mercredi 14 mai
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | O'Reilly | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

: Les soucis de Tuxfamily

Posté par Amaury (). Modéré le 28 janvier 2004.
Tuxfamily est une plate-forme d'hébergement de projets libres, dans la veine de SourceForge ou Savannah. À ce titre, les serveurs offrent des services au public, notamment l'hébergement de sites web, serveur CVS, accès FTP. Un ou plusieurs utilisateurs malintentionnés ont profité de ces services pour obtenir des privilèges administrateur sur une machine. Cette machine et les services associés ont été désactivés dès la découverte de la compromission.

Au-delà d'un problème purement technique, cette situation rend nécessaire une remise en question du mode de gestion des machines et des services offerts par l'association.

Tuxfamily fait ainsi appel à toutes les bonnes volontés pour proposer des solutions, et offrir de l'aide. L'association contribue au développement de plus d'un millier de projets libres, et fournit gratuitement des services à la communauté, aussi l'aide de tous est nécessaire.

Une liste de diffusion a été mise en place à ce sujet : discussions-subscribe (AT) association (DOT) tuxfamily (DOT) org.

Ndm : on nous signale également qu'un Wiki a été mis en place pour rassembler les idées de tous.

> Lire la dépêche (74 commentaires, moyenne: 3,3).  

Vous avez demandé le commentaire #347238.

Re: Les soucis de Tuxfamily

Posté par ghunt (page perso, ) le 28/01/2004 à 14:58. (lien). Évalué à 5.

C'est dans la logique de ce qui s'est passé récemment avec les serveurs Debian, Gentoo et autres. Et amha, ce n'est pas prêt de s'arrrèter! Il faut même s'attendre à une accentuation de ce type d'attaque sur tous les serveurs collaboratifs.

L'attaque a marché une fois.
Le procédé a sûrement été décrit sur un news-goup ou l'autre et maintenant, des "mariolles" en manque d'idée se mettent à attaquer tous azymuts.

De là à dire que c'est un complot fomenté par la firme de Redmond dans le cadre de sa grande campagne pour démontrer "l'insécurité" du libre, il n'y a qu'un pas (que je refuse de franchir pour l'instant).

Il ne faut pas se leurer non plus: le libre devient de plus en plus connu. Cet état de fait entraîne que de plus en plus de paisantains voudront cracker les machines.

Toute chose a des bons et des mauvais côtés, parfois complémentaires:
La force du libre (l'outil colaboratif) est la faille pour qui veut être nuisible (comme le démontre cette attaque).
La nuisance créée renforce le libre puisqu'un renforcement de sécurité (au sens large) va en résulter.

J'aurais quand même préféré la version white-hat de l'attaque.

  • [^]Re: Les soucis de Tuxfamily

    Posté par free2.org (page perso, ) le 30/01/2004 à 12:09. (lien). Évalué à 0.

    précisons que TF est particulier puisqu'il permet à ses utilisateurs de lancer leur propres exécutables sur le serveur, ce qui est puissant notamment pour avoir des cgi écrit dans n'importe quel langage, mais rend plus difficile la sécurisation de ce serveur

    • [^]Re: Les soucis de Tuxfamily

      Posté par Stephane Chauveau () le 13/02/2004 à 11:23. (lien). Évalué à 1.

      Cela n'est guere particulier. La pluspart des hebergements mutualises permettent de lancer n'importe quel executable de directe ou indirecte.

      Par exemple, mon hebergeur accepte les cgi perl et depuis perl, un appel de 'system( ) ' permet d'executer n'importe quel programme.

      • [^]Re: Les soucis de Tuxfamily

        Posté par Sylvain Rochet (Jabber id, page perso, ) le 15/02/2004 à 13:36. (lien). Évalué à 1.

        C'est bien a cause de ca que les services sont chrooter

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0525s (dont 0.0104 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.