[Syspatch] Annonces
#1

Ce soir l'équipe d'OpenBSD nous livre un nouveau correctif pour ld.so.

L'article : https://obsd4a.net/blog/article92/syspat...ch-6-5-6-6

----

PS : Dorénavant, étant quasiment seul à faire ce travail d'annonces, je les publierais principalement sur le blog, mettrait le lien d'annonces ici, dans la suite de ce sujet, et j'ai fermé tous les précédents sujets !
Terminé les doubles posts, etc… Et je ne parle même pas du sentiment que j'ai, en rapport avec l'intérêt porté au sujet, par "le reste du monde"

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#2

Je te remercie pour ce travail de suivi des patch … ça me permet de faire les MAJ correctement et non plus une fois tous les 36 du mois Angel

« La perfection est atteinte, non pas lorsqu'il n'y a plus rien à ajouter, mais lorsqu'il n'y a plus rien à retirer. » Antoine de Saint-Exupéry
Répondre
#3

Un nouveau correctif spécifique arm64 et des instructions au niveau CPU ne fonctionnant pas correctement !
https://obsd4a.net/blog/article93/syspat...64-6-5-6-6

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#4

Deux nouveaux correctifs : pour ftp et ripd, pour 6.5, 6.6, et toutes architectures supportées !

https://obsd4a.net/blog/article94/syspat...ch-6-5-6-6

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#5

Ce soir, 15/1/2020, l'équipe OpenBSD nous livre un nouveau correctif pour amd64 et i386, à-propos des GPU Intel Gen9.

cf : le blog.

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#6

Hier soir, l'équipe OpenBSD nous a fournit deux correctifs pour OpenSMTPD.

cf: le blog

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#7

(29-01-2020, 01:10:44)PengouinBSD a écrit :  Hier soir, l'équipe OpenBSD  nous a fournit deux correctifs pour OpenSMTPD.

cf: le blog

Le deuxième correctif est CAPITAL car il permet à n'importe qui d'exécuter des commandes en tant que root sur les installations par défaut où le serveur mail est accessible (port TCP 25) et les serveurs mails opensmtpd où mbox est utilisé.

Sur -current, il faut soit recompiler smtpd depuis les sources soit désactiver smtpd en attendant la prochaine snapshot.
Répondre
#8

Merci des précisions.

Pour une fois que c'est sur -current qu'il faut attendre ! :p

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#9

Il a l'air bien vilain ce "défaut". J'ai hâte de savoir comment ça fonctionne.
Gilles n'aura pas volé son petit don pour bosser si dur sur smtpd.
Répondre
#10

J'ai eu plus d'informations.

- Dans l'installation par défaut, smtpd n'écoute pas sur l'extérieur donc pas de problème.
- si grep mbox /etc/mail/smtpd.conf ne renvoie rien, aucun soucis
- dans le pire des cas, l'attaquant ne peut lancer des commandes que via un utilisateur non root (bon c'est déjà pas mal mais voilà)
Répondre
#11

Ça serait la 3e faille depuis le début d'OpenBSD ?

Ça va faire mal si quelqu'un ne tiens pas à jour son serveur... Il "suffit" de détecter qu'il tourne sous OpenBSD et PAN !
Répondre
#12

Dans l'installation de base de Obsd la faille est elle exploitable ? Si c'est le cas alors oui ça casserais une belle série d'année sans tâche.

« La perfection est atteinte, non pas lorsqu'il n'y a plus rien à ajouter, mais lorsqu'il n'y a plus rien à retirer. » Antoine de Saint-Exupéry
Répondre
#13

Beh bien, sûr que la faille est exploitable puisqu'OpenSMTPD fait partie de la base !
(dans les conditions que décrit solene)

Gilles Chehade a informé qu'il ferait un billet plus explicatif.

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#14

(30-01-2020, 09:04:43)PengouinBSD a écrit :  Beh bien, sûr que la faille est exploitable puisqu'OpenSMTPD fait partie de la base !
(dans les conditions que décrit solene)

Gilles Chehade a informé qu'il ferait un billet plus explicatif.

et non, la faille n'est pas exploitable dans un système installé de base, car smtpd n'écoute que sur localhost par défaut, il faut spécifiquement le modifier pour qu'il écoute sur le réseau.

C'est une escalade de privilège par défaut (donc depuis un compte local), pas une exécution de code à distance.
Répondre
#15

Alors, là, je ne suis pas d'accord avec ton raisonnement !

Si, par défaut, elle n'est pas exploitable parce que le service est "éteint", si certes par défaut smtpd n'écoute qu'en local, dès que tu autorises l'écoute pour pouvoir émettre et recevoir des mails depuis et à destination de ton NDD, alors, la faille existe par défaut !!!

Et, que ce soit une escalade de privilège ne change en rien la donne du problème.

"Je suis protégé, tant que j'utilise SMTP juste pour autoriser la sortie des mails locaux".
"Je suis protégé, tant que je n'oublie pas que je ne dois surtout pas modifier la configuration pour pouvoir émettre des mails en tant que service mails"

Autrement dit, ce n'est pas le comportement de l'administrateur système qui est en défaut ; c'est bien le logiciel qui est faillible dès que l'administrateur "sort des sentiers battus". OpenSMTPD est intégré dans la base ; et il est faillible !

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#16

Si j'en crois l'analyse suivante où il est expliqué que même avec la configuration par défaut, un attaquant peut devenir root (escalade de privilège) avec toutes les conséquences "utiles" :

https://www.openwall.com/lists/oss-secur...20/01/28/3

Faille qui existe depuis la "sortie", il y a près de deux ans (à quatre mois près) - mai 2018.
Ce qui signifie que celui qui utilise une version plus vieille que 6.5, en sera pour ses frais, encore faut-il qu'il `syspatch` pour 6.5 > !

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#17

Je retiens aussi que mbox, c'est décidément pas une bonne idée.
Rediriger les mails destinés à root est normalement la pratique courante quand on administre un système, et si on a lu le afterboot : http://man.openbsd.org/afterboot#Mail_aliases
Je trouve ça tellement intéressant. Avec les bouts de code en guise d'illustration, c'est épatant de simplicité en plus.
Répondre
#18

Un nouveau correctif ce soir est publié par l'équipe OpenBSD pour vmm, seulement pour 6.6 et sur amd64.

cf : le blog

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)