311 hits)
-
Présentation de Michael Lynn (237 hits)
> Lire la suite (17 commentaires, moyenne: 4,9). [dépêche : 827 caractères]
Cisco, à la place de corriger rapidement la faille, a tenté d'interdire la diffusion de l'information.
Comme on pouvait s'en douter, l'information circule toutefois dans le milieu de la sécurité, et est accessible par n'importe quelle personne ayant une volonté de prendre le contrôle d'un routeur Cisco (ancienne version de l'IOS)
Même si depuis l'éclatement de l'affaire Cisco a diffusé une alerte de sécurité, il est clairement montré que c'est sous pression de la communauté Internet que ceci a été fait.
Sources : diverses (conférences black hat, zdnet, Cisco...)
Présentation en pdf
Pas encore downs:
http://www.securitylab.ru/_Exploits/2005/07/lynn-cisco.pdf(...)
http://www.security.nnov.ru/files/lynn-cisco.pdf(...)
http://mirrors.trixxpix.org/pub/personal/lynn-cisco.pdf(...)
Source
En fait, c'est un article de ZDnet, pas du NouvelObs.
-
[^]Re: Source
Posté par Zenitram (page perso, ) le 04/08/2005 à 22:31. (lien). Évalué à 2.Arghhh... Ca m'apprendra à ne pas lire les sources avant d'envoyer la news. :(
Effectivement, le Nouvel Obs n'a fait que reprendre l'article de Zdnet, l'original est ici :
http://zdnet.fr/actualites/informatique/0,39040745,39248973,00.htm(...)
interview de Michael Lynn
Interview de Michael Lynn par Wired: http://www.wired.com/news/privacy/0,1848,68365,00.html(...)
Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.
Position de Bruce Schneier
Le célebrissime cryptographe Bruce Scheneier fait un compte rendu détaillé de l'affaire dans son blog, et prend parti, fait et cause, pour Lynn:
http://www.schneier.com/blog/archives/2005/07/cisco_harasses.html(...)
-
[^]Re: Position de Bruce Schneier
Posté par kawa2204 () le 05/08/2005 à 19:36. (lien). Évalué à 2.Oui, et d'ailleurs, il doit être très content de se faire traiter de pirate par les journaleux...
Cisco a déclenché la semaine dernière la colère de nombreux pirates en essayant de bloquer une présentation révélant une faille dans ses routeurs informatiques, qui dirigent environ 60% du trafic internet.
from : http://fr.news.yahoo.com/050804/290/4j21y.html(...)
Ca commence a me saouler cet amalgame chercheur en sécurité/pirate.... (non, je ne reviendrai pas sur la LEN et l'article 46 qui nous dit
I. - Après l'article 323-3 du code pénal, il est inséré un article 323-3-1 ainsi rédigé :
« Art. 323-3-1. - Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée. »
Hein? comment ca je l'ai fait? :p )
Security by obscurity, quand tu nous tiens.... (qu'on ne vienne pas me dire que le "sans motif légitime" change quoi que ce soit)
article de SecurityFocus
Exploit writers team up to target Cisco routers
http://www.securityfocus.com/news/11263(...)
Encore une fois ...
La goutte d'eau qui fera déborder le vase ?
Cisco se conduit plus mal que n'importe quelle autre société, y compris microsoft, en ce qui concerne sa façon de réagir aux failles de sécurité.
Il semble que leur nouvelle politique consiste breveter la solution à la faille si elle touche d'autres systèmes (même s'ils n'ont pas inventé la solution) et intenter des procès aux chercheurs qui découvrent les failles.
L'affaire des failles du protocole icmp de juillet 2005:
http://linuxfr.org/2005/07/14/19309.html(...)
L'affaire des failles du protocole tcp de mai 2004:
http://kerneltrap.org/node/3085(...)
Leur utilisation extensive et abusive des brevets au sein de l'ietf est une autre affaire, mais pas vraiment plus reluisante.
Ca ressemble à une société dont les décisions (y compris concernant la technique) sont prises par l'equipe de comm'. Esperons que cette afaire leur fasse assez mauvaise presse pour rectifier le tir dorénavant.
-
[^]Monopole .....
Posté par totof2000 () le 04/08/2005 à 06:49. (lien). Évalué à 2.Si Cisco réagit de cette façon, c'est qu'il peuvent se le permettre.
En effet, ils ont une situation de quasi-monopole sur le marché des routeurs haut de gamme (celà dit ce n'est pas pour rien, le matériel Cisco est quand même très performant). Donc, dans ce cas je pense que leur image de marque, ils s'en tapent un peu. D'ailleurs, vu leur situation de quasi-monopole, ils pourraient se justifier en arguant que révéler la faille fait courir un risque très important aux infrastructures réseau, et de ce fait leur image ne souffrira pas tant que ça. Et même, en supposant que leur image est touchée, que mettre à la place de routeurs Cisco sur des infrastructure réseau complexe ? C'est quand même un matériell qui a fait ses preuves.-
[^]Re: Monopole .....
Posté par herodiade () le 04/08/2005 à 12:46. (lien). Évalué à 9.que mettre à la place de routeurs Cisco sur des infrastructure réseau complexes
Ca c'est le resultat brillant de l'intox cisco ("il n'y a que nous"). Je connais au moins une marque de routeurs très haut de gamme, Juniper, qui explose cisco sur les réseaux très exigeants (malheureusement ces routeurs sont très chers).
Je suis certain qu'il existe plein d'autres bonnes marques de routeurs.
Et on peut d'ors et déjà leur substituer des logiciels libres sur du simple pécé dans de très nombreuses PME, lorsque les besoins en perfs sont moindres, ou dans les cas d'utilisations (peut etre tres frequents) où ce n'est pas le nombre de pps routés qui compte: endpoits ipsec, petits firewalls, access points wifi, serveurs d'authentification, passerelles rnis ...
ils pourraient se justifier en arguant que révéler la faille fait courir un risque très important aux infrastructures réseau,
Heu ... ?
Si "ne pas la révéler" a comme conséquence qu'elle ne soit patchée, je dirait que c'est l'inverse: se taire fait courir un risque important.
Par ailleur Cisco ne peut définitivement plus arguer d'irresponsabilité des chercheurs dans les cas (comme celui-la) de full disclosure étant donné que leurs pratiques ignobles à l'encontre des chercheurs qui les contactent avant de révéler les failles sont maintenant connues et publiques (cf. les liens ci-dessus).
-
l'o po copris
Administrateurs réseau, avec IOS <12.0(31), 12.1 toute version, <12.2(25), <12.3(15) ou 12.4(2), patchez!
Cisco, à la place de corriger rapidement la faille, a tenté d'interdire la diffusion de l'information.
je comprends pas, ils ont sorti un patch ou pas?
-
[^]Re: l'o po copris
Posté par olosta () le 04/08/2005 à 08:36. (lien). Évalué à 5.D'après (un lien du dernier lien) :
http://www.boingboing.net/2005/07/27/security_researcher_.html(...)
Lynn outlined a way to take control of an IOS-based router, using a buffer overflow or a heap overflow, two types of memory vulnerabilities. He demonstrated the attack using a vulnerability that Cisco fixed in April. While that flaw is patched, he stressed that the attack can be used with any new buffer overrun or heap overflow, adding that running code on a router is a serious threat.
Voila ce que je comprend :
En fait, la présentation expliquait les techniques pour profiter d'une vulnérabilité pour prendre le contrôle du routeur. La vulnérabilité initiale est patchée mais les techniques de Lynn s'appliqueront à n'importe quelle faille future. Donc, d'après les informations disponibles les versions actuelles sont sûres (il faut patcher) mais la moindre vulnérabilité future est critique.
-
[^]Re: l'o po copris
Posté par Zenitram (page perso, ) le 04/08/2005 à 22:34. (lien). Évalué à 2.Je me suis sans doute mal exprimé, désolé.
Cisco, dans un premier temps, à la place de corriger...
Cisco, dans un second temps, suite à divulgation de la faille, a patché.
Il manque en effet la notion de temps dans ma prose.
journal...
Cette "news" est dans un journal depuis 1 semaine (ou presque ? pas envis de vérifier)....
https://linuxfr.org/~letoff/18964.html(...)
-
[^]Re: journal...
Posté par Christophe Garault (page perso, ) le 04/08/2005 à 13:17. (lien). Évalué à 7.Et je suis en mesure de te dire que le nombre de choses qui se sont passées en une semaine est proprement incroyable! (lecture de Bugtraq et Full-disclosure). Je ne relaye pas ces informations ici car je n'ai pu les vérifier et il se pourrait que certaines ne soient que des rumeurs (ex: l'histoire des groupes de hackers chinois) que je ne souhaite pas propager.
Dernier rebondissement: le site de cisco a été hacké et l'ensemble de la base de données avec les informations clients a été compromise. Et là ce n'est plus du domaine de la rumeur:
Extrait de http://www.cisco.com/cgi-bin/login(...)
# Cisco has determined that Cisco.com password protection has been compromised.
# As a precautionary measure, Cisco has reset your password. To receive your new password, send a blank e-mail, from the account which you entered upon registration, to cco-locksmith@cisco.com. Account details with a new random password will be e-mailed to you.
# Because of a large number of requests, registered Cisco.com users may experience delays in receiving the new passwords.
# This incident does not appear to be due to a weakness in Cisco products or technologies.
# If you receive a request for additional information it is because there are more than one User ID in the Cisco.com database associated with your email address. Please follow the instructions provided.
D'après certains experts en sécurité celà se serait passé lors du DEFCON (là aussi à prendre au conditionnel) et va générer un zouli bordel pour Cisco puisque les hackers détiennent suffisamment d'infos pour faire un merveilleux 'social engeneering'.
Bref, sale temps pour Cisco et sa politique de sécurité par l'obscurité.
PS: j'aime beaucoup le passage
This incident does not appear to be due to a weakness in Cisco products or technologies.
-
[^]Re: journal...
Posté par Nicolas Boulay () le 04/08/2005 à 13:29. (lien). Évalué à 2.Bah, à jouer au con avec des black hat, ils s'étonnent de devenir une cible ?
-
[^]Re: journal...
Posté par Nicolas Boulay () le 04/08/2005 à 13:36. (lien). Évalué à 5.L'article du nouvel obs est trompeur.
Lynn parle de code injection et de protection faible de ce coté là. Pour en faire la démonstration, il a sans doute utiliser une vieille faille ipv6 pour le faire.
Cisco a corrigé cette faille mais le problème conceptuel à la base reste.
-
Cette page a été générée par Templeet en 0.0961s (dont 0.011 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.