Apache : Mettez à jour !

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
11
juil.
2002
Sécurité
La société StrongHoldNet vient de faire une étude sur la sécurité des serveurs français utilisant Apache (tous systèmes d'exploitations confondus).

Il en ressort la chose suivante:
- 20.5 % d'entre eux (dont linuxfr.org fait partie :-) utilisent une version non vulnérable d'Apache (>= 1.3.26 or >= 2.0.39),
- 23.2 % d'entre eux utilisent une version antérieure patchée,
- 56.3 % d'entre eux sont vulnérables (soit 23 % du total des serveurs
web français).

Pour le moment, des exploits ont été publiés seulement pour OpenBSD, NetBSD et FreeBSD (d'ailleurs le vers "Scalper" exploite justement la vulnérabilité sous FreeBSD); pas encore d'exploit largement diffusé pour Linux, mais GOBBLES (auteur de l'exploit pour les *BSD) prétend que c'est possible.

Moralité : Mettez tous vos Apache à jour avant que l'exploit pour Linux soit connu. Un vers "Nimda-like" qui infecte des miliers de machines sous Linux serait du plus mauvais effet pour la réputation du système...

Aller plus loin

  • # Peut etre que....

    Posté par  . Évalué à 10.

    Un vers "Nimda-like" qui infecte des miliers de machines sous Linux serait du plus mauvais effet pour la réputation du système...

    Quand on regarde attentivement les stats de netcraft, on remarque que c'est justement aux moments de code red et nimda que IIS a récupéré le plus de part de marché !!

    J'en déduis donc qu'un bon ver est aussi, voir plus efficace qu'une bonne pub ? Ou alors que les décideurs sont encore plus cons que je ne le pensais...

    Bon allez, -1, parce que ca mérite pas plus...
    • [^] # Re: Peut etre que....

      Posté par  (site web personnel) . Évalué à -1.

      alors c'est bill derriere Nimbda? ;) Je vois pas quels seraient les arguments la monté de IIS suite au vers...
    • [^] # Re: Peut etre que....

      Posté par  . Évalué à 2.

      Ou alors que les décideurs sont encore plus cons que je ne le pensais..
      C'est encore plus flagrant sur le desktop, plus c'est buggé, plus ils aiment...
  • # Et pourquoi...

    Posté par  . Évalué à 10.

    Pourquoi... cette news n'est pas en première page ?
    Elle concerne directement notre système préféré et est d'importance pour tous les admins/webmasters.

    Alors cachée en tout petit dans la boîte "Autre"...
    • [^] # Re: Et pourquoi...

      Posté par  . Évalué à 8.

      PARCE QUE !

      Non en fait je sais pas, mais bon, les Dieux modérateurs font la loi, et pis c'est tout.

      Franchement, moi et surement beaucoup d'autres personnes lisent toutes les news qu'elles soient dans autres ou sur la page principale.

      Alors franchement, on va pas pinailler.

      -1 : aucun interet
  • # Mise à jour vers apache 2 ?

    Posté par  . Évalué à 8.

    Pour ceux qui ont une vielle version d'apache et que çà leur fait beaucoup de boulot pour mettre à jour (compilation, installation, test, etc...) il peuvent peut-être en profiter pour sauter sur apache 2.

    Pour redhat (peut-être pour d'autre, n'hésité pas à le faire savoir), c'est depuis un bon moment dans Rawhide et disponible dans la futur Limbo.

    çà se compile un installe sans problème sur une RH 7.2.
  • # Prises de décisions

    Posté par  . Évalué à 8.

    Un vers "Nimda-like" qui infecte des miliers de machines sous Linux serait du plus mauvais effet pour la réputation du système

    Je ne trouve pas que Nimda ait vraiment changé la réputation de Windows... À la limite, ça aurait pu changer la réputation des administrateurs, mais pas celle du système.

    Lorsqu'une boite se fait pirater parce qu'elle n'a pas mis son serveur SSH à jour, ce n'est pas de la faute à Linux, BSD ou SSH; c'est l'admin qui n'a pas fait son boulot (peut-être parce qu'il n'en avait pas le droit ou les moyens).

    Par contre, je suis bien d'accord que le neune^Wdécideur pressé verra alors qu'une machine non-Windows aura été piratée et en conclura rapidement que finalement Windows n'est pas si mal... mais là, je ne vois pas bien ce qu'on peut y faire! Il ne faut surtout pas critiquer, parce qu'après le décideur n'est pas content et traite d'intAIgriste quiconque lui parle de sécurité à base de libre, et préfère écouter les sornettes expliquant que les logiciels proprios sont aussi sécurisés (sinon plus vu qu'ils ont moins de rapports de bug).
  • # Merci...

    Posté par  . Évalué à -1.

    c'est en lisant ce genre de rapport, que nous nous mettons à danser en l'honneur de apt-get update


    [ -1 pour avoir fait le fanfaron ]

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.