- État Nouveau
- Pourcentage achevé
- Type Évolution
- Catégorie Services locaux → VM
- Assignée à Personne
- Système d'exploitation Freebox Server V7 (Delta)
- Sévérité Très basse
- Priorité Très Basse
- Basée sur la version 4.5.2
- Due pour la version Non décidée
-
Échéance
Non décidée
-
Votes
2
- vincent77 (02/11/2021)
- mathioubzh (02/11/2021)
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par mathioubzh - 02/11/2021
Ouverte par mathioubzh - 02/11/2021
FS#35894 - Mise à jour Qemu
QEMU 4.1 actuellement sur la Delta.
QEMU 6.1.0 https://wiki.qemu.org/ChangeLog/6.1
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Il faut un peu plus de détails pour convaincre les devFree d'upgrader QEMU ou leur faire peur en montrant les CVE
Un CVE qui forcerait a changé comme celle-là qui peut une Delta en bot DDos par exemple
[[https://www.cvedetails.com/cwe-details/401/cwe.html|Ou celle-là] Il me semble avoir vue ce problème sur le bugtracker
Merci Marc,
Effectivement pas mal de correctifs importants.
Espérons que cela ne soit pas aussi long que pour samba ou nous avons trainés des failles connus et dangereuse longtemps.
Demandé sans succès ici :
- https://dev.freebox.fr/bugs/task/22518
Puis ici :
- https://dev.freebox.fr/bugs/task/34522
Dire :
- "il faut passer sur la version XXX.0", parce qu'elle existe,
- quelques semaines plus tard : "il faut absolument passer en XXX.1", juste parce qu'elle vient de sortir,
- puis … n'a pas vraiment de sens, non ?
Essayer de "forcer" la mise en place d'une mise à jour n'a effectivement pas d'intérêt, sauf si cette mise à jour apporte réellement quelque chose, en matière de fonctionnalités utilisées/utilisables, ou en matière de sécurité.
@mathioubzh tu as une liste des correctifs importants ?
J'ai regardé le changelog du 6.1, mais je ne vois rien qui concerne l'utilisation qui peut être faite sur la freebox
@docmarc, Très bonne idée d'apporter des détails, et de préciser les points d'attention !
Par contre, les 2 CVE que tu remontes ne semblent pas avoir une gravité élevée ?
CVE-2019-20382 : score 2.7/10
CVE-2019-20808 : score 2.1/10
D'ailleurs, pour ma culture, quand on lit ces 2 CVE, ça veut dire
- que le problème ne touche que la 4.1.0 (et aucune autre version ?)
- si Free avait installé la 4.1.1 ça résoudrait ces problèmes mineurs ?
@rr (rr)
Comme il y a pas possibilité de tri en fonction de la version il faut regarder TOUTES les notes. Et j’ai mis les deux plus « parlantes »
Il y en a quand même une qui pourrait transformer la Delta en Bot DDOS si quelqu’un en avait l'idée
Mais il faut concéder que pirater la Delta via Qemu, il faut en vouloir, et une sacrée chance.
Cars il faudrait que le logiciel pirate soit exécuté naïvement par quelqu’un qui a Qemu dans une certaine configurations.
Les box on peut de chance de se faire hacker, et que si je devais en hacker une j’utiliserai pas Qemu, il y a d’autres programmes, et accès plus simple à hacker.
On aura plus de chance pour faire upgrader Qemu sur delta, si on trouve un bug récurent qui empêche le bon fonctionnement de Qemu. Comme la CVE-2019-20382 qui ne rend pas la mémoire et peut provoquer un Stack overflow
moi ce j'en dis ! j'ai pas de delta en même temps
Vu la fâcheuse manie qu'ils ont d'amener des bugs en corrigeant d'autres, j'aimerais assez qu'ils évitent de mettre à jour l'hyperviseur en flinguant les VMs existantes parce qu'ils ont pas fait gaffe à un truc.
Une simple remontée des info disque du raid (températures, etc.) qu'ils ont flinguée à l'occasion d'une mise à jour éloignée, ils n'ont tjrs pas été capable de la réparer.