Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

• [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

  Posté par Stéphane Blaise (page perso, ) le 18/03/2004 à 15:01. (lien). Évalué à 2.

  package dispo sous debian

  • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

    Posté par Paul POULAIN (page perso, ) le 18/03/2004 à 17:28. (lien). Évalué à 2.

    idem mandrake
    http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA(...)

  • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

    Posté par yxorp () le 21/03/2004 à 16:29. (lien). Évalué à 1.

    Oui, oui, ben ce n'est pas une exclusivité Debian, toutes les grandes distributions avaient intégré les correctifs dans les heures qui suivaient l'annonce, comme l'indique d'ailleurs le dernier lien de cet article.

    • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

      Posté par yxorp () le 21/03/2004 à 16:35. (lien). Évalué à 1.

      Oh, désolé, je n'avais point vu qu'il y avait tant de réponses, j'ai du atterir sur la page du commentaire au lieu de celle de l'article. D'où mon commentaire précédent ... (:-X
      
      si j'avais su, j'aurais pas répondu.

Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

• [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

  Posté par tgl () le 18/03/2004 à 16:46. (lien). Évalué à 1.

  Pas si à jour que ça, par exemple l'annonce gentoo d'hier n'y est toujours pas (ou alors gentoo ne fait pas partie des distribs considérées). Enfin quoi qu'il en soit, mieux vaut compter sur la/les ML (ou le/les RSS ou je ne sais quoi encore) spécifique à votre/vos distrib(s) que sur ce genre de compilation, dont l'intérêt (à part à s'amuser à faire des stats sur la réactivité des différentes distribs) me parait finallement limité.

  • [+] [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

    Posté par mat1 () le 18/03/2004 à 17:09. (lien). Évalué à -1.

    > Pas si à jour que ça, par exemple l'annonce gentoo d'hier n'y est toujours pas
    
    Non, l'annonce a été faite aujourd'hui à 5:58 am (heure us ?)
    http://forums.gentoo.org/viewtopic.php?t=150561(...)

    • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

      Posté par tgl () le 18/03/2004 à 19:00. (lien). Évalué à 1.

      Le forum Gentoo, c'est pas la source des GLSA, c'est... un forum de discussion. L'annonce est du 17 (états-unien par contre en effet, et j'ai pas l'heure, et j'en ai rien à foutre, donc je ne saurai dire si on était déjà le 18 en France). Ce que je sais, c'est que ce matin au réveil j'avais l'annonce et le paquet. Bref, tout ça pour confirmer qu'il ne vaut mieux pas attendre LWN pour les annonces de sécurités puisqu'elles émanent des distribs de toute façon, et que donc ce genre de pages ne peux servir qu'à montrer du doigt de prétendus retardataires. Merci à toi d'avoir si bien joué le rôle du doigt pour illustrer mon propos.

      • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

        Posté par mat1 () le 18/03/2004 à 22:03. (lien). Évalué à 1.

        Que tu me dises que lwn.net n'est pas la source de référence pour gentoo n'est vraiment surprenant.
        
        Que gentoo fournisse une liste de diffusion pour les trous de sécurité est d'une banalité affligeante.
        
        Que tu restifies le fait que Gentoo a déjà fait un correctif contrairement à ce qu'indique lwn.net, est parfait et bienvenu.
        
        Que tu ne sois pas très heureux que Gentoo soit pointé du doigt est compréhensible.
        
        Par contre que tu critiques lwn.net est nul.
        lwn.net fourni peut-être la meilleur synthèse sur les trous de sécurités. Qu'il générère un peu de compétion entre les distributions est bienvenu. De plus si un jours Gentoo traine *réellement* pour faire un correctif, comment tu le sais si ta seule source d'information c'est Gentoo ?
        
        Ce trou de sécurité je l'ai apris sur lwn.net. Et je peux te dire que ma distribution préférée n'a pas encore de correctif (source lwn.net et officielle). Que lwn.net lui mette un peu de pression ne peut pas lui fait de mal.

        • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

          Posté par tgl () le 19/03/2004 à 02:12. (lien). Évalué à 1.

          Que gentoo fournisse une liste de diffusion pour les trous de sécurité est d'une banalité affligeante.
          
          Évidemment que c'est banal, encore heureux pour les autres distribs, et je ne prétends pas le contraire, mais vois mal ce que ça a d'affligeant. T'as franchement une drôle de tournure d'esprit pour répondre des trucs pareils. Tu espères quoi ? Avoir le dernier mot cinglant quand je me serai lassé, histoire que soit consignée à jamais dans la grande mémoire du web ta victoire dérisoire à la petite joute que tu te seras inventée ? Ça ce serait affligeant.
          
          Que tu ne sois pas très heureux que Gentoo soit pointé du doigt est compréhensible.
          
          Merci de ta condescendance, mais je ne parlais pas pour gentoo en particulier, c'était un exemple. Une grosse moitié des annonces du 17 ne sont arrivées que ce soir sur LWN. Cette journée de décalage ceci-dit, je n'avais même pas pensé à la base que ça pouvais servir un troll, c'est toi qui me l'as montré en cherchant maladroitement à me contredire sur un détail dont tu aurais pourtant dû te foutre royalement.
          
          Par contre que tu critiques lwn.net est nul.
          lwn.net fourni peut-être la meilleur synthèse sur les trous de sécurités.
          
          Je ne critique pas LWN sur leurs rapports des trous de sécurités des logiciels, qui est effectivement souvent rapide. Et être informé vite d'une faille de openssl, c'est très bien, et merci à LWN de permettre ça, alleluia.
          Par contre je trouve inutile leur synthèse des annonces distrib par distrib, parceque c'est forcement du différé (avec des délais manifestement aléatoires) de ce qui est annoncé en premier lieu sur les mailing lists dédiées des distributions. C'est pas pour les flamer, je m'en fous qu'ils fassent cette page, c'est juste pour rappeler qu'il vaut bien mieux s'abonner à la mailing de sa distrib que de surveiller ça. En bref, je voulais modérer un peu l'enthousiasme du post initial de ce thread, point.

          • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

            Posté par mat1_3 () le 19/03/2004 à 23:35. (lien). Évalué à 1.

            > mais vois mal ce que ça a d'affligeant.
            
            C'est la banalité qui est affligeante. Moi aussi je suis abonné à une mailing list pour avoir les correctifs. Mais t'as raison, l'espression est malvenue (comme souvent quand elle est utilisée :-)).

      • [+] [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

        Posté par mat1 () le 19/03/2004 à 02:00. (lien). Évalué à -1.

        Rassures toi, Gentoo est dans la liste et a la bonne date :
        http://lwn.net/Articles/76158/(...)

Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

• [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

  Posté par Olivier (page perso, ) le 18/03/2004 à 15:17. (lien). Évalué à 2.

  Heureusement, toutes les 250 distributions Linux n'utilisent pas OpenSSL !

• [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

  Posté par dguihal () le 18/03/2004 à 16:28. (lien). Évalué à 2.

  T'as oublié le fait qu'il y a trois vulnerabilités, ce qui fait :
  3*250 = 750 Vulnerabilités,
  
  Linux est donc 15 fois moins sûr .....
  
  Bon, moi aussi je vais faire un tour ---->[]

  • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

    Posté par Mickaël Sibelle (page perso, ) le 18/03/2004 à 16:49. (lien). Évalué à 3.

    Vous avez oublié que Linux c'est 5 fois plus puissant que Windows :
    Linux est donc 45 fois plus dangereux que Windows !
    
    On me voit
    --> []
    on me voit plus

    • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

      Posté par imalip (page perso, ) le 18/03/2004 à 17:11. (lien). Évalué à 2.

      ah ! t'as fait ta multiplication avec un linux pas secure, toi.
      
      15 * 5 = ..... 45 ?
      
      Voyons, ma libssl pas mise a jour me dit que ca fait
      58.632145257
      
      Un peu de rigueur s'il vous plait !

      --
      "While a monkey can be a manager, it takes a human to be an engineer" Erik Zapletal

      • [^]Re: Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

        Posté par calandoa () le 18/03/2004 à 23:09. (lien). Évalué à 1.

        Ben oui mais tu utilises un float!
        
        forcement le résultat est arrondi (http://linuxfr.org/~clemyeats/10547.html(...)), à moins de l'exprimer en base 7 :
        
        112.42655315416