Articles précédents : Presse
- [22] Hors série Blender de LinuxMag
- [120] Login n°104 - Mars 2003 est en kiosque
- [79] PowerPC 970 - Une alternative au duo Intel/AMD ?
- [57] Sortie du Linux Mag 48
- [12] Sortie de Linux Pratique 16
- [19] Knoppix dans Planète Linux
- [4] Login n°103 est en kiosque
- [36] LinuxFrench a changé de peau et d'hébergeur
- [7] Trophées du Libre
- [20] Le Monde Informatique : l'Open Source dans l'entreprise
Liens connexes
- Le cycle de vie d'une vulnérabilité (876 hits)
- Hacker says he leaked info on Unix flaw (451 hits)
- Leaked (391 hits)
Dépêche modérée par
Une présentation (lors d'Eurosec 2003) sur le sujet soulève également quelques questions intéressantes sur le sujet (full-disclosure vs vendor only, quand patcher, etc).
![[fr]](../../../images/fr.png)
Le cycle de vie d'une vulnérabilité (876 hits)![[en]](../../../images/en.png)
Hacker says he leaked info on Unix flaw (451 hits)-
Leaked (391 hits)
> Lire la dépêche (10 commentaires, moyenne: 5,5).
Re: Encore des fuites de vulnérabilités ?
C'est l'éternelle discussion entre les partisans de la diffusion des vulnérabilités trouvées (directement ou bien après un laps de temps) ou bien ce qu'on peut appeler 'la sécurité par l'obscurité'.
Dans les deux camps on trouve des arguments valables et selon moi la solution "idéale" se trouve quelque part entre les deux points de vue.
De toute manière, il est important de se tenir informé de ce qu'il se passe ... sur les sites hébergeant des listes de discussions ainsi qu'en étant abonné aux mailing-listes des principaux fournisseurs informatiques et logiciels.
Ensuite, libre à chacun d'examiner ce qu'il faut faire (analyse de la faille, impact sur l'architecture informatique de l'entreprise, implémentation éventuelle, ...)
-
[^]Re: Encore des fuites de vulnérabilités ?
Posté par ptifeth (page perso, ) le 26/03/2003 à 17:03. (lien). Évalué à 11.Ben c'est simple : l'admin ne doit pas laisser deviner quelle infrastructure il a mise en place ni la configuration de ses outils, par contre lui et le reste du monde doivent connaitre les failles de tous les outils (après un laps de temps permettant leur correction bien sûr).
-
[^]Re: Encore des fuites de vulnérabilités ?
Posté par encre (page perso, ) le 26/03/2003 à 17:23. (lien). Évalué à 9.Le probleme c'est surtout la position du CERT, qui fait payer les distributeurs pour avoir la chance d'avoir les compte-rendus de vulnerabilites avant le reste du monde.... Et ca ce n'est pas tres tres ethique.
-
[+] [^]Re: Encore des fuites de vulnérabilités ?
Posté par Jul (page perso, ) le 26/03/2003 à 19:19. (lien). Évalué à -7.tout à fait thierry, leur comportement attendu étant .... ?
et quelle est censée etre l'éthique du CERT ?
-
Pourquoi ne pas tout dire ?
Je comprend trés bien la position des développeurs et des admins qui veulent corriger une faille avant de la rendre publique , mais je pense que c risqué . Imaginez une appli avec une 100aine de dev qui bossent en commun , combien sur ces 100 utiliseront cette faille que l un d'eux aura mis a jour afin pirater ou faire toute autres choses malvaillantes ?
Au contraire , rendre la faille publique dés le debut , outre une effet de panique (limité il me semble aux niveaux des admins / informaticien serieux ) , bcq d autre personnes chercheront a corrigé le problème , tout comme bcq chercheront a l utiliser , cependant , les admins etant mis au courant , ils n auront qu a arreter le service indesirable ou l appli buggée .
Ces temps si on vois bcq de news qui declarent " prob de securité dans SuperProg , le patch est déja disponible " . C est quoi ca ? nous faire croire que le patch est sortis aussi vite que le bug a ete trouvé ? Non , c est simplement l annonce au "petit peuple" de l informatique (désolé je ne suis pas programmeur" . De plus je signalerai aux defenseurs de la methode d attendre le patch pour rendre publique une faille que a l interieur meme des cercles plus ou moins fermés des developpeur sur un projet ( on parle de LL ) , il y en a surement qui ne sont la que pour les news afferant a un nouveau bug dans sendmail , ssh , ou le kernel.
Pour moi , je trouverai bien de prévénir tout le monde, meme mr lambda qd une faille est trouvé , que ce soit dans le noyau , ssh , ou xbill (iloveit) .
Une des idées véhiculées par les LL n est elle pas l égalité ?
enfin c mon humble avis
-
[^]Re: Pourquoi ne pas tout dire ?
Posté par KDO () le 26/03/2003 à 21:26. (lien). Évalué à 7.Tout à fait d'accord, mais plus extrémiste (comme d'habitude diront certains) :
Une faile concernant un logiciel libre ne devrait être annoncée ou pas QUE selon le bon vouloir du découvreur. Tout autre concept comportant une obligation quelconque est dejà du faschisme intellectuel (au mieux) de l'imposture (au pire).
LIBRE = Je fais ce que je veux du logiciel et de ses failles et je respecte même encore plus le concept LL en diffusant l'information (le concept de base du LL hein ...).
Dans la série 'Con comme une poule qui trouve un couteau' c'était les questions existencielles de 'Les geeks découvrent les dessous du LL' .
Je me met -10 d'entrée aller @++
-
[^]Re: Pourquoi ne pas tout dire ?
Posté par DaFrog () le 27/03/2003 à 09:29. (lien). Évalué à 3.> je pense que c risqué . Imaginez une appli avec une 100aine de dev qui bossent en
> commun , combien sur ces 100 utiliseront cette faille que l un d'eux aura mis a jour afin
> pirater ou faire toute autres choses malvaillantes
euh... aucun?
D'abord parce que c'est Mal(TM) et que les developpeurs de LL sont des gens Bien(TM).
Mais surtout car si tu as passe des heures/jours/mois à developper un projet LL, je pense que tu n'a vraiment pas intérêt a lui nuire en exploitant une de ses failles.
> Au contraire , rendre la faille publique dés le debut , outre une effet de panique (limité il
> me semble aux niveaux des admins / informaticien serieux ) , bcq d autre personnes
> chercheront a corrigé le problème , tout comme bcq chercheront a l utiliser , cependant
> les admins etant mis au courant , ils n auront qu a arreter le service indesirable ou l
> appli buggée
Tiens, il y a une faille dans le noyau Linux, je vais arreter l'appli buggée... euh... ah ben c'est dommage...
Pouvoir maintenir une qualité de service certaine à ses utilisateurs nécessite de patcher au plus vite et de ne pas arreter quoi que ce soit (en tout cas autant que possible).
Je prefere prendre le risque d'un developpeur mal intentionné qui exploiterait une faille non-publique (chance quasi nulle) au risque d'un script-kiddie utilisant un exploit dispo sur le net, avant que j'aie les moyens de patcher...
Je ne dis pas qu'il faut attendre systématiquement un patch (on attendrait toujours Microsoft par exemple), mais au moins laisser un temps aux developpeurs bien intentionnés de mettre à jour leur LL (c'est juste le respect du à leur travail) avant de rendre publique une faille.
Mes deux Eurocents,
DaFrog.-
[^]Re: Pourquoi ne pas tout dire ?
Posté par Benoît Sibaud (Jabber id, page perso, ) le 27/03/2003 à 20:51. (lien). Évalué à 2.Y a bien des développeurs assez idiots pour saboter volontairement le paquet Debian de leur logiciel...
http://www.debian.org/News/weekly/2003/07/(...)
« Supprimer mICQ de Debian ? Martin Loschwitz a proposé de supprimer complètement mICQ de Debian car l'auteur amont a placé un « easter egg » (surprise cachée) dommageable et obscur dans le code, déjouant les tests du responsable du paquet. Anthony Towns a demandé à tous les responsables de relire les modifications amont avant d'empaqueter le code, Branden Robinson lit déjà toutes les lignes des correctifs qui sont appliqués à ses paquets XFree86. Rüdiger Kuhlmann a, par la suite, indiqué que les problèmes avaient été résolus et que l'« easter egg » a été supprimé. Martin Loschwitz a également envoyé une mise à jour. »
D'ailleurs Brassens l'a dit, qu'on soit développeur de LL ou pas, quand on est con...
-
-
[^]Re: Pourquoi ne pas tout dire ?
Posté par Matthieu Moy (page perso, ) le 27/03/2003 à 16:32. (lien). Évalué à 3.Euh, rappelons que lorsque l'on trouve une faille de sécurité dans un programme, c'est qu'il était déjà vulnérable depuis longtemps. Le fait d'annoncer la faille, par contre, va le rendre encore plus vulnérable.
Re: Encore des fuites de vulnérabilités ?
---[ Microsoft Refuses To Fix NT 4.0 Exploit ]
shmigget writes "The Register is reporting that Microsoft is throwing in the towel as far as NT 4 is concerned on the latest security flaw to affect Windows 2000, XP, and NT 4. They quote Microsoft as saying 'The architectural limitations of Windows NT 4.0 do not support the changes that would be required to remove this vulnerability.'" There still is a workaround for NT 4.0. Instead of patching the problem, it's advised to firewall off port 135 on an affected machine.
< http://slashdot.org/article.pl?sid=03/03/27/1930256(...) >
b111 abandonne ses machines, c'est tout dire.
Cette page a été générée par Templeet en 0.0703s (dont 0.0094 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.