Disponibilité de Programmez! #240

Programmez! #240 sera disponible en deux étapes :
A partir du 7 mai : disponibilité du PDF. Envoi de la version papier aux abonnés et disponibilité dans notre boutique en ligne.
27 mai : sortie du numéro dans les kiosques.

Abonnés papier : Nous mettons Programmez! #240 PDF à votre disposition dans votre compte utilisateur sous un onglet dédié en attendant. Pour y accéder, il vous suffit de saisir votre n° d'abonné (ou éventuellement le ressaisir comme pour l'accès aux archives) dans votre compte utilisateur, si ce n'est pas déjà fait. Si vous ne connaissez pas votre numéro d'abonné, vous pouvez l'obtenir à cette page. Si vous ne possédez pas encore de compte utilisateur, il vous suffit d'en créer un.

Badlock : une faille de sécurité critique dans Microsoft SMB et Samba. Le correctif est attendu pour le 12 avril

Par:
fredericmazue

jeu, 24/03/2016 - 15:27

Le terme Badlock ou encore Bug Badlock concerne une faille de sécurité critique qui vient d'être découverte dans Samba et/ou l'implémentation SMB de Microsoft, voire dans le protocole SPB lui-même.

Samba est une implémentation libre du protocole SMB qui permet à des systèmes de type UNIX de partager des fichiers et des imprimantes dans des réseaux Microsoft. De son côté Microsoft implémente le protocole SMB dans Windows.

Une faille critique vient d'être découverte par le développeur Stefan Metzmacher de la Samba Core Team. Aucune information technique précise n'est dévoilée concernant cette faille, afin qu'elle ne puisse être exploitée avant d'être patchée. Mais le site dédié à Badlock (cf. lien ci-dessus) précise que la Samba Core Team et Microsoft travaillent de concert pour résoudre le problème. Ce qui laisse supposer que les deux implémentations sont défectueuses, ou même que le problème se situe dans le protocole SMB lui-même. Le terme Badlock bug tend à faire privilégier cette dernière hypothèse.

Il n'est pas précisé non plus ce que recouvre le terme critique, en ce qui concerne cette faille. Il laisse supposer une exécution de code à distance, ou s'il y a un défaut dans le protocole et à en croire le logo de badlock, peut-être l'accès à des fichiers qui ne sont normalement pas partagés.

Un correctif sera publié le 12 avril, ainsi que les détails techniques concernant Badlock. Tous les administrateurs sont invités à patcher leur système dès la publication du correctif.