Freezone S'inscrire

Freebox Revolution : Plusieurs failles de type CRSF (Cross-Site Request Forgery)

Plusieurs failles de sécurité de type CRSF (ou Cross-Site Request Forgery) ont été découvertes par l’équipe de Distribunet. Les vulnérabilités affectent uniquement la Freebox Revolution (Server). Les failles permettraient à une personne malveillante de redémarrer la Freebox V6 à distance et/ou de rediriger les abonnés vers un site malicieux (sans que ces derniers ne s’en aperçoivent).
 
D’après Distribunet, qui rapporte la faille, c’est le script : « http://mafreebox.free.fr/system.cgi » de la Freebox Révolution qui est en cause. Ce script ne serait pas protégé contre les attaques de type CRSF.
 
Free est au courant de ce problème et les failles sont en cours de correction.
Publié le par
Partager sur Google + Partager sur Twitter Partager sur Facebook Alertes mail Partager
precedent Blocage des pubs par Free : Des (...)
Des bugs sur le serveur Freebox (...) suivant
COMMENTAIRES DES LECTEURS (34)
Afficher les 19 premiers commentaires...
Avatar du membre
Bébért
Posté le 04 janvier 2013 à 14h30 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter

>c'est donc DNet qui a une attitude dangereuse

> la faille n'est pas aussi dangereuse qu'il n'y parait, on peux juste rebooter la freebox, changer le timeout ou faire des redirections, rien de bien méchant...


=> "LOL"...

Avatar du membre
snama
Posté le 04 janvier 2013 à 14h34 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter

faut être bête de publier ce genre de news pour faire de l'audience !!
pour info ce souci existe depuis le début de la freebox revolution....rien à voir avec la maj....
tssss 

Avatar du membre
mlm
Envoyer message
 
208 points
Posté le 04 janvier 2013 à 14h39 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
Bébért a écrit
>c'est donc DNet qui a une attitude dangereuse > la faille n'est pas aussi dangereuse qu'il n'y parait, on peux juste rebooter la freebox, changer le timeout ou faire des redirections, rien de bien méchant... => "LOL"...

OH MON DIEU ! MA FREEBOX A ÉTÉ REDÉMARRÉ ! ON VA TOUS MOURIR !!!

... nan, je vous toujours pas le problème über-dangereux.

Avatar du membre
squalevar
Envoyer message
 
102 points
Posté le 04 janvier 2013 à 14h49 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

Des failles il y en aura toujours,que ce soit Windows,Android,Linux et autres................Alors pourquoi ces comportements????

Avatar du membre
xterminator
Envoyer message
 
8008 points
Posté le 04 janvier 2013 à 14h49 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
Bébért a écrit
>c'est donc DNet qui a une attitude dangereuse > la faille n'est pas aussi dangereuse qu'il n'y parait, on peux juste rebooter la freebox, changer le timeout ou faire des redirections, rien de bien méchant... => "LOL"...

Sauf si cette redirection amène vers des sites frauduleux... 

Avatar du membre
gdnico
Envoyer message
 
3598 points
Posté le 04 janvier 2013 à 14h50 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
mlm a écrit
Bébért a écrit Donc selon vous, la prochaine fois qu'un type trouve une faille il vaudra mieux qu'il l'exploite plutôt que la signaler ? C'est intéressant (stupide, mais intéressant) comme principe. aussi stupide que ton message... DistribuNet aurai pu simplement signaler la faille a free sans pour autant la révéler au public, PUIS publié les détails de la faille une fois celle-ci corrigée... de plus (pour les autres): 1) UF n'a pas publié la méthode complète, contrairement a distribunet... c'est donc DNet qui a une attitude dangereuse 2) la faille n'est pas aussi dangereuse qu'il n'y parait, on peux juste rebooter la freebox, changer le timeout ou faire des redirections, rien de bien méchant...

2) effectivement si tu penses etre sur le site de ta banque et qu'en réalité tu es sur un site pirate qui recupere tes identifiants, ce n'est pas dangereux....

Avatar du membre
Bébért
Posté le 04 janvier 2013 à 14h50 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter

nan, je vous toujours pas le problème über-dangereux.

J'ai jamais dis ça, bien a contraire.
Ce qui me fait bien rire c'est  l'attitude "dangeureuse de la mort qui tue" de quelqu'un qui signale une faille, pour un problème qui n'est pas dangeureux : Bouuhhh le vilain ! Qu'on le fouette vite ! 

Donc je maintiens mon avis : pour moi il a bien fait de signaler la faille. Et plus ça sera public, plus vite ça sera patché.
Je veux bien savoir comment on signale à Free une faille autrement qu'en en faisant parler les gens sur le web. Via le service client ? Ou pas... 

Avatar du membre
xterminator
Envoyer message
 
8008 points
Posté le 04 janvier 2013 à 14h54 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
Bébért a écrit
>c'est donc DNet qui a une attitude dangereuse > la faille n'est pas aussi dangereuse qu'il n'y parait, on peux juste rebooter la freebox, changer le timeout ou faire des redirections, rien de bien méchant... => "LOL"...

Genre une copie de la page d’accueil de la Freebox révolution, tu tape ton mot de passe sur celui-ci, et là ton code lui est dévoilé... il pourra faire plus que redémarrer ta freebox... 

[/troll on] de toute façon vu que depuis la MAJ 1.1.9 l'accés à distance est coupé on risque pas grand chose Sourire [/troll off] 

Avatar du membre
ARMAGEDDON
Envoyer message
 
2536 points
Posté le 04 janvier 2013 à 14h57 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

Pas de panique, à priori aucun risque majeur. Free va y remédier 

Avatar du membre
ricardo24
Envoyer message
 
2030 points
Posté le 04 janvier 2013 à 15h17 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

Le mieux eut été de ne pas se faire l'écho de cette faille car le temps qu'elle soit éliminée, il y en a déjà pas mal qui essaie de s'en servir.

Il y a des choses qu'il est préférable de taire.

Il est bien assez temps, une fois les dangers écartés, d'en faire l'annonce.

Avatar du membre
FreeStyle
Posté le 04 janvier 2013 à 15h54 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter
Antoine a écrit
Ils vont donc faire un upgrade en vitesse, et je parie que la bêta de blocage de pub passera en opt-out...

Svp, arrêtez de reprendre des termes/phrases sans essayer de comprendre leur signification. 

Opt-out => accord tacite. Si vous ne voulez pas souscrire au service, vous devez en faire la démarche. Eg la checkbox d'abonnement a une newsletter cochée par défault).

A contrario, Opt-In => Si vous voulez souscrire au service, vous devez en faire la démarche, eg cocher la checkbox "J'ai lu et accepte le contrat".

Je pense donc que Mme Pellerin a fait une boulette dans son tweet et qu'elle voulait plutôt dire qu'elle était favorable à au blocage de pub en Opt-In...

Avatar du membre
petrus55
Envoyer message
 
7906 points
Posté le 04 janvier 2013 à 16h12 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

je pense que free va devenir la cible pour certaine société qui vende de la pub 

Avatar du membre
mlm
Envoyer message
 
208 points
Posté le 04 janvier 2013 à 16h19 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
xterminator a écrit
Sauf si cette redirection amène vers des sites frauduleux... 

pour utiliser cette faille, il faudrait que le site l'utilise. Si un site utilise, c'est qu'il est pas clair a la base... Et pourquoi se faire ch*** a utiliser une faille qui ne marche que sur les freebox v6 quand une redirection normale fonctionne avec TOUT les navigateurs de TOUT les FAI du monde?

Bébért a écrit
> nan, je vous toujours pas le problème über-dangereux. J'ai jamais dis ça, bien a contraire.Ce qui me fait bien rire c'est  l'attitude "dangeureuse de la mort qui tue" de quelqu'un qui signale une faille, pour un problème qui n'est pas dangeureux : Bouuhhh le vilain ! Qu'on le fouette vite !  Donc je maintiens mon avis : pour moi il a bien fait de signaler la faille. Et plus ça sera public, plus vite ça sera patché.Je veux bien savoir comment on signale à Free une faille autrement qu'en en faisant parler les gens sur le web. Via le service client ? Ou pas... 

Ah, désolé, j'avais pas compris comme ça ^_^;

gdnico a écrit
2) effectivement si tu penses etre sur le site de ta banque et qu'en réalité tu es sur un site pirate qui recupere tes identifiants, ce n'est pas dangereux....

si les gens ne savent pas lire la barre d'adresse...

Avatar du membre
testme
Posté le 05 janvier 2013 à 10h39 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter

Une faille qui nécessite tout de même d'être identifié sur la console, alors pas de quoi à fouetter un ti'chat ;-)

Avatar du membre
reno69
Envoyer message
 
21748 points
Posté le 08 janvier 2013 à 17h16 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
ErWaN a écrit
Bébért a écrit Donc selon vous, la prochaine fois qu'un type trouve une faille il vaudra mieux qu'il l'exploite plutôt que la signaler ? C'est intéressant (stupide, mais intéressant) comme principe.
Complètement d'accord, c'est quand même normal de prévenir les abonnés.

  Bonjour, tout à fait d'accord avec vous deux les gens doivent êtes prévenus des risques afin de pouvoir s'en protéger si c'est possible (ici se dé-logger) et cela oblige aussi si il y a des risques potentiels à l'opérateur de mettre tout en œuvre rapidement pour corriger la faille plus rapidement (connue).

reno69.

RUBRIQUE COMMENTAIRE
Bonjour, avant de poster, veuillez vous assurer d'avoir pris connaissance des règles.

X

Quatre consignes avant de réagir :

  • Rester dans le cadre de l'article. Pour des discussions plus générales, vous pouvez utiliser nos forums.
  • Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
  • Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
  • Pour toute remarque concernant une faute dans l'article, merci de nous contacter exclusivement par le formulaire "signaler une erreur" lors de la sélection du texte de l'article (les commentaires portants sur ce sujet seront systématiquement supprimés).

Vous devez créer un compte Freezone et être connecté afin de pouvoir poster un commentaire.

DANS VOS REGIONS
Si vous attendiez une évolution de la boutique Free Mobile, ce serait :
Image vide
Le mois de mai en approche, Amazon Prime Video dévoile (...)
Chaque mois, Amazon Prime Video enrichit son catalogue avec l’ajout de nouvelles séries (...)
Découvrez les nouveautés films et séries qui arrivent sur (...)
Tous les mois Netflix enrichit son catalogue avec de nouveaux films, séries et (...)
Amazon Prime Vidéo dévoile sa programmation du mois (...)
Chaque mois, Amazon Prime Video enrichit son catalogue avec l’ajout de nouvelles séries (...)
10/12 Bug version française
10/12 freebox ultra 10gbits/s bridé a 1,5gbits/s
10/12 (suggestion) Ajout rubrique signalement arnaques.
09/12 PORTABILITE ENTRANTE AUCUNE NOUVELLE
09/12 Problème de messagerie qd appareil eteint ou mode avion
09/12 freebox POP avis technique
08/12 Le Replay et Pause/Live ne fonctionne que rarement
08/12 Suivi des incidents impossibles
Top 3 des suggestions
Virer les points et le mécanisme de vote
impossibilité de réponse des nouveaux inscrits sur forum
Permettre l'édition des messages
Proposer une correction ou une évolution
Les 3 dernières suggestions
Faire respecter les règles pour les commentaires
Modération des commentaires
Arreter les commentaires d'articles "anonymes"
Proposer une correction ou une évolution
Logo réseau mobile Carte des antennes Free Mobile
Logo réseau mobile Carte des débits Free Mobile
Logo de record sur le réseau mobile Records des débits Free Mobile
Accéder au site de notre partenaire RNC Mobile
Communiquer
Qui sommes nous ?
Contactez nous
Envoyer une info
Restez informés
Statistiques
Mentions légales
Annonceurs
Sitemap
Gestion de la confidentialité (RGPD)
Freebox TV
Panorama TV
FreePlayer
Multiposte
Les dossiers
Dossier spécial Jeux
Disque dur externe
Le multiposte
Tous les dossiers
Freebox pratique
Glossaire Tutoriels Assistance Free : ATP Les Free Center
Liens
Actualité TV Communauté Free Actualité télécoms
Nos partenaires
DegroupNews
Ariase
NetVibes
ZAP télé
RNC Mobile
Copyright © 2005-2018 - Univers Freebox - Tous droits réservés.
UniversFreebox.com, premier site communautaire autour de Free, n'a aucun lien avec les sociétés du Groupe Iliad / Free.