Encore des fuites de vulnérabilités ?

Posté par  . Modéré par Nÿco.
Étiquettes :
0
26
mar.
2003
Sécurité
Récemment des alertes non-publiées/non-publiques ont été postées sur des listes de diffusion. Ce n'est pas la première fois que cela arrive, mais la tendance étant quand même à l'augmentation de la fréquence de ce genre d'incidents..

Une présentation (lors d'Eurosec 2003) sur le sujet soulève également quelques questions intéressantes sur le sujet (full-disclosure vs vendor only, quand patcher, etc).

Aller plus loin

  • # Re: Encore des fuites de vulnérabilités ?

    Posté par  . Évalué à 10.

    C'est l'éternelle discussion entre les partisans de la diffusion des vulnérabilités trouvées (directement ou bien après un laps de temps) ou bien ce qu'on peut appeler 'la sécurité par l'obscurité'.

    Dans les deux camps on trouve des arguments valables et selon moi la solution "idéale" se trouve quelque part entre les deux points de vue.

    De toute manière, il est important de se tenir informé de ce qu'il se passe ... sur les sites hébergeant des listes de discussions ainsi qu'en étant abonné aux mailing-listes des principaux fournisseurs informatiques et logiciels.

    Ensuite, libre à chacun d'examiner ce qu'il faut faire (analyse de la faille, impact sur l'architecture informatique de l'entreprise, implémentation éventuelle, ...)

    • [^] # Re: Encore des fuites de vulnérabilités ?

      Posté par  . Évalué à 10.

      Ben c'est simple : l'admin ne doit pas laisser deviner quelle infrastructure il a mise en place ni la configuration de ses outils, par contre lui et le reste du monde doivent connaitre les failles de tous les outils (après un laps de temps permettant leur correction bien sûr).

    • [^] # Re: Encore des fuites de vulnérabilités ?

      Posté par  (site web personnel) . Évalué à 9.

      Le probleme c'est surtout la position du CERT, qui fait payer les distributeurs pour avoir la chance d'avoir les compte-rendus de vulnerabilites avant le reste du monde.... Et ca ce n'est pas tres tres ethique.

  • # Pourquoi ne pas tout dire ?

    Posté par  . Évalué à 10.

    Je comprend trés bien la position des développeurs et des admins qui veulent corriger une faille avant de la rendre publique , mais je pense que c risqué . Imaginez une appli avec une 100aine de dev qui bossent en commun , combien sur ces 100 utiliseront cette faille que l un d'eux aura mis a jour afin pirater ou faire toute autres choses malvaillantes ?

    Au contraire , rendre la faille publique dés le debut , outre une effet de panique (limité il me semble aux niveaux des admins / informaticien serieux ) , bcq d autre personnes chercheront a corrigé le problème , tout comme bcq chercheront a l utiliser , cependant , les admins etant mis au courant , ils n auront qu a arreter le service indesirable ou l appli buggée .

    Ces temps si on vois bcq de news qui declarent " prob de securité dans SuperProg , le patch est déja disponible " . C est quoi ca ? nous faire croire que le patch est sortis aussi vite que le bug a ete trouvé ? Non , c est simplement l annonce au "petit peuple" de l informatique (désolé je ne suis pas programmeur" . De plus je signalerai aux defenseurs de la methode d attendre le patch pour rendre publique une faille que a l interieur meme des cercles plus ou moins fermés des developpeur sur un projet ( on parle de LL ) , il y en a surement qui ne sont la que pour les news afferant a un nouveau bug dans sendmail , ssh , ou le kernel.

    Pour moi , je trouverai bien de prévénir tout le monde, meme mr lambda qd une faille est trouvé , que ce soit dans le noyau , ssh , ou xbill (iloveit) .

    Une des idées véhiculées par les LL n est elle pas l égalité ?

    enfin c mon humble avis

    • [^] # Re: Pourquoi ne pas tout dire ?

      Posté par  . Évalué à 7.

      Tout à fait d'accord, mais plus extrémiste (comme d'habitude diront certains) :
      Une faile concernant un logiciel libre ne devrait être annoncée ou pas QUE selon le bon vouloir du découvreur. Tout autre concept comportant une obligation quelconque est dejà du faschisme intellectuel (au mieux) de l'imposture (au pire).
      LIBRE = Je fais ce que je veux du logiciel et de ses failles et je respecte même encore plus le concept LL en diffusant l'information (le concept de base du LL hein ...).

      Dans la série 'Con comme une poule qui trouve un couteau' c'était les questions existencielles de 'Les geeks découvrent les dessous du LL' .

      Je me met -10 d'entrée aller @++

    • [^] # Re: Pourquoi ne pas tout dire ?

      Posté par  . Évalué à 3.

      > je pense que c risqué . Imaginez une appli avec une 100aine de dev qui bossent en
      > commun , combien sur ces 100 utiliseront cette faille que l un d'eux aura mis a jour afin
      > pirater ou faire toute autres choses malvaillantes

      euh... aucun?

      D'abord parce que c'est Mal(TM) et que les developpeurs de LL sont des gens Bien(TM).
      Mais surtout car si tu as passe des heures/jours/mois à developper un projet LL, je pense que tu n'a vraiment pas intérêt a lui nuire en exploitant une de ses failles.

      > Au contraire , rendre la faille publique dés le debut , outre une effet de panique (limité il
      > me semble aux niveaux des admins / informaticien serieux ) , bcq d autre personnes
      > chercheront a corrigé le problème , tout comme bcq chercheront a l utiliser , cependant
      > les admins etant mis au courant , ils n auront qu a arreter le service indesirable ou l
      > appli buggée

      Tiens, il y a une faille dans le noyau Linux, je vais arreter l'appli buggée... euh... ah ben c'est dommage...

      Pouvoir maintenir une qualité de service certaine à ses utilisateurs nécessite de patcher au plus vite et de ne pas arreter quoi que ce soit (en tout cas autant que possible).

      Je prefere prendre le risque d'un developpeur mal intentionné qui exploiterait une faille non-publique (chance quasi nulle) au risque d'un script-kiddie utilisant un exploit dispo sur le net, avant que j'aie les moyens de patcher...

      Je ne dis pas qu'il faut attendre systématiquement un patch (on attendrait toujours Microsoft par exemple), mais au moins laisser un temps aux developpeurs bien intentionnés de mettre à jour leur LL (c'est juste le respect du à leur travail) avant de rendre publique une faille.

      Mes deux Eurocents,

      DaFrog.

      • [^] # Re: Pourquoi ne pas tout dire ?

        Posté par  (site web personnel) . Évalué à 2.

        Y a bien des développeurs assez idiots pour saboter volontairement le paquet Debian de leur logiciel...

        http://www.debian.org/News/weekly/2003/07/(...)

        « Supprimer mICQ de Debian ? Martin Loschwitz a proposé de supprimer complètement mICQ de Debian car l'auteur amont a placé un « easter egg » (surprise cachée) dommageable et obscur dans le code, déjouant les tests du responsable du paquet. Anthony Towns a demandé à tous les responsables de relire les modifications amont avant d'empaqueter le code, Branden Robinson lit déjà toutes les lignes des correctifs qui sont appliqués à ses paquets XFree86. Rüdiger Kuhlmann a, par la suite, indiqué que les problèmes avaient été résolus et que l'« easter egg » a été supprimé. Martin Loschwitz a également envoyé une mise à jour. »

        D'ailleurs Brassens l'a dit, qu'on soit développeur de LL ou pas, quand on est con...

    • [^] # Re: Pourquoi ne pas tout dire ?

      Posté par  (site web personnel) . Évalué à 3.

      Euh, rappelons que lorsque l'on trouve une faille de sécurité dans un programme, c'est qu'il était déjà vulnérable depuis longtemps. Le fait d'annoncer la faille, par contre, va le rendre encore plus vulnérable.

  • # Re: Encore des fuites de vulnérabilités ?

    Posté par  . Évalué à 3.

    ---[ Microsoft Refuses To Fix NT 4.0 Exploit ]
    shmigget writes "The Register is reporting that Microsoft is throwing in the towel as far as NT 4 is concerned on the latest security flaw to affect Windows 2000, XP, and NT 4. They quote Microsoft as saying 'The architectural limitations of Windows NT 4.0 do not support the changes that would be required to remove this vulnerability.'" There still is a workaround for NT 4.0. Instead of patching the problem, it's advised to firewall off port 135 on an affected machine.
    < http://slashdot.org/article.pl?sid=03/03/27/1930256(...) >

    b111 abandonne ses machines, c'est tout dire.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.