Badlock : une faille qui touche le partage de fichiers SMB sous Windows et Linux


L’équipe en charge du projet Samba travaille main dans la main avec les équipes des Microsoft pour corriger cette faille qualifiée de critique. Les patchs devraient être disponibles le 12 avril prochain, c'est-à-dire pour le désormais classique Patch Tuesday mensuel de Microsoft.

Détails révélés le 12 avril

Les détails exacts de cette vulnérabilité – baptisée Badlock - ne sont pas connus. Ils ne devraient être révélés que le 12 avril, soit le même jour que la publication des correctifs. Il faudra donc se dépêcher de les appliquer, car il faudra s'attendre à ce que des exploits fassent rapidement leur apparition une fois les détails connus.

Si cette faille est réellement critique, et selon sa portée réelle, cela pourrait poser quelques problèmes aux personnes qui utilisent toujours d’anciennes versions de Windows, non maintenues par Microsoft. Le protocole SMB est en effet présent dans Windows depuis des dizaines d’années, parfois sous d’autres noms (CIFS).

Posez une question dans la catégorie Les news : vos réactions du forum
Cette page n'accepte plus de commentaires
13 commentaires
    Votre commentaire
  • 502412 said:
    Les détails exacts de cette vulnérabilité – baptisée Badlock - ne sont pas connus. Ils ne devraient être révélés que le 12 avril, soit le même jour que la publication des correctifs.

    Je me demande juste :

    en dehors de satisfaire l'ego de ceux qui ont découvert la faille, quelle nécessité y a-t-il à la publier ?

    :sarcastic:
    2
  • 306563 said:
    502412 said:
    Les détails exacts de cette vulnérabilité – baptisée Badlock - ne sont pas connus. Ils ne devraient être révélés que le 12 avril, soit le même jour que la publication des correctifs.
    Je me demande juste : en dehors de satisfaire l'ego de ceux qui ont découvert la faille, quelle nécessité y a-t-il à la publier ? :sarcastic:


    C'est un débat vieux comme le monde chez les experts de la sécurité. Faut-il dévoiler publiquement les failles ? Quand le faire ? Si l'éditeur ne réagi pas, a quel moment devient-il normal de révéler la faille ?

    Personnellement je ne suis pas pour cacher.
    Un système n'est pas sécurisé par ce qu'on n'en comprends pas l'ensemble des fonctionnement, mais au contraire lorsqu'il est parfaitement décrit. Que tout le monde est en mesure de critiquer les mécanismes. Seul les clefs sont à garder secrètes.

    Alors on me répondra : ça encourage à l'obsolescence programmée. Parfois on a besoin de garder un vieux système qui marche bien.

    Ma réponse : L'obsolescence programmée pour le logiciel n'est pas vraiment réelle. Même si les couts de licence sont parfois un problème. En général, c'est une mauvaise intégration du cycle de vie d'un produit logiciel qui crée les frustrations. Un éditeur n'a pas à assurer le suivi de ses anciennes versions sur des décennies.

    Parfois, ça marche, on a pas besoin de mieux, on voudrait laisser tourner dans un coin.
    OK, mais dans ce cas, on coupe tout les accès réseau. Si on se branche au réseau, on se tient à jour. Sinon c'est irresponsable.
    0
  • Les éditeurs ne font pas les maj au bout d'un certain temps et c'est déjà une réalité. Pourtant on a payé le produit et on pourrait dire que le produit avait des failles dès l'origine. Donc les MAJ des éditeurs ne sont pas une fleur mais seulement une correction d'erreurs existant dès l'origine du produit.
    On peut dire qu'il y aura toujours des failles mais cela c'est peut-être parce que les programmeurs sont mauvais.
    Si on admettait que les éditeurs n'ont pas de responsabilité, c'est donner le droit de vendre des produits avec des vices cachés.
    Mais on serait content dans le cas de logiciel tiers de savoir combien de temps le suivi sera effectué.
    Quand à Windows, son métier est de vendre des OS avec peu de concurrence, donc il est juge et partie.

    Exemple : il est connu que l'OS d'Apple est moins troué et que Android a été très mal codé, et Windows fournit en MAJ plusieurs fois le poids de l'OS de départ. Donc on a bien une échelle dans la qualité des logiciels. Donc les éditeurs doivent faire ce qu'il faut pour corriger LEURS propres erreurs.
    0