Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

  • GHOST - CVE-2015-0235 : Quelques liens

    Bonjour,

    Ceux qui bossent dans la SSI aujourd'hui ont certainement eu quelques questions de la part d'équipes techniques, ou pas, à propos de GHOST. Pour ceux qui ne suivent vraiment pas c'est un BoF qui touche la libC et qui est potentiellement exploitable à distance.

    Bon sur un point tout le monde est d'accord : il faut mettre à jour, de toute façon il faut tout le temps mettre à jour :) : je sais facile à dire.

    Mais bon après les débats se lancent : réellement un énorme danger cette vulnérabilité (en remote), vu que les méthodes d'exploitation sont quand même spécifiques [utilisation de fonctions obsolètes, bypass d'appel à d'autres fonctions ou à des mécanismes de résolutions, ...] ?

    Voici donc quelques liens qui vous permettront de vous faire votre petite idée sur la question :

    L'annonce de Qualys

    Le post sur FD

    Glibc Adventures: The Forgotten Chunks (merci d4n3ws)

    Quelques articles de Phrack.

     

    Normalement vous avez tout ce qu'il vous faut maintenant :).

     

    Have fun !

    Et bonne fin de journée.

     

  • L'importance de la recherche d'information

    Voilà encore un peu de lecture pour la nouvelle année :) C'est pas le genre de blog post qui va sauver la vie des auditeurs confirmés, mais pour ceux qui débutent ça peut bien aider :D, et sinon une piqure de rappel ça ne fait jamais de mal !

    Quelques slides trouvés grâce à d4n3ws, qui présentent les grandes fuites d'information (et vulnérabilités) pouvant être présentes sur les outils de développements. Il est vrai qu'on ne compte plus les .svn (et autres) perdus que l'on trouve pas mal sur certains serveurs web (en prod :p). Mais il ne faut pas non plus négliger les autres sources d'informations. Petite liste de choses que j'ai eu l'occasion de rencontrer récemment :

    • Wiki dev/admin prod exposé avec des mots de passe beaucoup trop simple;
    • Jenkins : de même exposé avec des mots de passe beaucoup trop simple;
    • Outils de gestion de bug à destination de développeurs internes exposé et non à jour;
    • Les jolis commentaires dans un xml qui devaient visiblement pas restés dans la version de production;
    • Un serveur de préprod exposé avec une archive ... contenant toutes les sources de l'application web :D;
    • J'en passe et des meilleures (les questions d'implémentations de certaines fonctions sur des forums diverses et variés par exemple) ...

    Bref quand on a un grand périmètre et peu de temps, oui 95% des audits donc, la recherche d'information ça sauve la vie parce qu'on a pas la chance de toujours tomber sur des JMX-consoles de vieux JBoss exposés sur d4 w3b :) (<= Même si ça m'est arrivé très récemment :)).

     

    Have fun !

     

  • Bonne année

    Bonne année à toutes et à tous !