Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

Il faut un peu plus de détails pour convaincre les devFree d'upgrader QEMU ou leur faire peur en montrant les CVE

Un CVE qui forcerait a changé comme celle-là qui peut une Delta en bot DDos par exemple

In QEMU 4.1.0, an out-of-bounds read flaw was found in the ATI VGA implementation. It occurs in the ati_cursor_define() routine while handling MMIO write operations through the ati_mm_write() callback.
A malicious guest could abuse this flaw to crash the QEMU process, resulting in a denial of service. 

[[https://www.cvedetails.com/cwe-details/401/cwe.html|Ou celle-là] Il me semble avoir vue ce problème sur le bugtracker

QEMU 4.1.0 has a memory leak in zrle_compress_data in ui/vnc-enc-zrle.c during a VNC disconnect operation because libz is misused, resulting in a situation where memory allocated in deflateInit2 is not freed in deflateEnd. 

Merci Marc,
Effectivement pas mal de correctifs importants.
Espérons que cela ne soit pas aussi long que pour samba ou nous avons trainés des failles connus et dangereuse longtemps.

Demandé sans succès ici :
- https://dev.freebox.fr/bugs/task/22518

Puis ici :
- https://dev.freebox.fr/bugs/task/34522

Dire :
- "il faut passer sur la version XXX.0", parce qu'elle existe,
- quelques semaines plus tard : "il faut absolument passer en XXX.1", juste parce qu'elle vient de sortir,
- puis … n'a pas vraiment de sens, non ?
Essayer de "forcer" la mise en place d'une mise à jour n'a effectivement pas d'intérêt, sauf si cette mise à jour apporte réellement quelque chose, en matière de fonctionnalités utilisées/utilisables, ou en matière de sécurité.

Effectivement pas mal de correctifs importants

@mathioubzh tu as une liste des correctifs importants ?
J'ai regardé le changelog du 6.1, mais je ne vois rien qui concerne l'utilisation qui peut être faite sur la freebox

@docmarc, Très bonne idée d'apporter des détails, et de préciser les points d'attention !
Par contre, les 2 CVE que tu remontes ne semblent pas avoir une gravité élevée ?
CVE-2019-20382 : score 2.7/10
CVE-2019-20808 : score 2.1/10

D'ailleurs, pour ma culture, quand on lit ces 2 CVE, ça veut dire
- que le problème ne touche que la 4.1.0 (et aucune autre version ?)
- si Free avait installé la 4.1.1 ça résoudrait ces problèmes mineurs ?

@rr (rr)

Comme il y a pas possibilité de tri en fonction de la version il faut regarder TOUTES les notes. Et j’ai mis les deux plus « parlantes »

Il y en a quand même une qui pourrait transformer la Delta en Bot DDOS si quelqu’un en avait l'idée

Mais il faut concéder que pirater la Delta via Qemu, il faut en vouloir, et une sacrée chance.
Cars il faudrait que le logiciel pirate soit exécuté naïvement par quelqu’un qui a Qemu dans une certaine configurations.

Les box on peut de chance de se faire hacker, et que si je devais en hacker une j’utiliserai pas Qemu, il y a d’autres programmes, et accès plus simple à hacker.

On aura plus de chance pour faire upgrader Qemu sur delta, si on trouve un bug récurent qui empêche le bon fonctionnement de Qemu. Comme la CVE-2019-20382 qui ne rend pas la mémoire et peut provoquer un Stack overflow

moi ce j'en dis ! j'ai pas de delta en même temps

Vu la fâcheuse manie qu'ils ont d'amener des bugs en corrigeant d'autres, j'aimerais assez qu'ils évitent de mettre à jour l'hyperviseur en flinguant les VMs existantes parce qu'ils ont pas fait gaffe à un truc.

Une simple remontée des info disque du raid (températures, etc.) qu'ils ont flinguée à l'occasion d'une mise à jour éloignée, ils n'ont tjrs pas été capable de la réparer.