Une faille vieille de 17 ans frappe Windows DNS Server
Une faille de sécurité vieille de 17 ans (!) a été découverte dans Windows DNS Server. Cette vulnérabilité, baptisée CVE-2020-1350, permettrait à un malandrin de lancer à distance du code sur des serveurs Windows et de créer des requêtes DNS malveillantes. Au bout du bout, cette faille a le potentiel d'ébranler l'infrastructure informatique d'une entreprise.
Rien ne sert de paniquer. D'une part, les utilisateurs de Windows 10 ne sont pas concernés, étant donné que cette faille concerne l'implémentation de Windows DNS Server. D'autre part, Microsoft livre les correctifs qui vont bien pour toutes les versions de Windows Server — charge ensuite aux admins de les appliquer dans leurs serveurs. Enfin, la vulnérabilité n'a pas été exploitée, selon l'éditeur.
Néanmoins, cela ne signifie pas que la faille soit bénigne. Bien au contraire : elle est notée 10 selon le système CVS. Pour donner une idée de la dangerosité de CVE-2020-1350, les failles ayant permis au rançongiciel WannaCry de prospérer avaient été notées 8,5 et elles n'étaient pas spécialement gentilles.
.... 🍿 ....
Mieux vaut tard que jamais 😅
Quoi? macOS n'est pas le seul à trainer ce genre de vieilles casseroles? On m'aurait menti? 🤭
@Khrys
"On m'aurait menti? 🤭"
Non.
Simplement, MS confronte ses casseroles, vieilles ou moins. Voyez plutôt, pour ce chatoyant mois de juillet :
https://news.sophos.com/en-us/2020/07/14/its-always-dns-including-on-july-2020s-patch-tuesday/
Que n’aurais-je donné, quand j’administrais des tas de Mac, pour disposer de cette foule de détails. Plus encore, pour qu’Apple daigne admettre les failles.
Mais il y a un domaine où Apple a définitivement pris l’avantage sur Microsoft : les versions serveur de l’OS.
Là, plus aucune faille.
Facile, me direz-vous, puisque plus d’OS serveur, ni même de serveur du tout.
Bon, d’accord.
Reste néanmoins le fait qu’Apple a su mettre un terme aux failles de serveur, une fois pour toutes.
Vivement, que d’autres imitent son exemple.
Heuresement que la plupart des serveurs sont sur Linux
@oboulot
C'est en fait une écrasante majorité: 96.3% des serveurs à travers le monde fonctionnent sous un système de type GNU/Linux, tout comme 90% des infrastructures de type "cloud".
@Khrys
Mouais, sauf que ce n’est pas le cas en entreprise, ou la plupart de l’infrastructure utilisateur est sous windows...
"96.3% des serveurs à travers le monde fonctionnent sous un système de type GNU/Linux"
D'où sort cette info ? De quels serveurs parle-tu ? Est-ce que tu ne confondrais pas GNU/Linux avec les Unix ou autres BSD ?
@Khrys,
« 96.3% des serveurs à travers le monde fonctionnent sous un système de type GNU/Linux »
Ouf on est donc sauvé !
😁
Zut :
https://www.zdnet.fr/actualites/nouvelle-faille-de-securite-sur-des-distributions-linux-et-bsd-39875633.htm
https://www.lemondeinformatique.fr/actualites/lire-une-faille-dans-sudo-ouvre-un-acces-root-aux-utilisateurs-linux-76770.html
https://korben.info/dirty-cow-faille-banalement-critique-noyau-linux.html
https://www.zdnet.fr/actualites/comment-corriger-la-derniere-faille-0-day-de-linux-et-android-39831500.htm
https://linuxfr.org/news/faille-ssh
😎
Trop bien, MacOS Server n'existe plus, du coup 0 faille en service pour MacOS, vraiment trop fort Apple !
@Khrys
Source ? Ça m’intéresse pour mon boulot. Merci.
@DG33
https://www.infosecurity-magazine.com/news/linux-servers-under-attack-for-a/
@Khrys
Ça se voit que tu ne dois pas bosser dans le milieu.
Ce chiffre peut éventuellement correspondre à la proportion de serveurs « publics » en frontal sur Internet, mais ce chiffre est très loin de la proportion de serveurs utilisés par les entreprises. Le tout GNU/Linux est encore loin!
@tylerdurden13
"Ce chiffre peut éventuellement correspondre à la proportion de serveurs « publics » en frontal sur Internet"
C'est ce à quoi je faisais référence, et non pas aux serveurs de tout type en entreprise...
@Khrys
Ton message n’était pas suffisamment clair. Il faut indiquer cette précision car ça change toute l’interprétation.
L’autre chiffre annoncé de 90% en infra cloud ne correspond pas à la réalité.
As-tu les sources de ces chifffes ?
@tylerdurden13
Des chiffres?
Tu peux en trouver là https://www.rackspace.com/en-gb/blog/realising-the-value-of-cloud-computing-with-linux ou là https://www.cbtnuggets.com/blog/certifications/open-source/why-linux-runs-90-percent-of-the-public-cloud-workload ou encore là https://en.wikipedia.org/wiki/Linux!
@Khrys
Toujours meme remarque qu’avant : tu parlais d’infra cloud et les chiffres parlent d’infrastructures cloud PUBLIC en se basant sur les workload. Ce n’est pas la même chose, l’utilisation des workload ne correspond pas au nombre de serveurs virtuels et t’oublies toutes les infra cloud privées !
Et ces « sources » sortent le même chiffre depuis plusieurs années sans indiquer d’où il vient. Même si c’est clair qu’en infra cloud public en terme de workload Linux est majoritaire, ce chiffre semble plutôt être un chiffre sorti du chapeau ;)
@tylerdurden13
En as-tu qui infirment ceux donnés en référence?
@Khrys
Ce n’est pas moi qui assène des chiffres farfelu sans expliquer clairement le contexte. Il y a peu d’informations fiables, c’est justement le problème.
J’indique juste que les chiffres que tu nous sors à 90% voir 96% pour Linux sont à prendre avec de grosses pincettes et qu’il ne faut pas oublier d’indiquer clairement le périmètre, car ces chiffres peuvent être cohérent uniquement dans un périmètre et des cas bien précis.
Il y a trop d’imprécisions et d’approximations dans ce que t’indiques pour que l’on puisse considère cela comme fiable.
@tylerdurden13
En gros, pour résumer, tu contestes des chiffres que l'on trouve à différents endroits, sur la seule base qu'ils ne te conviennent pas à priori, sans justificatif précis, ni chiffres contradictoires, ou qui tout du moins pourraient possiblement corriger une erreur potentielle dans les sources citées, le tout basé sur un sentiment personnel. Hum...
@Khrys
Non décidément tu ne comprend pas.
Ce n’est pas parce que ces chiffes ne me conviennent pas, c’est parce que tu parles d’un sujet que tu ne connais manifestement pas et que tu mélanges tout !
Parler de 96% de serveurs qui utilisent Linux alors qu’en fait ce chiffre ne concerne qu’une partie que sont serveurs web !
Dire la même chose avec un chiffre de 90% pour les infra cloud, alors que les chiffres ne parlent en réalité que des workload actifs pour les datacenter cloud publics, tu mélanges tout sans savoir de quoi tu parles...
Tout ça juste pour sortir de gros chiffres et venir se plaindre quand on te contredit, c’est quand même ridicule.
@tylerdurden13
Compte tenu du niveau de tes commentaires et de l'inconstance de ton "argumentaire", je ne m'attendais pas à ce que tu comprennes quoi que ce soit.
@Khrys
Allez un troll de plus... Je t’ai démontré que tu ne savais pas de quoi tu parlais avec ton premier commentaire farfelue. Relis toi avant d’écrire n’importe quoi et la prochaine fois évite de tout mélanger.
Comme tu tournes en rond donc je laisse tomber ;) Bonne nuit !
@tylerdurden13
Tu ne démontres rien, tu n'argumentes rien, tu t'écoutes simplement parler, rien d'autre.
@Khrys >
Je t'ai demandé à quels serveurs tu fait référence, ce n'est pas pour rien. Ma réaction et celle de @tylerdurden13 devraient t'inciter à te demander si tu fait bonne route.
Tu parles des serveur web frontaux, bien, mais ce n'est qu'une partie des serveurs. Qu'en est-il des serveurs de base de données, de fichiers, d'authentification, de mails, de traitements, de calculs ou encore de transactions bancaires / boursières ? Tout ce qui n'est pas directement relié au net ou qui ne sert pas des sites, en sommes.
Pas besoin de chiffre ou de lien, tu as juste besoin de bon sens. Pour faire une analogie t'es en train de dire que 100% des PC tournent sous macOS quand on se base uniquement sur Apple. Voilà voilà...
@ultrabill
"Je t'ai demandé à quels serveurs tu fait référence, ce n'est pas pour rien."
Et j'ai précisé ensuite de quels type serveurs qu'il s'agissait...
"Ma réaction et celle de @tylerdurden13 devraient t'inciter à te demander si tu fait bonne route."
Ta réaction et celle de ton frère "jumeau" devraient vous inciter à lire autrement qu'en diagonale et à ne retenir que ce qui vous arrange.
Me concernant, je m'arrêterais là.
@Khrys
Quel intérêt d'ailleurs de serveurs sous Windows ? Est-ce uniquement pour certaines spécifiés de l'ASP.NET ?
@AlexG
En entreprise, a partir du moment ou vos utilisateurs utilisent des machines sous windows, vous avez la plupart du temps besoin de serveurs windows pour assurer tout un tas de fonctions et gérer vos utilisateurs et l’infrastructure associée. Pensez Active Directory.
@oboulot
Dans ce cas-ci cela reste particulièrement dangereux pour les infrastructures windows internes des entreprises.
Le poids des années! A vouloir maintenir une certaine compatibilité avec le passé, Windows ne s'est jamais vraiment renouvelé. Oh chaque année on rajoute des fonctionnalités, on change le design, mais au fond on garde la vieille base. Tous ces patchs sont pour moi comme les rustines d'un vieux rafiots. Il serait temps que MS lance un vrai nouveau Windows, y croit et surtout ne le laisse pas tomber si celui-ci ne fait pas direct un succès. Un Windows moderne, adapté aux structures informatiques récentes et futures,... un peu à la manière d'Apple et de son changement radical avec Big Sur/ARM. Le gros problème est que les cyber attaques n'ont jamais été aussi violentes qu'en ce moment, et que Windows est toujours en réaction après que la faille ait été découverte, rajoutez à cela que les patchs de sécurité ne sont pas systématiquement et immédiatement appliqués à cause du fameux "never change a running system", et vous avez une situation plus que dangereuse pour de nombreuses entreprises.
@Glop0606,
« Le gros problème est que les cyber attaques n'ont jamais été aussi violentes qu'en ce moment, et que Windows est toujours en réaction après que la faille ait été découverte, rajoutez à cela que les patchs de sécurité ne sont pas systématiquement et immédiatement appliqués à cause du fameux "never change a running system", et vous avez une situation plus que dangereuse pour de nombreuses entreprises. »
Vous inquiétez pas, quand leur serveur sera down parce que piraté, vous verrez qu'ils se bougeront le fondement pour appliquer les patchs en attente...
Bon entretemps, si les bases de données clients, transactions, ont été piratées, ce sera trop tard en effet !
😎
Pour les chiffres, cela paraît raisonnable si l'on parle en pourcentage de serveur. Il suffit que les gros soient sous linux. Si l'on parle en pourcentage d'entreprise, le chiffre doit bien descendre tellement il y en a qui sont sous windows.
Une faille vieille de 17 ans frappe les fanboys
enfin , un titre qui reflète la réalité
Bravo Monsieur MB
@alan1bangkok,
« Une faille vieille de 17 ans frappe les fanboys »
On pourrait lire aussi :
« Une vieille frappe un jeune fanboy de 17 ans ! »
Ça marche aussi...
😁
Les personnes comme moi qui utilisent Windows 10 sont donc sauvées. La sécurité informatique est vraiment un défi majeur pour ce siècle. C'est justement pour cela que d'autres entreprises souscrivent pour une infogérance, au risque de perdre leurs données précieuses. A lire ici