Vulnérabilités
Une faille de sécurité catastrophique pour les Unix.
Par Jerome Saiz, le 25 juil 2001 à 13:40:00.
Une faille de sécurité sérieuse a été découverte dans toutes les versions de Telnet basées sur le code BSD (la grande majorité des démons telnetd fonctionnants sous Unix). Elle permet de pénétrer le système à distance aisément.
Telnet, l'outil incontournable d'accès à Unix, est vulnérable. Le démon telnetd présent sur tous les Unix de la création (dans sa version basée sur le code BSD), comporte en effet un dépassement de buffer potentiel. C'est une catastrophe pour tous les administrateurs de systèmes Unix, car cela peut donner un accès illimité au système à quiconque sait exploiter la faille.Cette dernière, découverte par la société Teso et confirmée aujourd'hui par le CERT (Computer Emergency Response Team), est relativement simple à exploiter à distance, depuis l'anonymat d'Internet. C'est ce qui la rend aussi effrayante. Cela, et le fait que Telnet fonctionne sur une très grande majorité de systèmes Unix, en dépit de l'absence de sécurité de ce protocole (les mots de passe transitent en clair, notamment).Les administrateurs système Unix soucieux de leur sécurité désactivent généralement Telnet et le remplacent par un système d'accès à distance plus sûr (SSH, généralement). Toutefois, ceux qui disposent toujours de leur Telnet sont invités à appliquer un correctif à cette faille, aujourd'hui disponible auprès de la plupart des éditeurs d'Unix.Plus d'info : l'alerte officielle du CERT.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
