admin, unissez vous

• [^]Re: admin, unissez vous

  Posté par Rénald Casagraude () le 29/11/2001 à 09:41. (lien). Évalué à 1.

  Ouaip...
  La rétention d'info, n'est en effet pas une bonne idée.
  Cela dit, l'auteur de la news peut-il préciser d'ou il tient la nouvelle (pas la faille, mais la rétention d'info, la lettre d'escuse)... Par la même ocasion, pourait-on connaitre le nom des distribs' dans le secret...
  
  Ca fait assez société secrette ce truc :)

  • [^]Re: admin, unissez vous

    Posté par pasBill pasGates () le 29/11/2001 à 09:47. (lien). Évalué à 1.

    J'ai vu ca sur Slashdot et sur un autre site qui etait linuxtoday je crois. Pour les autres distrib je crois me souvenir qu'il y avait Mandrake(pas sur) mais je sais pas pour les autres.

    • [^]confiance en /. ?!?

      Posté par Da Scritch (page perso, ) le 29/11/2001 à 09:51. (lien). Évalué à 1.

      Slashdot = méfiance.
      
      c'est pas la première fois qu'on y verrait une rumeur totalement diffamatoire. Je ne les considère plus comme une source d'info fiable.
      
      -1 pour la peine, mais gaffe!

      • [^]Re: confiance en /. ?!?

        Posté par pasBill pasGates () le 29/11/2001 à 09:53. (lien). Évalué à 1.

        Euh oui mais si il y a deux advisory sur securityfocus.com ca devient subitement bien plus credible :+)

        • [^]Re: confiance en /. ?!?

          Posté par mcjyc (page perso, ) le 29/11/2001 à 10:43. (lien). Évalué à 1.

          moi, j'ai confiance et je lis the register
          
          http://www.theregister.co.uk/content/4/23082.html(...)
          
          j'apporte ma petite contribution avec ce lien qui resume bien, si il y a encore lieu de le faire

        • [^]Re: confiance en /. ?!?

          Posté par Gloo () le 01/12/2001 à 14:34. (lien). Évalué à 1.

          donc, la seule chose qui soit crédible dans ton post c'est qu'il y a un trou de secu dans wu-ftpd.
          
          Rien de personnel pbpg, si le boulot de modero n'est pas d'ajouter les liens des sources d'infos ( si possible fiables... ), c'est sans doute un des role du modero de sanctionner ce genre de post où un vérité ( le trou de secu de wu-ftpd ) est noyée au milieu d'un ensemble de rumeurs (puisqu'impossible de verifier l'info).
          
          Si tu as les excuses de redhat auprès des autres distrib sur le site de redhat, merci (vraiment) de nous en fournir l'url.

      • [^]Re: confiance en /. ?!?

        Posté par Rénald Casagraude () le 29/11/2001 à 09:57. (lien). Évalué à 1.

        Je ne les considère plus comme une source d'info fiable.
        
        "(...) info viable .", tu voulais dire, non ?

  • [^]Re: admin, unissez vous

    Posté par Laurent Simon () le 29/11/2001 à 09:51. (lien). Évalué à 1.

    On peut lire le détail sur security focus:
    http://www.securityfocus.com/news/293(...)

  • [^]Re: admin, unissez vous

    Posté par Rénald Casagraude () le 29/11/2001 à 09:52. (lien). Évalué à 1.

    Finalement, merci SomeNews et RootPrompt, je m'auto-répond :
    L'article sur securityfocus, "Oops! Linux Bug Escapes Early", ici :
    http://securityfocus.com/news/293(...)
    (Z'auriez pu le mettre dans les liens de la news...)
    
    Merci moi !!
    Et hop [-] au commentaire précédent...

    • [^]Re: admin, unissez vous

      Posté par Rénald Casagraude () le 29/11/2001 à 09:55. (lien). Évalué à 1.

      Et hop [-] au commentaire précédent...
      
      Zut j'peut po voter contre moi :(

      • [^]Re: admin, unissez vous

        Posté par gle () le 29/11/2001 à 11:07. (lien). Évalué à 1.

        Ne t'en fais pas, on s'en charge ;-)
        
        [Auto-scoré à -1, petite méchanceté gratuite]

  • [^]Re: admin, unissez vous

    Posté par kalahann () le 29/11/2001 à 10:12. (lien). Évalué à 1.

    Le but n'est pas de faire de la rétention d'informations. Parfois, pour un trou important qui touche un grand nombre de systèmes, il vaut mieux annoncer la faille en faisant le moins de bruit possible et sans donner de détails techniques. Ca laisse du temps aux fournisseurs pour corriger et distribuer leurs programmes sans que les pirates soient capables d'utiliser la faille. Le principal avantage est de gagner du temps face aux pirates.
    
    Ce n'est pas la première fois qu'un site comme security focus ou bugtraq se plaint du comportement d'une distribution linux du point de vue des annonces/maj de sécurité. La dernière fois il me semble que c'était à cause de la vulnérabilité format string qui touchait quasiment tous les unix, et plusieurs distrib linux l'ont annoncé bcp trop tôt.
    
    Sacré pbpg, dès qu'il trouve une pique à lancer sur le libre ou son fonctionnement, il peut pas s'en empêcher...

    • [^]Re: admin, unissez vous

      Posté par pasBill pasGates () le 29/11/2001 à 10:18. (lien). Évalué à 1.

      La pique c'etait de montrer que les distrib vont plus loin que ce que MS preconisait, alors qu'ils s'etaient fait allumer par les supporters du libre pour ca.
      
      MS disait:
      - on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
      - on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille
      
      Les distrib ont fait:
      - On ne revele rien avant la sortie du patch
      
      Alors bon, si vous arrivez a vivre avec ce que les distrib font, vous pourrez surement vivre avec la methode MS qui est moins obscure, ou sinon, traitez les distrib de tous les noms comme ca c'est passe pour MS.

      • [^]Re: admin, unissez vous

        Posté par kalahann () le 29/11/2001 à 10:28. (lien). Évalué à 1.

        Je suis d'accord, mais il y a quand meme une GROSSE différence. MS suggère de faire ça TOUT LE TEMPS alors qu'ici c'est (censé) être exceptionnel. Comme il y a plusieurs fournisseurs différents, il faut qu'ils sortent les annonces de failles et les correctifs en même temps, sinon les retardataires sont pénalisés et leurs distros risquent d'être piratées. Ca c'est l'explication, pas ce que je pense vu que je ne suis pas d'accord avec cette façon de procéder.
        En général, les annonces sont faites au plus tôt, non?
        
        Au fait, je me permet de compléter:
        
        MS disait:
        - on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
        - on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille
        
        ...SI on a envie de sortir un patch

        • [^]Re: admin, unissez vous

          Posté par pasBill pasGates () le 29/11/2001 à 10:31. (lien). Évalué à 1.

          Non, si la boite qui trouve la faille ne voit rien apres 30 jours ils peuvent sortir les details, que MS ait sorti le patch ou pas.
          
          Faudrait voir a arreter les petites insinuations de ce genre sans fondement, si je me mettais a faire de meme sur Linux ca foutrait une atmosphere peu agreable je pense.

          • [^]Re: admin, unissez vous

            Posté par jeanmarc () le 29/11/2001 à 11:00. (lien). Évalué à 1.

            pbpg, il ne faut pas mélanger le caviar et les esturgeons.
            Les deux méthodes de fonctionnement n'ont rien à voir et ne peuvent être comparées puisqu'elles s'appliquent d'une part à du logiciel libre pour linux, et d'autre part, à du logiciel closed source pour windows.
            Dans le cas de windows, si tu découvres une faille de sécurité, soit tu la soumets à crosoft, soit tu la divulgues ou l'exploites. Dans les deux cas, crosoft n'a rien à redire sur ton attitude et ne peut rien faire d'autre que de crier à l'irresponsabilité vu qu'ils gardent jalousement leurs sources. Qu'ils assument comme des grands les désavantages de leur mode de fonctionnement.
            Dans le cas de red hat, les sources sont disponibles. Tu prends la communauté du libre pour une bande de cons. Tu penses que le mec de red hat (ou un autre acteur du libre) qui tombe sur une faille va aller la divulguer connement alors qu'il peut résoudre le probléme grâce aux sources et annoncer la faille quand tout est réglé? Tu profites d'une simple erreur de coordination pour essayer de nous assimiler à ton monde de la supercherie.
            Ca ne marche pas avec moi, ces arguments à 2 balles.
            
            >Faudrait voir a arreter les petites insinuations de ce genre sans fondement, si je me mettais a faire de meme sur Linux ca >foutrait une atmosphere peu agreable je pense.
            
            Tu te réponds à toi même là?

            • [^]Re: admin, unissez vous

              Posté par pasBill pasGates () le 29/11/2001 à 11:05. (lien). Évalué à 1.

              Moi je crois surtout que t'as absolument rien compris a ce que j'ai dit.
              
              Ce que Redhat/Suse/... faisaient(s'entendre pour ne pas sortir la faille avant le patch), moi je suis pour.
              
              Ce qui m'agace c'est les gars qui ont hurle sur MS quand il a propose un truc un petit peu moins obscur que ca, j'aimerais donc qu'ils hurlent de la meme maniere ici ou qu'ils admettent qu'ils s'etaient trompes dans le cas MS.
              
              Si moi demain je trouves une faille dans Linux et que je la crie sur tous les toits avec les details, ben ca fout tout le monde dans la merde car les script kiddies peuvent s'amuser a torcher tous les systemes Linux sur le net, et ton open-source il fait rien contre ca car les scripts kiddies auront l'exploit avant que le patch soit sorti.

              • [^]Re: admin, unissez vous

                Posté par kalahann () le 29/11/2001 à 11:22. (lien). Évalué à 1.

                Si toi tu la connais la faille, il y a de grandes chances pour que d'autres la connaissent aussi. Je peux te dire que ce genre d'infos circulent très vite par les channel IRC et autres sites pirates à 2 sous... Les seuls qui ne sont pas au courant après, ce seront les admins. Cool !
                
                Tu dis:
                Ce qui m'agace c'est les gars qui ont hurle sur MS quand il a propose un truc un petit peu moins obscur que ca, j'aimerais donc qu'ils hurlent de la meme maniere ici ou qu'ils admettent qu'ils s'etaient trompes dans le cas MS.
                On ne peux pas comparer une démarche générale et un cas particulier. D'ailleurs, certaines personnes qui ont posté (trollé?) sur cette news ne sont pas d'accord avec cette méthode et le disent (kael, moi et d'autres...)
                C'est clair que de toute façon ça va moins gueuler que pour MS... on ne se refait pas.

                • [^]Re: admin, unissez vous

                  Posté par pasBill pasGates () le 29/11/2001 à 11:28. (lien). Évalué à 1.

                  Mais non, si tu donnes des la decouverte de la faille des infos generales sur la faille et un workaround, les admins peuvent se proteger en attendant le patch, et les script kiddies peuvent pas utiliser l'exploit pour torcher 90% des serveurs. Les admins ils y perdent rien.
                  Dans le pire cas ca ne change rien car les details ont ete divulges d'une maniere ou d'une autre.

          • [^]Re: admin, unissez vous

            Posté par kalahann () le 29/11/2001 à 11:10. (lien). Évalué à 1.

            30 jours c'est beaucoup trop. Ca laisse largement le temps de savoir utiliser la faille, mais on ne donne pas les moyens aux admins de s'en protéger! Je trouve que c'est une démarche irresponsable.
            
            Rien que les 2 semaines pour corriger wu-ftpd je trouve que c'est trop long. Quand on a un trou de sécurité aussi important que celui-là on met un développeur dessus jusqu'à ce que ce soit fini et point barre. Pas besoin de 2 semaines pour ça! Je veux bien croire que le cycle patch/compilation/test/packaging/test/re-test... soit long, mais quand même!
            
            Ah oui, encore un mot pour ce qui est de divulguer ou pas les failles dès leur apparition: Il y a une différence entre une faille découverte par l'auteur du soft et quelqu'un d'autre. Dans le premier cas, on peut se permettre de ne pas tout divulguer tout de suite et voir avec les distributeurs pour correction rapide de la faille. C'est le cas où pour moi ça pose pas de pb. Par contre si c'est qqun d'autre, tu n'as aucune certitude sur le nombre de personnes au courant et la connaissance de la faille peut se répandre. Là, tu dois divulguer.
            Mais ce n'est que mon avis. Le principe, c'est que tu ne peux pas te permettre de ne pas donner aux gens les moyens de se protéger SAUF quand la connaissance de la faille est très réduite et de façon certaine.

            • [^]Re: admin, unissez vous

              Posté par pasBill pasGates () le 29/11/2001 à 11:14. (lien). Évalué à 1.

              Ben si on prend l'exemple de IE et les cookies:
              
              - Tu dis des la decouverte de la faille:
              "Il y a une faille dans la gestion des cookies, il est fortement conseille de bloquer la gestion des cookies pour eviter d'etre une victime"
              
              Tu donnes un moyen aux gens de se proteger et tu ne dis pas aux script kiddies comment profiter de la faille
              
              Ensuite, des que le patch est pret ou dans X(MS a propose 30) jours tu devoiles les details
              Le patch est dehors donc les gens peuvent reutiliser les cookies et sont proteges
              Les gens peuvent voir la faille et tester le patch
              ...
              
              Ou est le probleme ?

              • [^]Re: admin, unissez vous

                Posté par kalahann () le 29/11/2001 à 11:28. (lien). Évalué à 1.

                Dans ce cas précis ça ne pose pas vraiment de pb, si c'est MS qui a découvert la faille car dans ce cas ce sont les seuls à être au courant. Aucune chance que la faille se répande parmis les script-kiddies (je rappelle que ce sont des tocards en piratage, encore faut-il que qqun leur mâche la marche à suivre pour qu'ils soient capables d'y arriver et ça prend du temps...)
                
                Mais dans le cas présent, la faille est considérée comme étant NON-EXPLOITABLE. Je ne comprend même pas qu'ils aient voulu ne pas divulguer la faille, ça ne sert à rien...

                • [^]Re: admin, unissez vous

                  Posté par pasBill pasGates () le 29/11/2001 à 11:33. (lien). Évalué à 1.

                  Ben si c'est exploitable: http://www.securityfocus.com/archive/1/242750(...)
                  
                  Mais la question n'est pas la, que MS(ou autre) soit le seul a etre au courant ou pas ne change rien, il faut limiter le plus possible les moyens de profiter de la faille jusqu'a ce que le patch soit sorti, ca n'empeche pas d'annoncer la faille mais ca protege au maximum en attendant le patch. Au pire c'est le meme resultat, au mieux ca empeche les script kiddies de hacker des machines.

                  • [^]Re: admin, unissez vous

                    Posté par kalahann () le 29/11/2001 à 11:49. (lien). Évalué à 1.

                    Ah oui, merde... Mais apparemment c'est assez dur à faire, dlc des script-kiddies.
                    
                    On est d'accord sur le but (limiter le plus possible les moyens de profiter de la faille)Dans le monde propriétaire, de toute façon personne n'a les sources et est obligé d'attendre le patch. Donc au pire c'est le meme resultat, comme tu le dis.
                    Dans le monde libre, tout le monde a les sources, et peut faire le patch lui même ou l'appliquer dès qu'il est sorti. Donc quand tu divulgues les détails tu permet aux gens de se protéger. Bon tu vas me dire que les gens qui ne se tiennent pas au courant ne verront pas passer l'affaire et risquent de se faire pirater, je suis d'accord. Mais de toute façon ce sont les mêmes personnes qui ne vont pas appliquer les patches qui sortent (que ce soit MS ou Red Hat n'y change rien: luser error!)
                    
                    Les différences sont tellement grandes entre les modèles de développement et de participation entre le proprio et le libre qu'on ne pet pas comparer nos manières de fonctionner en sécurité.
                    Tu remarquera que MS essaye d'appliquer sa méthode à tout le monde, pas nous même si on a tendance à prêcher pour le full disclosure. Je sais ça se voit pas tellement dans ce site au vu des commentaires souvent anti-ms et pro-libres au point d'être parfois aveugles et gratuits (je le sais j'en fais aussi). Les orientations du libre en matière de sécurité et les commentaires d'ici ne se reflètent pas forcément.

                  • [^]liste des distrib assez bizarre

                    Posté par Thomas Pedoussaut (page perso, ) le 29/11/2001 à 14:17. (lien). Évalué à 1.

                    Ils (Security Focus) précisent des distrib que n'installent pas wu-ftp par défaut.
                    Les Mandrake intallent proftpd, wu n'est présent que sur le CD2. En comptant comme ça, tout système POSIX sur lequel il est possible de compiler wu.

      • [^]Re: admin, unissez vous

        Posté par Jean-Pierre Schwickerath (page perso, ) le 29/11/2001 à 10:34. (lien). Évalué à 1.

        Moi je dis, distribs = mefiance....
        Rien ne vaut un bon LFS a partir des sources

        --
        Nothing's impossible... Everything's relative!

      • [^]Re: admin, unissez vous

        Posté par Banux (page perso, ) le 29/11/2001 à 10:50. (lien). Évalué à 1.

        Le fait est que le procede de contacter les societe et codeurs pour leur laisser le temps de patcher n est pas nouveau et MS n a rien revolutionner.
        C est juste que les recommandations de liste comme bugtraq ne sont pas forcement suivi.
        .
        c est pour ca que je trouve certain cote de cette news a cote de la plaque. et fait tres petite revanche.

        • [^]Re: admin, unissez vous

          Posté par pasBill pasGates () le 29/11/2001 à 10:57. (lien). Évalué à 1.

          Il est absolument pas question de revolutionner/innover ou quoi que ce soit, il est question d'eviter que les script kiddies puissent s'amuser a faire torcher la moitie des machines sur le reseau car l'exploit a ete divulgue avant le patch.
          
          MS a propose une solution a ca, et le monde du libre l'a descendu en flamme. Maintenant les gens du libre se rendent compte que leurs distribs preferees font la meme chose, alors soit ils sont en accord avec eux meme et ils agissent de la meme maniere avec leurs distrib qu'avec MS, soit ils admettent qu'il n'y avait aucune raison de hurler contre MS.
          
          C'est juste une histoire d'etre equitable entre 2 entites qui se comportent de maniere identique.

          • [^]Re: admin, unissez vous

            Posté par jeanmarc () le 29/11/2001 à 11:16. (lien). Évalué à 1.

            Mais c'est que tu insistes avec vouloir comparer toi! Si tu veux des excuses parce qu'on t'a froissé, dis nous: "nos modes de fonctionnement ne sont pas les mêmes et dans un monde closed source, le notre est vital à la sécurité. Il ne s'applique pas à vous donc ne le dénigrez pas". Là, ok. Désolé, pbpg, on a tort de critiquer vos trucs comme ça, on recommencera plus...
            Mais, tu nous dis:"red hat a corrigé une faille et n'a rien dis, na. C'est comme nous, na".
            Non, ce n'est pas comme toi et c'est assez puérile. Nous avons les sources. Chez nous, quelqu'un de responsable et d'assez compétent qui tombe sur une faille, la corrige dans son coin, rend disponible le patch et la faille. Y'a pas mieux!
            Chez toi, quelqu'un de responsable qui tombe sur une faille ne pourra jamais savoir si elle est assez compétente pour résoudre le probléme et, si elle fait le malheur de mettre quelqu'un qui pourrait remonter l'affaire, on la traite de pirate irresponsable.
            Deux églises, deux sons de cloche différents! Je trouve que la notre à un meilleur timbre :)

    • [^]Re: admin, unissez vous

      Posté par VERMEEREN Sebastien () le 29/11/2001 à 21:33. (lien). Évalué à 1.

      Sacré pbpg, dès qu'il trouve une pique à lancer sur le libre ou son fonctionnement, il peut pas s'en empêcher...
      Et combien de pique tu vois journalierement sur microsoft ? Comment peut on lui reprocher son manque d'objectivité avec autant de trolls sur microsoft ...

  • [^]Re: admin, unissez vous

    Posté par Chmouel Boudjnah (page perso, ) le 29/11/2001 à 16:22. (lien). Évalué à 1.

    Normalement on a une mailing list privé de tout les vendors qui s'informe entre eux et ou on coordone l'advisory pour que ca soit faire en meme temp. La y a eu un probléme de communication avec les gars de RH.. Et il ont fait des excuses....

Excuses de Red Hat

• [^]Re: Excuses de Red Hat

  Posté par pasBill pasGates () le 29/11/2001 à 09:38. (lien). Évalué à 1.

  Ils se sont excuses pour avoir sorti le patch et l'alerte trop tot.
  
  Au passage, je tiens a rectifier ma propre news, MS ne proposait pas de ne pas annoncer la faille avant la disponibilite du patch, mais uniquement de ne pas annoncer les details(=exploit) de la faille, la faille en elle-meme peut etre annoncee avant.

  • [^]Advisory de CORE

    Posté par pappy (page perso, ) le 29/11/2001 à 09:48. (lien). Évalué à 1.

    Ce sont les mecs de core qui sont parvenus à exploiter cette vieille vulnérabilité qui avait déjà été détectée il y a déjà qq temps.
    
    Tous les détails sont dans :
    http://archives.neohapsis.com/archives/vulnwatch/2001-q4/0063.html(...)
    
    L'exploit repose sur la modification de chunks dans le tas. En gros, il faut jouer avec des malloc() et free() pour aller modifier des pointeurs dans le tas de sorte à ce que le registre d'instructions finisse par pointer sur le shellcode de son choix.
    Ce genre de faille est très difficile à exploiter ... mais c'est possible, comme les montrent les exemples de traceroute, sudo et maintenant celui-ci.

proftpd ça roulaize plus de toute façon :)

• [^]Re: proftpd ça roulaize plus de toute façon :)

  Posté par Toufou (page perso, ) le 29/11/2001 à 10:09. (lien). Évalué à 1.

  Chez Slack, ils sont passé à proFtpd par défaut :) mais le tgz de wu-ftp est toujours dispo sur les extras je crois

Etrange

• [^]Re: Etrange

  Posté par pasBill pasGates () le 29/11/2001 à 09:45. (lien). Évalué à 1.

  C'est pas le probleme de coordination que je souleve, c'est ce que le probleme de coordination a revele: que les distrib s'entendent entre elles pour cacher les failles jusqu'au moment ou ils ont un patch.
  
  Sinon, je m'interessais aux news sur Linux a l'epoque ou fvwm etait considere comme le top des GUI sur Linux, j'ai pas attendu la vague mediatique Linux pour ca.
  
  Pour ton info, je suis a la base Amigaiste et Unixien, et j'ai probablement encore pour quelques mois plus de connaissances de ces 2 systemes que de Windows...
  
  Mais bon, ca n'a rien a faire la --> -1

Appel à trolls ?

• [^]Re: Appel à trolls ?

  Posté par pasBill pasGates () le 29/11/2001 à 09:52. (lien). Évalué à 1.

  bon c'est vrai que j'ai ete incomplet dans la news, mea culpa.
  
  Voici une advisory updatee : http://www.securityfocus.com/archive/1/242750(...)
  
  Dans laquelle il est specifie que :
  1) les vendeurs ont ete mis au courant le 14 Novembre( donc 3 semaines avant au lieu de 2, encore une erreur de ma part)
  2) Redhat a sorti l'annonce le 27 alors que c'etait prevu le 3 decembre et que de ce fait les autres distrib ont pas eu le temps de corriger la faille
  3)un autre site: http://news.cnet.com/news/0-1003-200-8007615.html(...) qui precise que les distruteurs etaient a peu pres tous au courant

• [^]Re: Appel à trolls ?

  Posté par Yann Hirou (page perso, ) le 29/11/2001 à 09:53. (lien). Évalué à 1.

  Le modérateur avait vu passer les mails sur bugtraq, et donc était au courant du problème :-)
  
  (cf commentaire plus bas sur la réponse faite par Dave Ahmad, de SecurityFocus, et modérateur de BugTraq, à l'annonce prématurée de RedHat).

• [^]Re: Appel à trolls ?

  Posté par #3588 () le 29/11/2001 à 10:01. (lien). Évalué à 1.

  pBpG qui poste un avis sur une faille en sous-entendant que les distributions suivent la même politique de non-disclosure que MS contrairement à ce qu'elles annoncent...
  
  Ce qui n'est pas clair, c'est dans la news "histoire que les autres distributions aient le temps de faire et tester leurs correctifs". Mais ça veut dire que les autres distribs sont informées du problème ça. Et le développement des distribs n'est pas si fermé que ça (pas pour toutes en tous cas), les mailing listes sont ouvertes, etc. Alors qui a été informé ? Juste le développeur/packageur de wu-ftpd de chaque distrib, et personne d'autre ? Ca donne plutot l'impression que l'info sur la faille a bien été diffusée, et que ces histoires d'annonces ne concernent que le patch.
  
  C'est vrai que la formulation de la news est orientée troll, vu le manque de détails. En fait, il y a peut-etre quelque chose d'intéressant là dedans, mais il faudrait d'abord en savoir plus...

  • [^]Re: Appel à trolls ?

    Posté par pasBill pasGates () le 29/11/2001 à 10:05. (lien). Évalué à 1.

    Les boites genre Redhat, Mandrake,... ont probablement un departement "securite" qui recoit les annonces de failles de securite, ensuite ils les transmettent les uns aux autres.
    
    La boite qui a trouve la faille a une "policy" qui est de ne rien dire pendant un certain temps histoire de laisser le temps aux gens de corriger la faille, il est donc clair qu'ils allaient pas faire l'annonce sur une mailing-list Linux...

    • [^]Re: Appel à trolls ?

      Posté par #3588 () le 29/11/2001 à 10:31. (lien). Évalué à 1.

      Pour les mailing listes, je ne parlais pas d'annonces du bug, mais de discussions liées au bug. (il doit bien passer par le "Bug Tracking System" de chaque distrib, non ?)
      Bon évidemment, si le bug n'est pas compliqué et que le patch est simple (voire fourni par l'auteur), il n'y a pas forcément grand chose sur les listes, mais j'ai l'impression qu'un abonné aux listes de bug/sécurité aurait de toutes facons reçu l'info avant les annonces.

      • [^]Re: Appel à trolls ?

        Posté par pasBill pasGates () le 29/11/2001 à 10:35. (lien). Évalué à 1.

        Non, ce qui s'est probablement passe(pure speculation mais a mon avis c'est ca) est :
        
        - La boite trouve la faille et l'annonce a la distrib XYZ et les auteurs
        - La distrib XYZ informe les autres distrib et se met d'accord avec les autres et les auteurs pour une date de release du patch et une certaine discretion
        - chacun reste discret de son cote et corrige le bug
        - tout le monde release le patch en meme temps que l'annonce de la faille

        • [^]Re: Appel à trolls ?

          Posté par jeanmarc () le 29/11/2001 à 11:30. (lien). Évalué à 1.

          Non, non, non. Chez nous, tout est transparent, c'est le bazar et pourtant, on est plus sécure que n'importe lequel des wins sortis. Ca ne semble pas logique mais c'est comme ça. Bien sûr, vous faites beaucoup plus d'argent que nous. C'est encore moins logique mais c'est comme ça.

          • [^]Re: Appel à trolls ?

            Posté par pasBill pasGates () le 29/11/2001 à 11:34. (lien). Évalué à 1.

            Et vous etes moins secure que AIX et IRIX et HP-UX aussi, comme quoi ca ne veut rien dire.

            • [^]Re: Appel à trolls ?

              Posté par jeanmarc () le 29/11/2001 à 11:59. (lien). Évalué à 1.

              parce que plus utilisé.
              Et ce n'est toujours pas logique parce que ça doit te démanger de me répondre pareil pour windows qui est de loin le plus utilisé mais, vu que les sources ne sont pas disponibles, vous avez tout le loisir de faire un truc totalement opaque et sécure. Mais, où est donc passé la logique bordel?

            • [^]Re: Appel à trolls ?

              Posté par kalahann () le 29/11/2001 à 11:59. (lien). Évalué à 1.

              Heu nan, pas Irix s'il te plait, là tu es vexant :o)
              Cet os est un vrai gruyère. Il me semble Solaris vaut beaucoup moins que sa réputation. De toute façon aucun os généraliste ne peut valoir un os *destiné* à la sécurité, comme openbsd par exemple. J'en connais pas de proprio...

            • [^]Re: Appel à trolls ?

              Posté par vrm (page perso, ) le 29/11/2001 à 20:05. (lien). Évalué à 1.

              HPUX tu rigole ? va voir bugtrack...

Que viennent faire les distribs ici ?

• [^]Re: Que viennent faire les distribs ici ?

  Posté par bmc () le 29/11/2001 à 14:29. (lien). Évalué à 1.

  Je suis d'accord; mais, sans vouloir les accabler, les développeurs de wu-ftpd semblent être des récidivistes. Franchement, je me demande pourquoi ce logiciel est encore utilisé, c'est du gruyère !
  Bien sûr, on peut le patcher dans tous les sens, mais mieux vaut prendre un truc sérieux dès le départ, par exemple pure-ftpd ( pureftpd.sourceforge.net ) qui, outre le fait d'offrir a priori un niveau de sécurité bien supérieur, présente des fonctionnalités très complètes et très poussées.

  • [^]Re: Que viennent faire les distribs ici ?

    Posté par Annah C. Hue (page perso, ) le 29/11/2001 à 14:45. (lien). Évalué à 1.

    Ah ça j'ai jamais dit que wu-ftpd était bien :-)
    
    Les administrateurs sérieux n'installent pas ce genre de blagues. Wu-ftpd est aux serveurs ftp ce que sendmail est aux serveurs SMTP : le premier a avoir vu l ejour, mais aussi celui qui n'a pas eu dès sa conception les exigences de sécurité.
    
    De plus, le protocole ftp est une horreur pour les firewalls, les mecs qui l'ont créé devaient fumer beaucoup de choses bizarres quand ils ont fait les specs.
    
    Pour ceux qui veulent continuer à transférer des fichiers, scp est quand meme largement mieux.

    • [^]Re: Que viennent faire les distribs ici ?

      Posté par bmc () le 29/11/2001 à 15:15. (lien). Évalué à 1.

      > Pour ceux qui veulent continuer à transférer des fichiers, scp est quand meme largement mieux.
      
      Hmm, c'est beaucoup plus sûr, c'est clair, mais niveau débit c'est pas trop ça encore...
      
      Pour le reste je suis OK :)

    • [^]Re: Que viennent faire les distribs ici ?

      Posté par Charles Plessy (page perso, ) le 30/11/2001 à 09:02. (lien). Évalué à 1.

      Je ne savais pas ce qu'était scp...
      hop!, un p'tit lien pour ceux qui ne savent pas non plus :
      http://www.ssh.com/products/ssh/administrator24/Using_Secure_Copy__(...)
      (sans garantie que ce soit le plus pertinent)

Réponse de SecurityFocus

Passer à ProFTPD

• [^]Re: Passer à ProFTPD

  Posté par LeAg () le 29/11/2001 à 10:34. (lien). Évalué à 1.

  >entre autre il est très facile de créer un espace FTP en "anonymous" sans à avoir à faire une copie restreinte de bin/, etc/... dans l'arbo de 'ftp').
  
  La "copie restreinte" est la pour "chrooter" le demon ftpd pas pour creer un ftp anonyme.
  Comme WU-ftpd, ProFTPd peut et doit etre "chroote" avant de mettre un FTP anonymes accessible depuis l'exterieur.

  • [^]Re: HS quid du chrootage

    Posté par Ray Mond () le 29/11/2001 à 12:29. (lien). Évalué à 1.

    Mais si tu fais un chrootage, tu as encore moyen d'avoir accès à l'arborescence supérieure?
    Et que vaut-il mieux faire, un chrootage pour l'anonymous et un vrai ftp pourles users, ou un vrai ftp tout court?

    • [^]Re: HS quid du chrootage

      Posté par PLuG () le 29/11/2001 à 12:58. (lien). Évalué à 1.

      chrootage ?!?
      
      chroot => change root permet de définir un nouveau repertoire racine pour un process (et ses fils).
      ces process ne verront que les fichiers qui sont dans ce nouveau /, il ne pourront (en principe - il y a eu des failles) pas s'echapper de la prison (on parle de chroot jail).
      
      pour anonymous c'est un gain en sécurité indéniable, que l'on se doit de mettre en place, après tout on ne le connais pas cet anonymous !
      
      pour les autres users, je dirai que cela depend. si c'est une machine ou les users on un accès shell, ils feront ce qu'ils veulent de toute facon donc pas besoin de les brimer avec un "chroot jail". Si c'est une machine de ftp pour des abonnés (comme chez les FAI) ou les users ont un mot de passe mais pas de compte shell, le gain du chroot est interessant aussi ...

      • [^]chroot != jail

        Posté par pappy (page perso, ) le 29/11/2001 à 15:02. (lien). Évalué à 1.

        il y a eu des failles
        C'est pas vraiment des failles, c'est juste qu'il y a des moyens de sortir du chroot (un shellcode bien comme il faut fait ça très bien).
        
        chroot jail
        chroot est une chose, jail en est une autre (qui n'existe pas sur linux)
        Il faut pas tout mélanger.

        • [^]Re: chroot != jail

          Posté par PLuG () le 29/11/2001 à 16:01. (lien). Évalué à 1.

          Pour le coup, peux tu m'expliquer les differences ?
          la plupart des docs parlent de "chroot jail" des que chroot est utilisé pour reconstruire un environnement séparé (avec un /etc/passwd quasi vide, juste les libs qu'il faut ...). Comme je lis les docs, je suis sujet au même travers que mes lectures.
          il suffit de chercher "linux chroot jail" pour voir un nombre effarent de réponses dans google, par exemple la: http://www.linuxdoc.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edi(...)
          
          
          chroot + ? = jail ??

          • [^]Re: chroot != jail

            Posté par PLuG () le 29/11/2001 à 16:35. (lien). Évalué à 1.

            ok je me répond a moi meme, je vois de quoi tu parles: de l'appel système jail() de freebsd.
            
            http://www.daemonnews.org/200109/jailint.html(...)
            
            on peut peut-etre faire la meme chose avec certains patchs pour linux qui permettent de poser des limites/droits par rapport aux appels systemes / fichiers ...
            
            NB: je me suis bien gardé de parler de "jail" avec linux, mais bien de "chroot jail" terme employé sur tous les unix AVANT que freebsd n'inclu l'appel système jail() pour la première fois dans sa release 4.0 (mars 2000).

          • [^]Re: chroot != jail

            Posté par pappy (page perso, ) le 29/11/2001 à 16:37. (lien). Évalué à 1.

            jail fait du chroot et en plus, il impose des restrictions sur les processus qui sont forkés dans cet environnement.
            
            http://www.hsc.fr/ressources/breves/jail.html(...)
            http://www.daemonnews.org/200109/jailint.html(...)

            • [^]Re: chroot != jail

              Posté par Ray Mond () le 29/11/2001 à 22:57. (lien). Évalué à 1.

              Ok bin merci c'est sympa, on va tester ca alors.

• [^]Re: Passer à ProFTPD

  Posté par VACHOR (page perso, ) le 29/11/2001 à 14:45. (lien). Évalué à 1.

  Bah de toute façon ProFTPD est malheureusement plein de trous de sécurité lui aussi (au début j'y croyais pas, et je l'utilisais, puis j'ai cherché) il faut vraiment faire attention à la version qu'on utilise. C'est à croire que c'est vraiment lié à FTP, quelle que soit l'implémentation ! :-(
  Faut laisser tomber telnet, ftp, et passer à SSH avec SCP ou SFTP. Avec mindterm comme client (une appli en java sous forme de jar) qui fait le SSH 1 & 2 + le SCP + SFTP + terminal de très bonne qualité et rapide (mindterm fait même des tunnels SSH pour d'autres applis), c'est vraiment nickel !
  http://www.appgate.org/products/mindterm/(...) (y'a moyen de trouver des sites qui fournissent mindterm sans s'enregistrer)
  http://www.linuxdoc.org/HOWTO/MindTerm-SSH-HOWTO/(...) (Le SSH tunnel HOWTO)
  L'essayer en applet (un must !) : http://pierre.mit.edu/compfac/mindterm/applet.html(...)

• [^]Re: Passer à ProFTPD

  Posté par bmc () le 29/11/2001 à 14:58. (lien). Évalué à 1.

  Allons, un peu de pub aussi :)
  
  Il existe également pureftpd ( http://pureftpd.sourceforge.net(...) ), qui peut se configurer simplement avec la ligne de commande (pas besoin de fichier de conf, même si on peut en utiliser un), qui possède une interface graphique de configuration (optionnelle bien sûr) pour KDE2, et une pour Gtk (en dvpt), qui offre un niveau de sécurité excellent (jusqu'à preuve du contraire ;), et qui possède des fonctionnalités géniales :)
  
  Allez faire un tour sur leur site, il y a une comparaison des principaux serveurs FTP disponibles, c'est intéressant...
  Personnellement, je trouve pureftpd plus souple et un peu moins loud que proftpd (c'est un avis personnel hein ;)

  • [^]Re: Passer à ProFTPD

    Posté par Julien Portalier (page perso, ) le 29/11/2001 à 15:42. (lien). Évalué à 1.

    Et surtout que les devs de pure-ftpd ne pensent qu'à une seule chose, et ce depuis le début du dev : la sécurité ! Ils ne pensent presqu'à ça. Perso, c'est celui que j'utilise, souple, efficace, et en mode parano, y'a pas beaucoups de trou possible...
    
    nota: le mode french-fun est sympa aussi (c;

Bof...

• [^]Re: Bof...

  Posté par Yann Hirou (page perso, ) le 29/11/2001 à 10:10. (lien). Évalué à 1.

  En plus, ce "bug" a été jugé "non exploitable" (ou très très très difficilement), donc tout ce remue-ménage est un peu inutile.
  
  Du "non exploitable" avec l'exploit fourni, c'est fort tout de même, non ? ;-)
  
  (cf l'annonce de SecurityFocus, qui contient aussi l'exploit... http://www.securityfocus.com/archive/1/242750(...) )

  • [^]Re: Bof...

    Posté par Matthias Saou (page perso, ) le 29/11/2001 à 11:53. (lien). Évalué à 1.

    Par "non exploitable", je veux parler du fameux "remote root exploit" qui est en titre partout. Dans l'URL que tu donnes, ils montrent comment faire planter wu-ftpd, cette découverte date d'avril il me semble. Ce qui a été prouvé la semaine dernière c'est qu'il serait éventuellement et difficilement possible d'utiliser cette façon de planter wu-ftpd pour executer du code root.
    
    Dans la page dont tu parles :
    
    "Ease: No Exploit Available"
    
    et
    
    "Currently the SecurityFocus staff are not aware of any exploits for this issue. If you feel we are in error or are aware of more recent information, please mail us at: vuldb@securityfocus.com"
    
    C'est pour ça que je ne m'affole pas, surtout qu'un compte valide (mais même anonyme) est nécessaire et que tous mes serveurs ftp avec des comptes pour des clients sont en proftpd et que les anonymes sont en vsftpd :-)
    
    Honnêtement, pour moi c'est beaucoup de bruit pour pas grand chose.
    
    Matthias

Rigolo

• [^]Re: Rigolo

  Posté par pasBill pasGates () le 29/11/2001 à 10:53. (lien). Évalué à 1.

  Justement, chacun son boulot.
  
  Vous vous occupez de la partie Microsoft plus que regulierement, je prends donc une partie du boulot et je m'occupe de l'autre partie, histoire que ce soit equitable.

  • [^]Re: Rigolo

    Posté par Eddy () le 29/11/2001 à 11:05. (lien). Évalué à 1.

    Sache que tu n'es pas le seul a annoncer les failles de securite que l'on decouvre sous Linux.
    
    Et dans ce cas, les commentaires sont plutot "Quelles brelos ces programmeurs, meme pas capables de faire un truc propre! En plus, leur corrections de bugs en rajoutent. Linus, t'es vraiment un rigolo, tu ne sais plus quoi inventer pour te faire remarquer".
    
    Par contre, toi, quand il y en a sur MS, alors, la, tu dis:
    "Oui, mais c'est pas de notre fautre, si les gens ils n'ont pas installes les prgs que nous leur recommandons. On ne peut pas tester sur toutes les configuration possible, on le fait deja sur plein. Alors arretez d'etre un peu des rebelles sur votre machine et faites ce que MS vous dit".
    
    L'equite ok, mais surtout, on voudrait de l'honnetete intellectuelle.

    • [^]Re: Rigolo

      Posté par pasBill pasGates () le 29/11/2001 à 11:10. (lien). Évalué à 1.

      Ah moi je dis ca ?
      
      A croire que t'es en vacances quand je hurles sur les dev de IIS alors.
      
      D'autre part mon prob n'est pas qu'il y ait une faille dans Linux car je sais pertinemment que ca arrive a tout le monde, d'ailleurs c'est pas dans Linux mais dans wu-ftpd. Mon prob c'est la maniere dont la faille a ete geree a ete encore plus obscure que ce que MS avait propose et MS s'est fait allumer pour ca. J'aimerais donc que soit les distribs se fassent allumer, soit que les gens qui ont allume MS admettent qu'ils s'etaient trompes.

      • [^]Re: Rigolo

        Posté par Mokona () le 29/11/2001 à 16:38. (lien). Évalué à 1.

        Et bien, personnellement, je suis cohérent avec moi même : je n'apprécie pas du tout le raisonnement de RedHat sur ce coup là.
        
        Pour l'annonce en deux temps, c'est vraiment du cas par cas, et tout dépend de la vitesse de développement d'un patch. 30 jours ? Pourquoi ? 24 heures ? Pourquoi ?
        
        L'annonce de la défaillance doit être faite le plus tôt possible pour que les admins et utilisateurs prennent leurs dispositions.
        
        Mais l'annonce des détails dépend de beaucoup de facteurs, c'est du coup par coup. Cela dépend déjà de la réactivité des mainteneurs officiels. S'ils savent réagir vite et que quelqu'un leur propose un patch correct, pourquoi attendre 30 jours.
        
        S'ils ne réagissent pas du tout, ou bien n'existent plus, qui contacter ? Le libre tendrait à dire : on prévient tout le monde, cela permet au plus rapide de sortir un patch correct, ou au moins d'analyser le problème.
        
        Alors pourquoi attendre 30 jours aussi ?
        
        A moins que le découvreur considère être le seul capable de gérer le problème. Cette attitude est malvenue dans le libre, mais au vues des intérêts financiers d'une boite comme RedHat, compréhensible.
        
        Dans un cas comme MS, le problème ne se pose pas : ils sont les seuls, avec leurs partenaires éventuels, à pouvoir régler le problème. Il est normal qu'ils retiennent l'information le temps que le patch passe par toutes les étapes de développement.
        
        Dans un cas de développeur indépendant, le problème ne se pose pas : soit il pond le patch et le publie, soit il prévient les mainteneurs qui doivent prévenir et patcher le plus rapidement possible.
        
        Dans un cas comme celui de RedHat et bien... c'est tangeant. Ils héritent un peu des deux méthodes. Leur côté libre _devrait_ les pousser à divulger les informations pour que ceux qui peuvent y contribuent. Leur côté commercial se doit de conserver sa crédibilité en gardant son système sécurisé aux yeux du public.
        
        Il est bien dommage dans cet affaire qu'ils choisissent le côté "fermé" et oublient la communauté dont ils font implicitement partie.

  • [^]Re: Rigolo

    Posté par so-penible animation () le 30/11/2001 à 07:59. (lien). Évalué à 1.

    Justement, chacun son boulot.
    
    C'est un aveu ? Tu es payé par MS pour regarder les news de Slashdot !
    
    c'est pour rire, hein ...