Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe protéger mes données et mon accès internet

vulnérabilité CVE-2017-14491

chris05
fan
fan
664  

Re: vulnérabilité CVE-2017-14491

Bonsoir,

un message à tous ceux qui ont détourné le sujet de la résolution d'une (réelle) faille vers un dénigrement (sans faille pour le coup ) à destination d'avast , sachez qu'avec la mise à jour du firmware (au moins pour les lb play) en décembre dernier SG30_sip-fr-6.52.12.1 , la menace (faible , il faut le rappeler) est enfin traitée .

Un rappel officiel (à moins que certains trouvent à redire d'un site du gouvernement):

https://www.cyberveille-sante.gouv.fr/cyberveille/224-plusieurs-vulnerabilites-critiques-dans-dnsmas...

La menace pouvait venir de la version obsolète (<2.78) de dnsmasq embarquée dans nos box.

En effet , jusqu'à la mise à jour du firmware , la version était v2.55 d'où l'avertissement de l'analyse réseau avast.

On rappelera aussi que si l'on n'était pas convaincu de ces avertissements , on pouvait au moins connaitre la version embarquée dans nos box et nulle part ailleurs - comme l'ont avancé certains - par simple invite de commande sans le moindre doute du serveur dans lequel on cherche (192.168.1.1 pour nos box) : "nslookup -type=txt -class=chaos version.bind 192.168.1.1".

Cette même commande donne aujourd'hui sur une box mise à jour : "dnsmasq-2.78"

Donc merci aux dev orange d'avoir eu en considération cette potentielle menace , même 15 mois après la découverte et même sans l'inscrire clairement dans la note de la dernière version.

Conséquence : l'analyse réseau avast se déroule maintenant sans cri.

Merci donc aux critiqueurs proffessionnels de déverser leur doléances avast sur un autre sujet que celui-ci qui n'a rien de mensonger (il faut bien un peu rêver).

Avast est peut être loin d'être parfait , j'en conviens et je sais de quoi je parle , mais ce n'est pas une raison de lui donner tous les maux du monde non plus.

tibo2978
contributeur
618  

Re: vulnérabilité CVE-2017-14491

Bonne année,

 


 

pour les livebox 4 ce n'est pas réglé (ou peut-être est-ce juste sur certains modèles) car j'ai toujours le souci même après avoir redémarré la box.

"nslookup -type=txt -class=chaos version.bind 192.168.1.1" me donne "dnsmasq-2.55"

 

Cordialement

chris05
fan
fan
604  

Re: vulnérabilité CVE-2017-14491

Bonsoir @tibo2978

si je ne me trompe pas , la dernière mise à jour des LB4 date de mai 2018.

Je pense qu'il est donc normal que rien ne change au niveau de la version du logiciel dnsmasq embarqué.

Puisque le logiciel a été mis à jour sur les lb3 par le biais de la récente mise à jour du firmware , je pense qu'il va faloir attendre la prochaine session de mises à jour.

S'il n'y a pas eu de mise à jour d'urgence , c'est aussi peut être que le risque est infime , la découverte de la faille datant déjà de plus de 15 mois , possible qu'ils profiteront juste d'une mise à jour plus importante pour modifier.

En mai dernier , ils n'avaient sans doutes pas eu beaucoup d'appels clients pour signaler la faille .

C'est - je pense - l'avertissement avast (fin février) qui a fait qu'orange se pose dessus voyant la multitude d'appels de clients inquiets.

chris05
fan
fan
536  

Re: vulnérabilité CVE-2017-14491

bonjour @tibo2978

il semblerai que la mise à jour récente des LB4 en v3.41.12 traite elle aussi la faille.

Vous avez une question ?

Interrogez la communauté

Déjà 753000 membres inscrits 🧡

3121 personnes actuellement en ligne

Tous les membres en ligne