Linux? - Page 212

Tiens d'ailleurs y a moyen de tester genre un os x 10.2 dans une VM ?

Rappel:

Topic:
Linux?

Brunni: oui, PearPC pour les version PPC, et les version Intel n'importe quel virtualiseur peux faire l'affaire. Bon pour les version Intel suivant les version il faut utiliser des techniques Ninja a la Hackintosh mais bon.

Je ne sais pas si PearPC est toujours maintenu et il ne faut pas trop attendre de lui..

C'est une faille locale, il faut avoir un compte shell ou avoir déjà exploité une faille d'exécution de code arbitraire pour exploiter cette faille.

"Bon, le coffre fort peut être ouvert sans le code mais on s'en fout, ça n'a d'importance que si le mec arrive à rentrer chez toi..."

je sais pas vous, mais je trouve que ça sonne faux

Surtout qu'apriori il y a des moyens au travers certains services reseau mais bon.. (apache entre autres)

Ca veut pas dire que c'est pas grave, mais ça circonscrit le problème, et il vaut mieux qu'ils soit aussi restreint que possible tant qu'à faire. Après, évidemment, ça reste grave...

Et si c'était chez Windows, on entendra "c'est normal, Microsoft c'est tout pourri (et c'est pas libre)". Il y a une faille depuis longtemps, ok, on assume et on la corrige, point ! on ne vient pas expliquer derrière "non mais c'est pas très grave donc ça compte pas".

Évidemment qu'on corrige la faille, mais ce n'est pas la peine de faire un caca nerveux pour une faille locale.

<ajouter à mes citations sauvegardées

Kevin Kofler (./6340) :
ce n'est pas la peine de faire un caca nerveux pour une faille locale

>

<troll>Un peu comme les failles locales autrichiennes</troll>

Un détail de l'historique.

Kevin Kofler (./6335) :
C'est une faille locale, il faut avoir un compte shell ou avoir déjà exploité une faille d'exécution de code arbitraire pour exploiter cette faille.

Ou tout simplement installer une appli Android sur son smartphone, et bim. Pas grave du tout en effet. Allez, comme c'est vraiment pas grave et qu'il y a pas de quoi en faire "un caca nerveux", le poc pour Android est dispo sur github, 200 lignes à tout casser : https://github.com/timwr/CVE-2016-5195

Enfin bon, à quoi bon s'embêter à trouver des failles logicielles quand un simple bug hardware suffit amplement :
http://arstechnica.com/security/2016/10/using-rowhammer-bitflips-to-root-android-phones-is-now-a-thing/
« An app containing the researchers' rooting exploit requires no user permissions and doesn't rely on any vulnerability in Android to work. Instead, their attack exploits a hardware vulnerability, using a Rowhammer exploit that alters crucial bits of data in a way that completely roots name brand Android devices from LG, Motorola, Samsung, OnePlus, and possibly other manufacturers. »

nitro (./6344) :

Kevin Kofler (./6335) :
C'est une faille locale, il faut avoir un compte shell ou avoir déjà exploité une faille d'exécution de code arbitraire pour exploiter cette faille.

Ou tout simplement installer une appli Android sur son smartphone, et bim. Pas grave du tout en effet. Allez, comme c'est vraiment pas grave et qu'il y a pas de quoi en faire "un caca nerveux", le poc pour Android est dispo sur github, 200 lignes à tout casser : https://github.com/timwr/CVE-2016-5195

Et voilà, une manière de plus d'obtenir le contrôle de son propre téléphone, sur des modèles où les moyens plus conventionnels d'obtenir root ont été désactivés.

Franchement Kevin, tu as déjà pensé à faire de la politique ? Avec une telle maîtrise de la mauvaise foi, tu aurais une carrière fulgurante

Kevin Kofler (./6345) :
Et voilà, une manière de plus d'obtenir le contrôle de son propre téléphone, sur des modèles où les moyens plus conventionnels d'obtenir root ont été désactivés.

J'ai l'impression qu'on vient d'expliquer "une faille dans 99% des serrures de portes permet à n'importe qui d'entrer avec un accessoire facile à fabriquer", et que tu réponds "ah bah tant mieux, c'est pratique quand on a oublié ses clés".

C'est exactement ça.

#magikevin#

nitro (./6344) :
Ou tout simplement installer une appli Android sur son smartphone, et bim. Pas grave du tout en effet. Allez, comme c'est vraiment pas grave et qu'il y a pas de quoi en faire "un caca nerveux", le poc pour Android est dispo sur github, 200 lignes à tout casser : https://github.com/timwr/CVE-2016-5195

Youhou, et avec la facilité des mises à jour d'Android, voici encore un trou de plus dans nos terminaux \o/

Zerosquare (./6348) :
C'est exactement ça.

Oui mais c'est pratique quand tu t'es enfermé dehors par erreur

Il y a toujours moyen de s'en sortir
http://xkcd.com/530/

http://hannahmontana.sourceforge.net/
Euh...

It was at this moment Linus knew, he fucked up.

La chanson... la chansooooon

Lui il sait plus comment faire pour se la faire

Mince alors j'ai 4 Go de swap et 4 Go de RAM sur la tablette qu'on m'a livrée. Comme vous le savez je suis pas le plus économe en RAM qui existe et j'ai déjà eu quelques problèmes fâcheux car des softs arbitraires crashent silencieusement. Aujourd'hui ce sont quelques onglets Chrome alors pas de souci, mais hier c'était notamment l'IME japonais, et il m'était devenu impossible de communiquer avec mes collègues à moins de me déloguer/reloguer.

J'imagine que c'est la marde de redimensionner la swap après coup ?

En ce moment par exemple :

Il est possible de créer un fichier swap (mais il faut utiliser fallocate, parce que le fichier doit être contigu) et de le rajouter au fstab (ou pour tester tout de suite, avec la commande swapon, mais ce n'est pas persistant), il sera utilisé en plus de ta partition swap. Mais il faut évidemment suffisamment de place sur une partition avec un système de fichiers approprié.