Articles : Vulnerabilité dans wu-ftpd et problème de communication entre Redhat et ses concurrents
Posté par pasBill pasGates (). Modéré le 29 novembre 2001.
Il semble que les distribs entre elles appliquent les idées de Scott Culp (Microsoft), c'est à dire ne pas annoncer la faille avant que le correctif soit prêt, idée qui a pourtant été fortement décriée par Eric Raymond et nombre de supporters du libre.
Au passage on peut noter que Redhat connaissait la faille depuis le 20 novembre, ce qui signifie que la date de sortie prévue du 3 décembre donnait environ 2 semaines pour sortir un correctif.
![[en]](../images/en.png)
L'alerte sur SecurityFocus (656 hits)
> Lire la dépêche (78 commentaires, moyenne: 1).
Vous avez demandé le commentaire #82234.
Run by 
Cette page a été générée par Templeet en 0.1117s (dont 0.0103 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
admin, unissez vous
bon ben si meme le monde du libre se met a faire de la retension d'info et surtout de patch...
on se croirais chez petitmou...
c'est reelement domage car l'avantage du libre au niveau du libre c'est justement que des qu'un trou de securitee est trouve il est corrigé!
C'est pas pour troller mais merci red hat
[^]Re: admin, unissez vous
Ouaip...
La rétention d'info, n'est en effet pas une bonne idée.
Cela dit, l'auteur de la news peut-il préciser d'ou il tient la nouvelle (pas la faille, mais la rétention d'info, la lettre d'escuse)... Par la même ocasion, pourait-on connaitre le nom des distribs' dans le secret...
Ca fait assez société secrette ce truc :)
[^]Re: admin, unissez vous
J'ai vu ca sur Slashdot et sur un autre site qui etait linuxtoday je crois. Pour les autres distrib je crois me souvenir qu'il y avait Mandrake(pas sur) mais je sais pas pour les autres.
[^]confiance en /. ?!?
Slashdot = méfiance.
c'est pas la première fois qu'on y verrait une rumeur totalement diffamatoire. Je ne les considère plus comme une source d'info fiable.
-1 pour la peine, mais gaffe!
[^]Re: confiance en /. ?!?
Euh oui mais si il y a deux advisory sur securityfocus.com ca devient subitement bien plus credible :+)
[^]Re: confiance en /. ?!?
moi, j'ai confiance et je lis the register
http://www.theregister.co.uk/content/4/23082.html(...)
j'apporte ma petite contribution avec ce lien qui resume bien, si il y a encore lieu de le faire
[^]Re: confiance en /. ?!?
donc, la seule chose qui soit crédible dans ton post c'est qu'il y a un trou de secu dans wu-ftpd.
Rien de personnel pbpg, si le boulot de modero n'est pas d'ajouter les liens des sources d'infos ( si possible fiables... ), c'est sans doute un des role du modero de sanctionner ce genre de post où un vérité ( le trou de secu de wu-ftpd ) est noyée au milieu d'un ensemble de rumeurs (puisqu'impossible de verifier l'info).
Si tu as les excuses de redhat auprès des autres distrib sur le site de redhat, merci (vraiment) de nous en fournir l'url.
[^]Re: confiance en /. ?!?
Je ne les considère plus comme une source d'info fiable.
"(...) info viable .", tu voulais dire, non ?
[^]Re: admin, unissez vous
On peut lire le détail sur security focus:
http://www.securityfocus.com/news/293(...)
[^]Re: admin, unissez vous
Finalement, merci SomeNews et RootPrompt, je m'auto-répond :
L'article sur securityfocus, "Oops! Linux Bug Escapes Early", ici :
http://securityfocus.com/news/293(...)
(Z'auriez pu le mettre dans les liens de la news...)
Merci moi !!
Et hop [-] au commentaire précédent...
[^]Re: admin, unissez vous
Et hop [-] au commentaire précédent...
Zut j'peut po voter contre moi :(
[^]Re: admin, unissez vous
Ne t'en fais pas, on s'en charge ;-)
[Auto-scoré à -1, petite méchanceté gratuite]
[^]Re: admin, unissez vous
Le but n'est pas de faire de la rétention d'informations. Parfois, pour un trou important qui touche un grand nombre de systèmes, il vaut mieux annoncer la faille en faisant le moins de bruit possible et sans donner de détails techniques. Ca laisse du temps aux fournisseurs pour corriger et distribuer leurs programmes sans que les pirates soient capables d'utiliser la faille. Le principal avantage est de gagner du temps face aux pirates.
Ce n'est pas la première fois qu'un site comme security focus ou bugtraq se plaint du comportement d'une distribution linux du point de vue des annonces/maj de sécurité. La dernière fois il me semble que c'était à cause de la vulnérabilité format string qui touchait quasiment tous les unix, et plusieurs distrib linux l'ont annoncé bcp trop tôt.
Sacré pbpg, dès qu'il trouve une pique à lancer sur le libre ou son fonctionnement, il peut pas s'en empêcher...
[^]Re: admin, unissez vous
La pique c'etait de montrer que les distrib vont plus loin que ce que MS preconisait, alors qu'ils s'etaient fait allumer par les supporters du libre pour ca.
MS disait:
- on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
- on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille
Les distrib ont fait:
- On ne revele rien avant la sortie du patch
Alors bon, si vous arrivez a vivre avec ce que les distrib font, vous pourrez surement vivre avec la methode MS qui est moins obscure, ou sinon, traitez les distrib de tous les noms comme ca c'est passe pour MS.
[^]Re: admin, unissez vous
Je suis d'accord, mais il y a quand meme une GROSSE différence. MS suggère de faire ça TOUT LE TEMPS alors qu'ici c'est (censé) être exceptionnel. Comme il y a plusieurs fournisseurs différents, il faut qu'ils sortent les annonces de failles et les correctifs en même temps, sinon les retardataires sont pénalisés et leurs distros risquent d'être piratées. Ca c'est l'explication, pas ce que je pense vu que je ne suis pas d'accord avec cette façon de procéder.
En général, les annonces sont faites au plus tôt, non?
Au fait, je me permet de compléter:
MS disait:
- on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
- on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille
...SI on a envie de sortir un patch
[^]Re: admin, unissez vous
Non, si la boite qui trouve la faille ne voit rien apres 30 jours ils peuvent sortir les details, que MS ait sorti le patch ou pas.
Faudrait voir a arreter les petites insinuations de ce genre sans fondement, si je me mettais a faire de meme sur Linux ca foutrait une atmosphere peu agreable je pense.
[^]Re: admin, unissez vous
pbpg, il ne faut pas mélanger le caviar et les esturgeons.
Les deux méthodes de fonctionnement n'ont rien à voir et ne peuvent être comparées puisqu'elles s'appliquent d'une part à du logiciel libre pour linux, et d'autre part, à du logiciel closed source pour windows.
Dans le cas de windows, si tu découvres une faille de sécurité, soit tu la soumets à crosoft, soit tu la divulgues ou l'exploites. Dans les deux cas, crosoft n'a rien à redire sur ton attitude et ne peut rien faire d'autre que de crier à l'irresponsabilité vu qu'ils gardent jalousement leurs sources. Qu'ils assument comme des grands les désavantages de leur mode de fonctionnement.
Dans le cas de red hat, les sources sont disponibles. Tu prends la communauté du libre pour une bande de cons. Tu penses que le mec de red hat (ou un autre acteur du libre) qui tombe sur une faille va aller la divulguer connement alors qu'il peut résoudre le probléme grâce aux sources et annoncer la faille quand tout est réglé? Tu profites d'une simple erreur de coordination pour essayer de nous assimiler à ton monde de la supercherie.
Ca ne marche pas avec moi, ces arguments à 2 balles.
>Faudrait voir a arreter les petites insinuations de ce genre sans fondement, si je me mettais a faire de meme sur Linux ca >foutrait une atmosphere peu agreable je pense.
Tu te réponds à toi même là?
[^]Re: admin, unissez vous
Moi je crois surtout que t'as absolument rien compris a ce que j'ai dit.
Ce que Redhat/Suse/... faisaient(s'entendre pour ne pas sortir la faille avant le patch), moi je suis pour.
Ce qui m'agace c'est les gars qui ont hurle sur MS quand il a propose un truc un petit peu moins obscur que ca, j'aimerais donc qu'ils hurlent de la meme maniere ici ou qu'ils admettent qu'ils s'etaient trompes dans le cas MS.
Si moi demain je trouves une faille dans Linux et que je la crie sur tous les toits avec les details, ben ca fout tout le monde dans la merde car les script kiddies peuvent s'amuser a torcher tous les systemes Linux sur le net, et ton open-source il fait rien contre ca car les scripts kiddies auront l'exploit avant que le patch soit sorti.
[^]Re: admin, unissez vous
Si toi tu la connais la faille, il y a de grandes chances pour que d'autres la connaissent aussi. Je peux te dire que ce genre d'infos circulent très vite par les channel IRC et autres sites pirates à 2 sous... Les seuls qui ne sont pas au courant après, ce seront les admins. Cool !
Tu dis:
Ce qui m'agace c'est les gars qui ont hurle sur MS quand il a propose un truc un petit peu moins obscur que ca, j'aimerais donc qu'ils hurlent de la meme maniere ici ou qu'ils admettent qu'ils s'etaient trompes dans le cas MS.
On ne peux pas comparer une démarche générale et un cas particulier. D'ailleurs, certaines personnes qui ont posté (trollé?) sur cette news ne sont pas d'accord avec cette méthode et le disent (kael, moi et d'autres...)
C'est clair que de toute façon ça va moins gueuler que pour MS... on ne se refait pas.
[^]Re: admin, unissez vous
Mais non, si tu donnes des la decouverte de la faille des infos generales sur la faille et un workaround, les admins peuvent se proteger en attendant le patch, et les script kiddies peuvent pas utiliser l'exploit pour torcher 90% des serveurs. Les admins ils y perdent rien.
Dans le pire cas ca ne change rien car les details ont ete divulges d'une maniere ou d'une autre.
[^]Re: admin, unissez vous
30 jours c'est beaucoup trop. Ca laisse largement le temps de savoir utiliser la faille, mais on ne donne pas les moyens aux admins de s'en protéger! Je trouve que c'est une démarche irresponsable.
Rien que les 2 semaines pour corriger wu-ftpd je trouve que c'est trop long. Quand on a un trou de sécurité aussi important que celui-là on met un développeur dessus jusqu'à ce que ce soit fini et point barre. Pas besoin de 2 semaines pour ça! Je veux bien croire que le cycle patch/compilation/test/packaging/test/re-test... soit long, mais quand même!
Ah oui, encore un mot pour ce qui est de divulguer ou pas les failles dès leur apparition: Il y a une différence entre une faille découverte par l'auteur du soft et quelqu'un d'autre. Dans le premier cas, on peut se permettre de ne pas tout divulguer tout de suite et voir avec les distributeurs pour correction rapide de la faille. C'est le cas où pour moi ça pose pas de pb. Par contre si c'est qqun d'autre, tu n'as aucune certitude sur le nombre de personnes au courant et la connaissance de la faille peut se répandre. Là, tu dois divulguer.
Mais ce n'est que mon avis. Le principe, c'est que tu ne peux pas te permettre de ne pas donner aux gens les moyens de se protéger SAUF quand la connaissance de la faille est très réduite et de façon certaine.
[^]Re: admin, unissez vous
Ben si on prend l'exemple de IE et les cookies:
- Tu dis des la decouverte de la faille:
"Il y a une faille dans la gestion des cookies, il est fortement conseille de bloquer la gestion des cookies pour eviter d'etre une victime"
Tu donnes un moyen aux gens de se proteger et tu ne dis pas aux script kiddies comment profiter de la faille
Ensuite, des que le patch est pret ou dans X(MS a propose 30) jours tu devoiles les details
Le patch est dehors donc les gens peuvent reutiliser les cookies et sont proteges
Les gens peuvent voir la faille et tester le patch
...
Ou est le probleme ?
[^]Re: admin, unissez vous
Dans ce cas précis ça ne pose pas vraiment de pb, si c'est MS qui a découvert la faille car dans ce cas ce sont les seuls à être au courant. Aucune chance que la faille se répande parmis les script-kiddies (je rappelle que ce sont des tocards en piratage, encore faut-il que qqun leur mâche la marche à suivre pour qu'ils soient capables d'y arriver et ça prend du temps...)
Mais dans le cas présent, la faille est considérée comme étant NON-EXPLOITABLE. Je ne comprend même pas qu'ils aient voulu ne pas divulguer la faille, ça ne sert à rien...
[^]Re: admin, unissez vous
Ben si c'est exploitable: http://www.securityfocus.com/archive/1/242750(...)
Mais la question n'est pas la, que MS(ou autre) soit le seul a etre au courant ou pas ne change rien, il faut limiter le plus possible les moyens de profiter de la faille jusqu'a ce que le patch soit sorti, ca n'empeche pas d'annoncer la faille mais ca protege au maximum en attendant le patch. Au pire c'est le meme resultat, au mieux ca empeche les script kiddies de hacker des machines.
[^]Re: admin, unissez vous
Ah oui, merde... Mais apparemment c'est assez dur à faire, dlc des script-kiddies.
On est d'accord sur le but (limiter le plus possible les moyens de profiter de la faille)Dans le monde propriétaire, de toute façon personne n'a les sources et est obligé d'attendre le patch. Donc au pire c'est le meme resultat, comme tu le dis.
Dans le monde libre, tout le monde a les sources, et peut faire le patch lui même ou l'appliquer dès qu'il est sorti. Donc quand tu divulgues les détails tu permet aux gens de se protéger. Bon tu vas me dire que les gens qui ne se tiennent pas au courant ne verront pas passer l'affaire et risquent de se faire pirater, je suis d'accord. Mais de toute façon ce sont les mêmes personnes qui ne vont pas appliquer les patches qui sortent (que ce soit MS ou Red Hat n'y change rien: luser error!)
Les différences sont tellement grandes entre les modèles de développement et de participation entre le proprio et le libre qu'on ne pet pas comparer nos manières de fonctionner en sécurité.
Tu remarquera que MS essaye d'appliquer sa méthode à tout le monde, pas nous même si on a tendance à prêcher pour le full disclosure. Je sais ça se voit pas tellement dans ce site au vu des commentaires souvent anti-ms et pro-libres au point d'être parfois aveugles et gratuits (je le sais j'en fais aussi). Les orientations du libre en matière de sécurité et les commentaires d'ici ne se reflètent pas forcément.
[^]liste des distrib assez bizarre
Ils (Security Focus) précisent des distrib que n'installent pas wu-ftp par défaut.
Les Mandrake intallent proftpd, wu n'est présent que sur le CD2. En comptant comme ça, tout système POSIX sur lequel il est possible de compiler wu.
[^]Re: admin, unissez vous
Moi je dis, distribs = mefiance....
Rien ne vaut un bon LFS a partir des sources
Nothing's impossible... Everything's relative!
[^]Re: admin, unissez vous
Le fait est que le procede de contacter les societe et codeurs pour leur laisser le temps de patcher n est pas nouveau et MS n a rien revolutionner.
C est juste que les recommandations de liste comme bugtraq ne sont pas forcement suivi.
.
c est pour ca que je trouve certain cote de cette news a cote de la plaque. et fait tres petite revanche.
[^]Re: admin, unissez vous
Il est absolument pas question de revolutionner/innover ou quoi que ce soit, il est question d'eviter que les script kiddies puissent s'amuser a faire torcher la moitie des machines sur le reseau car l'exploit a ete divulgue avant le patch.
MS a propose une solution a ca, et le monde du libre l'a descendu en flamme. Maintenant les gens du libre se rendent compte que leurs distribs preferees font la meme chose, alors soit ils sont en accord avec eux meme et ils agissent de la meme maniere avec leurs distrib qu'avec MS, soit ils admettent qu'il n'y avait aucune raison de hurler contre MS.
C'est juste une histoire d'etre equitable entre 2 entites qui se comportent de maniere identique.
[^]Re: admin, unissez vous
Mais c'est que tu insistes avec vouloir comparer toi! Si tu veux des excuses parce qu'on t'a froissé, dis nous: "nos modes de fonctionnement ne sont pas les mêmes et dans un monde closed source, le notre est vital à la sécurité. Il ne s'applique pas à vous donc ne le dénigrez pas". Là, ok. Désolé, pbpg, on a tort de critiquer vos trucs comme ça, on recommencera plus...
Mais, tu nous dis:"red hat a corrigé une faille et n'a rien dis, na. C'est comme nous, na".
Non, ce n'est pas comme toi et c'est assez puérile. Nous avons les sources. Chez nous, quelqu'un de responsable et d'assez compétent qui tombe sur une faille, la corrige dans son coin, rend disponible le patch et la faille. Y'a pas mieux!
Chez toi, quelqu'un de responsable qui tombe sur une faille ne pourra jamais savoir si elle est assez compétente pour résoudre le probléme et, si elle fait le malheur de mettre quelqu'un qui pourrait remonter l'affaire, on la traite de pirate irresponsable.
Deux églises, deux sons de cloche différents! Je trouve que la notre à un meilleur timbre :)
[^]Re: admin, unissez vous
Sacré pbpg, dès qu'il trouve une pique à lancer sur le libre ou son fonctionnement, il peut pas s'en empêcher...
Et combien de pique tu vois journalierement sur microsoft ? Comment peut on lui reprocher son manque d'objectivité avec autant de trolls sur microsoft ...
[^]Re: admin, unissez vous
Normalement on a une mailing list privé de tout les vendors qui s'informe entre eux et ou on coordone l'advisory pour que ca soit faire en meme temp. La y a eu un probléme de communication avec les gars de RH.. Et il ont fait des excuses....