- Communauté Orange
- ➔
- internet & fixe
- ➔
- securité
- ➔
- vulnérabilité CVE-2017-14491
Vous avez une question ?
Interrogez la communautévulnérabilité CVE-2017-14491
- S'abonner au fil RSS
- Marquer le sujet comme nouveau
- Marquer le sujet comme lu
- Placer ce Sujet en tête de liste pour l'utilisateur actuel
- Marquer
- S'abonner
- Page imprimable
- « Précédent
- Suivant »
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: vulnérabilité CVE-2017-14491
Bonsoir,
un message à tous ceux qui ont détourné le sujet de la résolution d'une (réelle) faille vers un dénigrement (sans faille pour le coup ) à destination d'avast , sachez qu'avec la mise à jour du firmware (au moins pour les lb play) en décembre dernier SG30_sip-fr-6.52.12.1 , la menace (faible , il faut le rappeler) est enfin traitée .
Un rappel officiel (à moins que certains trouvent à redire d'un site du gouvernement):
La menace pouvait venir de la version obsolète (<2.78) de dnsmasq embarquée dans nos box.
En effet , jusqu'à la mise à jour du firmware , la version était v2.55 d'où l'avertissement de l'analyse réseau avast.
On rappelera aussi que si l'on n'était pas convaincu de ces avertissements , on pouvait au moins connaitre la version embarquée dans nos box et nulle part ailleurs - comme l'ont avancé certains - par simple invite de commande sans le moindre doute du serveur dans lequel on cherche (192.168.1.1 pour nos box) : "nslookup -type=txt -class=chaos version.bind 192.168.1.1".
Cette même commande donne aujourd'hui sur une box mise à jour : "dnsmasq-2.78"
Donc merci aux dev orange d'avoir eu en considération cette potentielle menace , même 15 mois après la découverte et même sans l'inscrire clairement dans la note de la dernière version.
Conséquence : l'analyse réseau avast se déroule maintenant sans cri.
Merci donc aux critiqueurs proffessionnels de déverser leur doléances avast sur un autre sujet que celui-ci qui n'a rien de mensonger (il faut bien un peu rêver).
Avast est peut être loin d'être parfait , j'en conviens et je sais de quoi je parle , mais ce n'est pas une raison de lui donner tous les maux du monde non plus.
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: vulnérabilité CVE-2017-14491
Bonne année,
pour les livebox 4 ce n'est pas réglé (ou peut-être est-ce juste sur certains modèles) car j'ai toujours le souci même après avoir redémarré la box.
"nslookup -type=txt -class=chaos version.bind 192.168.1.1" me donne "dnsmasq-2.55"
Cordialement
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: vulnérabilité CVE-2017-14491
Bonsoir @tibo2978
si je ne me trompe pas , la dernière mise à jour des LB4 date de mai 2018.
Je pense qu'il est donc normal que rien ne change au niveau de la version du logiciel dnsmasq embarqué.
Puisque le logiciel a été mis à jour sur les lb3 par le biais de la récente mise à jour du firmware , je pense qu'il va faloir attendre la prochaine session de mises à jour.
S'il n'y a pas eu de mise à jour d'urgence , c'est aussi peut être que le risque est infime , la découverte de la faille datant déjà de plus de 15 mois , possible qu'ils profiteront juste d'une mise à jour plus importante pour modifier.
En mai dernier , ils n'avaient sans doutes pas eu beaucoup d'appels clients pour signaler la faille .
C'est - je pense - l'avertissement avast (fin février) qui a fait qu'orange se pose dessus voyant la multitude d'appels de clients inquiets.
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: vulnérabilité CVE-2017-14491
bonjour @tibo2978
il semblerai que la mise à jour récente des LB4 en v3.41.12 traite elle aussi la faille.
- « Précédent
- Suivant »