mercredi 08 octobre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Liens connexes

Dépêche modérée par

: Les soucis de Tuxfamily

Posté par Amaury (). Modéré le 28 janvier 2004.
0
Tuxfamily est une plate-forme d'hébergement de projets libres, dans la veine de SourceForge ou Savannah. À ce titre, les serveurs offrent des services au public, notamment l'hébergement de sites web, serveur CVS, accès FTP. Un ou plusieurs utilisateurs malintentionnés ont profité de ces services pour obtenir des privilèges administrateur sur une machine. Cette machine et les services associés ont été désactivés dès la découverte de la compromission.

Au-delà d'un problème purement technique, cette situation rend nécessaire une remise en question du mode de gestion des machines et des services offerts par l'association.

Tuxfamily fait ainsi appel à toutes les bonnes volontés pour proposer des solutions, et offrir de l'aide. L'association contribue au développement de plus d'un millier de projets libres, et fournit gratuitement des services à la communauté, aussi l'aide de tous est nécessaire.

Une liste de diffusion a été mise en place à ce sujet : discussions-subscribe (AT) association (DOT) tuxfamily (DOT) org.

Ndm : on nous signale également qu'un Wiki a été mis en place pour rassembler les idées de tous.

> Lire les commentaires (74 commentaires, moyenne: 3,3).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

[+] Re: Les soucis de Tuxfamily

Posté par Boa Treize (page perso, ) le 28/01/2004 à 14:46. (lien). Évalué à -1.

s/verve/veine/

Re: Les soucis de Tuxfamily

Posté par ghunt (page perso, ) le 28/01/2004 à 14:58. (lien). Évalué à 5.

C'est dans la logique de ce qui s'est passé récemment avec les serveurs Debian, Gentoo et autres. Et amha, ce n'est pas prêt de s'arrrèter! Il faut même s'attendre à une accentuation de ce type d'attaque sur tous les serveurs collaboratifs.

L'attaque a marché une fois.
Le procédé a sûrement été décrit sur un news-goup ou l'autre et maintenant, des "mariolles" en manque d'idée se mettent à attaquer tous azymuts.

De là à dire que c'est un complot fomenté par la firme de Redmond dans le cadre de sa grande campagne pour démontrer "l'insécurité" du libre, il n'y a qu'un pas (que je refuse de franchir pour l'instant).

Il ne faut pas se leurer non plus: le libre devient de plus en plus connu. Cet état de fait entraîne que de plus en plus de paisantains voudront cracker les machines.

Toute chose a des bons et des mauvais côtés, parfois complémentaires:
La force du libre (l'outil colaboratif) est la faille pour qui veut être nuisible (comme le démontre cette attaque).
La nuisance créée renforce le libre puisqu'un renforcement de sécurité (au sens large) va en résulter.

J'aurais quand même préféré la version white-hat de l'attaque.

[+] Re: Les soucis de Tuxfamily. allez hop j'y vais. pff. pff. pff. 3...2...1...0.. GO !

Posté par isydor () le 28/01/2004 à 15:00. (lien). Évalué à -11.

SAPULINEUKSAIPASAIKUR !

Re: Les soucis de Tuxfamily

Posté par lorky (page perso, ) le 28/01/2004 à 15:01. (lien). Évalué à 3.

Je trouve lamentable que des gens puissent profiter lachement des services d'une assoce comme TF pour pirater leurs serveur.

Aussi et comme je l'ai dit dans leur mailing liste discussions, il faut les aider aussi bien financierement que materielement.
TF est actuellement a la recherche d'adim compétent et qui voudari bien s'occuper de leurs serveurs quotidiennement.
Alors, si des ames charitables se sentent capables d'en assumer le travail, faites vous connaitre sur la ML.

Les admins actuels de TF vous attendent !!

Merci a tous pour le soutien que vous pouvez leur apporter.

--
http://www.chaussin.org | http://www.asni.fr

Re: Les soucis de Tuxfamily

Posté par RoX ... () le 28/01/2004 à 15:02. (lien). Évalué à 7.

C'est bien dommage de voir un travail tel que le leur dévoyé de cette façon.
AMHA, l'équipe de TuxFamily a fais beaucoup de bon travail sur ce projet et a permis à beaucoup d'autres projets de se développer en leur fournissant tous les services nécessaires.
Si la communauté formée autour du logiciel libre, correspond à l'image qu'elle veut se donner, je pense qu'il est temps pour elle (et donc pour nous tous) de rendre la pareille à TuxFamily et les aidant si possible.

Voilà mon humble contribution du jour.
--
From RoX ...
Slack un jour, Slack toujours.

Re: Les soucis de Tuxfamily

Posté par ashram4 () le 28/01/2004 à 15:05. (lien). Évalué à 6.

C'est un peu HS, néanmoins je suis étonné que les services offerts soient gratuits. Bien sûr TuxFamily n'est pas la pour faire des bénéfices mais ça me parait naturel de demander une participation. Ça ne règle pas le problème des personnes mal intentionnées mais ça permettrait probablement un peu plus de confort au niveau du matériel.

Re: Les soucis de Tuxfamily

Posté par Sébastien Rohaut (page perso, ) le 28/01/2004 à 15:32. (lien). Évalué à 10.

Les admins de Tuxfamily ne voulaient pas de communication sur Linuxfr à ce sujet tant qu'une solution (nouvelle structure) n'avait pas été trouvée.

C'était indiqué dans la mailing list, j'avais posé la question...

Les journaux:

Posté par Beurt (page perso, ) le 28/01/2004 à 15:37. (lien). Évalué à 16.

beaucoup de choses ont été dites dans les journaux de LinuxFr, voici une petite revue de presse pour ceux qui n'auraient pas suivi:
http://linuxfr.org/~lezardbreton/8818.html(...)
http://linuxfr.org/~Bix/8756.html(...)
http://linuxfr.org/~khorben_/8793.html(...)
http://linuxfr.org/~lucas/8755.html(...)

et même: http://linuxfr.org/comments/336673.html(...) et http://linuxfr.org/~matiphas/8829.html(...)

Bonne lecture.

Re: Les soucis de Tuxfamily

Posté par farib () le 28/01/2004 à 15:54. (lien). Évalué à 8.

Ca fait mal à dire, mais dans certains cas, on s'attaque plus facilement à une machine sous Linux.

Un exploit ptrace ou brk sur des machines non patchées, et en 20 secondes, le travail est fait. Par contre, pour les Windows, je ne trouve pas aussi facilement des exploits qui me donneraient un accès Terminal Server distant pour devenir root facilement. J'ai peut être mal cherché, mais j'ai pas encore trouvé autant de sites windows qui recensent et classifient les exploits, qui sont de surcroit détectés par les AV.

Il y'a une sorte d'obscurantisme autour de windows, qui paradoxalement le protège.

Je ne dis pas que l'un où l'autre des sustèmes est mieux sécurisé. Mais j'avais eu l'exploit ptrace le jour de la news sur linuxfr, et je suis pas un naxor très puissant, mais ce jour là, bein y'avait un tas de bécanes que j'aurais pu rooter.

Là, c'est exactement pareil, c'est trop facile de rooter. Si l'on est bien plus vif que l'admin de la machine.

Attaques ciblées ?

Posté par Philip Marlowe (Jabber id, ) le 28/01/2004 à 16:59. (lien). Évalué à 7.

Tout le monde y va de son couplet moralisateur ; c'est vrai, c'est dégueulasse de s'attaquer à une plate-forme de bénévoles. D'un autre côté, ça devient à la mode : Debian, Savannah et maintenant Tuxfamily. A la connaissance de quelqu'un, les mêmes techniques qui ont permis de s'attaquer à ces machines ont-ils été utilisés contre des serveurs plus commerciaux, ou moins communautaires, qui utilisent Linux, et qui sont légion ? Si non, ces machines sont-elles mieux protégées ou y a-t-il d'autres raisons ?

Dans un autre domaine, j'espère... Nous avons reçu lundi dernier un mail suspect au boulot. Un collègue a vérifié, c'est bien un ver nommé entre autres MyDoom qui, semblerait-il, serait conçu pour ourdir un DDOS contre le site de SCO le 1er février prochain. De quoi troubler des affaires qui déjà ne sont pas bien transparentes... Voir http://www.clubic.com/n/n11348.html(...) où l'on apprend que le FBI s'en mêle et qu'il y a 250 000 $ de récompense. Il ne manque plus qu'un peu de sexe et ça devient grand public.

Un wiki

Posté par Jack () le 29/01/2004 à 08:34. (lien). Évalué à 5.

Toffe a mis en place un Wiki pour rassembler l'informations concernant les problèmes de TuxFamily et leurs possibles solutions sur

http://tuxfamily.gradator.net(...)

A vos claviers!

Re: Les soucis de Tuxfamily

Posté par Neuromancien (page perso, ) le 05/02/2004 à 18:49. (lien). Évalué à 0.

Tuxfamily est devenue une plate-forme très importante, vu le nombre de projets hébergés. Cela demande un minimum de sérieux et de professionnalisme de la part des membres de l'association. Ceux ci devraient être au fait des problèmes de sécurité et prendre les mesures nécessaires, ils ont, je l'espère, les compétences techniques requises. La malveillance existe partout, et n'importe quelle site, association, entreprise ou organisation doit avoir une politique de sécurité. Travailler bénévolement ne doit pas vouloir dire travailler en amateur.

Re: Les soucis de Tuxfamily

Posté par Julien Danjou (page perso, ) le 07/02/2004 à 12:30. (lien). Évalué à 2.

Un nouveau communiqué est en ligne.

http://tuxfamily.org(...)

Re: Les soucis de Tuxfamily

Posté par Florent Bayle (page perso, ) le 12/02/2004 à 15:26. (lien). Évalué à 1.

Le ftp est maintenant de retour, vous pouvez récupérer vos données si vous le désirez.

Florent

Re: Les soucis de Tuxfamily

Posté par neil () le 20/02/2004 à 10:03. (lien). Évalué à 1.

Ca a un rapport vec tuxfamily que linuxgraphics soit mort ?
Le lien en haut de linuxfr semble dead...

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.3209s (dont 0.0993 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !