faille NTP sur Lion : quels risques ?

[loic8]

Bonjour à tous,

Alors voila, comme je suis bloqué sur mon macbook de 2007 sous lion (il m est impossible de l upgrader) et que cette dernière faille n a pas été corrigé vu que support de lion n existe plus, pensez-vous que je m expose a de serieux risque de piratage (j ai une utilisation de cette machine tout a fait basique sur le web (Facebook, ebay...)? Je n aurais donc plus qu'a me séparer de ce mac qui marche très bien ? Merci de vos réactions.

 

[lamainfroide]

Bonjour,

Penserais-tu être en sécurité si tu n'avais jamais entendu parlé de cette faille ?

Tu risques autant qu'avant, à part que maintenant tu connais l'existence de cette faille (qui ne touche pas que les utilisateurs Mac, dirait-on).

Pour ma part, je vais rester sous Lion (même si, pour le coup, j'ai la possibilité d'upgrader la machine).
Pour qui le veux vraiment, que je le veuille ou non, mon ordi reste une passoire.
Et le tien aussi, d'ailleurs.

 

[bompi]

Je n'ai pas de Mac sous la main pour vérifier mais je pense que tu peux tenter deux pistes :
a) essayer de remplacer le service ntpd et les clients associés par son équivalent Open Source (disons en provenance de Linux ou FreeBSD) correctement patché ;
b) regarder du côté des sources de Darwin, le système UNIX sur lequel s'appuie OS X, pour voir si tu ne peux pas récupérer ntpd et le patcher toi-même.

Pour Shellshock, c'est ce que j'ai fait pour patcher des Macs sous Snow Leopard.

 

[lamainfroide]

Merci bompi, mais on commence à approcher une manipulation qui n'est pas donnée au commun des mortels là, non ?

 

[subsole]

Merci bompi, mais on commence à approcher une manipulation qui n'est pas donnée au commun des mortels là, non ?

A ta place j'installerais ML

 

[bompi]

Oui, je m'enflamme... :rateau:

Ce n'est pas nécessairement compliqué mais il est clair qu'à la moindre anicroche, il faut ouvrir un fichier Makefile ou un source .c et c'est tout de suite moins trivial.

Cela étant, il y aura peut-être une bonne âme pour poster le patch.

[[Personnellement, pour Shellshock, ce qui m'a retenu est que j'ai la flemme de faire des paquetages .pkg.]]

 

[lamainfroide]

Oui, je m'enflamme... :rateau:

Cela étant, il y aura peut-être une bonne âme pour poster le patch.

Sait-on jamais.

A ta place j'installerais ML

Pas bête,
Mais,
J'ai pas envie.

Non, et puis t'as vu la tronche du félin ?
On dirait un gros chat avec de l'eye-liner.
Il est un peu plus couillu le Lion quand même.
Et c'est quoi ce nom ?
Lion des montagnes ?
T'es sérieux ?
Attention, j'ai jamais dit que j'avais des vraies bonnes raisons pour ne pas l'installer.

Je vais rester avec la faille.
Ça sera ma faille de San Andreas à moi.

 

[bompi]

Je viens de regarder les sources d'Apple et elles n'ont pas encore été mises à jour (pour les trois systèmes patchés). Une fois ces sources publiées (ou le patch aussi bien), on pourra s'amuser à voir ce qu'il faut faire pour Lion.

 

[lamainfroide]

Tu as toute mon estime.

 

[loic8]

C'est sur que ça serait génial de le patcher...

 

[Sly54]

Note de la modération: du coup, il semble que la question posée n'a qu'un lointain rapport avec les portables Mac, je déplace dans le forum adéquat.

 

[loic8]

Encore une chose, pensez-vous qu'en désactivant la mise a jour automatique de l'heure dans les paramètres, le service ntp serait donc desactivé et donc plus d'exposition a cette faille ? Merci a vous tous

 

[Anonyme]

Pour la faille shellshock, il fut assez facile de trouver des mini-programmes sur le ouaibe .
Mais de VERIFIER ce qu'ils font papier /crayon avant de les lancer dans le terminal.
Celui que j'ai trouvé ne fait que 4 ou 5 lignes . Il est déduit de l'officiel pour mountain je crois ?
C'est le monde merveilleux du logiciel dit libre, des développeurs de toutes sortes. Demande un minimum de connaissances et de jugeote/
Le vrai risque est faible par rapport aux intrusions "normales " .via internet ou faux sites, etc .
Je parle pour les utilisateurs lambda, pas les pro bien sur .

 

[bompi]

Le patch en lui-même a vraiment l'air simplissime (c'est toujours rigolo de voir redéfinir MIN(a,b)... ah ! le C).

 

[lamainfroide]

Tu m'étonnes que ça a l'air simplissime.
J'en ai encore la nausée.
Décidément, ces choses là m'échappent.

 

[bompi]

Si tu n'as jamais développé, c'est bien normal que cela ne te parle pas.
Mais pour qui connaît un peu le langage C, ce n'est pas trop compliqué. :zen:

 

[lamainfroide]

Si tu n'as jamais développé, c'est bien normal que cela ne te parle pas.
Mais pour qui connaît un peu le langage C, ce n'est pas trop compliqué. :zen:

C'est tout juste si je connais le français.

 

[Membre supprimé 1060554]

Tandis que l'hydre Scylla bompi menace de déchiqueter à belles dents la candeur de plusieurs voyageurs de ce passage voici que l'abysse Charybde macomaniac vient ouvrir en regard une perspective de noyade :

...comme je suis bloqué sur mon macbook de 2007 sous lion (il m est impossible de l upgrader)...

Nenni! mon cher, car un mirifique logiciel intitulé : «MLPOSTFACTOR 3.0» propose rien moins que l'installation rétro-grade de «Mountain Lion 10.8» sur de vieux Macs Intel normalement limités à «Lion 10.7.5» --> si tu ne crains pas de te perdre dans les méandres tortueux de la prose du signataire de ces lignes, tu peux lire le mode d'emploi de cette installation au message #2 de ce fil : ☞Problème avec MLPOSTFACTOR☜.

À l'issue de cette intervention, mon vieux MacBook blanc Early_2008, inéligible normalement à un OS supérieur à «Lion 10.7.5», supporte actellement le double boot : «Léopard 10.5.8» sur une partition du HDD vs «Mountain Lion 10.8.5» sur une autre.

Méfie-toi, Loïc, nonobstant si cette perspective t'agréait car :​

Qui legitis flores et humi nascentia fraga,
Frigidus, o pueri, fugite hinc, latet anguis in herba

(Vous qui cherchez des fleurs et les premières fraises,
Fuyez, enfants : dans l'herbe un froid serpent se cache.

Virgile, Buc. III - trad. Paul Valéry)​

​

 

[Romuald]

Le patch en lui-même a vraiment l'air simplissime (c'est toujours rigolo de voir redéfinir MIN(a,b)... ah ! le C).

P'tain, plus de 30 ans que je fais de l'informatique, et plus de la moitié des problèmes viennent des programmeurs qui ne savent pas gérer les tailles des données. Où je t'écrase la donnée d'à côté ou je vais me balader dans une zone mémoire qu'elle est pas à moi...

 

[bompi]

Bin oui. Le C est bien mais demande de la rigueur. Surtout il faut d'une manière générale s'intéresser aux données et aux variables (champs de valeurs, limites, initialisation : ce genre de choses) et à la conservation de l'information. Mais en général, on n'y prête guère attention (ou on n'a pas le temps, ce qui revient au même).
[J'avais plutôt tendance à faire dans ceinture, bretelles et ceinture de secours, pour ma part...]

Heureusement que l'on ne travaille pas dans le BTP comme en informatique : on serait en danger sur le moindre pont !