Faille Sendmail et vulnérabilité OpenSSH

Posté par  (site web personnel) . Modéré par Nÿco.
Étiquettes :
0
18
sept.
2003
Sécurité
Olivier HOUTE nous informe :
Faille dans sendmail (exploitable en local).
Une nouvelle faille de sécurité vient d'être trouvée
dans Sendmail (y compris le 8.12.9). Le site Sendmail n'est pas encore à jour, mais le patch est déjà disponible.

Samuel DUBUS nous apprend l'existence d'...
Une vulnérabilité dans la nouvelle version de OpenSSH !

Alors que la nouvelle version de OpenSSH vient à peine de sortir il y a deux jours, une vulnérabilité permettrant un déni de service sur le démon OpenSSH vient d'etre découverte. Cette vulnérabilité est exploitable sur toutes les versions d'OpenSSH jusqu'à la version 3.7. Une nouvelle version est déjà disponible sur le site de OpenSSH : la 3.7.1.

Alors, pour ceux qui ne sont pas à jour ... direction le site de téléchargement d'OpenSSH. Patch Sendmail :

RCS file: /cvs/src/gnu/usr.sbin/sendmail/sendmail/parseaddr.c,v
retrieving revision 1.16
diff -u -r1.16 parseaddr.c
--- parseaddr.c 29 Mar 2003 19:44:01 -0000 1.16
+++ parseaddr.c 16 Sep 2003 17:37:26 -0000
@@ -700,7 +700,11 @@
addr[MAXNAME] = '\0';
returnnull:
if (delimptr != NULL)
+ {
+ if (p > addr)
+ p--;
*delimptr = p;
+ }
CurEnv->e_to = saveto;
return NULL;
}

Aller plus loin

  • # Re: Faille sendmail et vulnérabilité OpenSSH

    Posté par  . Évalué à 10.

    la vulnéralité n'est pas prouvé encore...
    cela reste une correction de bug, l''exploit serait dans la nature, mais aucun expert n'en donne une trace.
    Quand les whitehat donne l'exploit tout va bien, mais si les blackhat garde les exploits pr eux il y a peu de chance, d'être sur des faisablités.
    Reste les honeypots mais faut il qu'il soit intéréssant pour attirer
    ces tentatives.

    • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

      Posté par  . Évalué à 6.

      Pour SSH, ce "bug" (si tu tiens à l'appeler ainsi) aprait tout de même beaucoup plus exploitable que le précédent... disont qu'il est quand même fort probable vu la tronche du problème d'en sortir un exploit... Et quoi qu'il advienne, même si tu doute, autant patcher...

      • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

        Posté par  . Évalué à 2.

        j'ai patché, mais je voulais surtout mettre l'accent sur le fait, que si personne ne divulgue un exploit, il y a toujours un doute.
        scoré a -1 on se demande pourquoi

      • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

        Posté par  . Évalué à 10.

        je me réponds à moi même pour rajouter l'explication de Franck Denis ici même mais sur la news précédente (pour ne pas 'voler' l'explication) : http://linuxfr.org/comments/270995.html(...)

        Et pour ceux qui ne veulent pas cliquer :
        Dans le premier cas lors de la libération il y a 32K de zeros supplémentaires qui sont écrits. 32k c'est beaucoup, ca bousille toutes les structures qui suivent et à part un crash, on ne peut pas en tirer grand chose.
        Dans le second cas ce ne sont que 10 octets supplémentaires qui sont écrits, on peut donc (suivant l'implémentation de malloc) toucher quelque chose d'intéressant juste après, et changer la taille d'un bloc utilisé par la suite.
        D'autre part le premier bogue s'obtient en cas de saturation de mémoire.
        Le second est beaucoup moins aléatoire à provoquer.

        • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

          Posté par  . Évalué à 5.

          Intéressant et tous le monde a relut les sources avec cette annonce et cela fait du bien au soft.

        • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

          Posté par  (site web personnel) . Évalué à 4.

          La saturation de mémoire, c'est pas trés aléatoire à provoquer, à mon sens :)

          La vrai question est de savoir ce que la libération d'une zone mémoire peut provoquer. Prenons une variable qui serait touché par ce "nettoyage", sous quelle condition peut t'on exploiter ça ?

          A part un pointeur à moitié effacé, qui pointerai du coup sur une autre zone, qui serait théoriquement sous le controle du pirate, je voit pas trop. Et, ça ne me semble pas être trés trivial.

          Et sauf erreur de ma part, c'est suivi par un appel à fatal, qui se traduit par un message d'erreur et un exit, non ?

          Donc, il faut réussir à corrompre la section .dtors ( éxecuté à la fermeture, pour les programmes compilés par gcc ) pour exploiter ça, ou réussir à corrompre l'appel à fatal, ou à exit, ou à une fonction, ce qui me semble donc être plus facile à exploiter par la suite.

          Si jamais on arrive justement à corrompre un de ces éléments, alors, la faille est dans la corruption, et pas dans le crash. Car la charge se déclencherai alors lors d'une extinction ( exemple, un upgrade ), ce qui est tout aussi mauvais.

          J'ai bon, ou je raconte des conneries ?
          J'ai peut être oublié quelque chose dans mon raisonnement.

    • [^] # Le CERT annonce les vulnérabilités: c'est un organisme hyper crédible !!

      Posté par  . Évalué à 2.

      Pour moi, à chaque fois que le CERT annonce une vulnérabilité, c'est à prendre au sérieux !!

      Par contre en France, le CERTA ne publie que celle de OPENSSH et pas cette nouvelle faille de Sendmail.
      http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-152/index.html.2.h(...)
      La précédente faille de SendMail publièe par le CERTA datait du 3septembre:
      http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-141/index.html.2.h(...)

      CERT issued an advisory on Tuesday for the OpenSSH vulnerability and another on Thursday for the Sendmail flaw.

      http://www.cert.org/advisories/CA-2003-24.html(...)
      The OpenSSH issue affects versions before 3.7.1 and occurs as a problem in the way the software stores chunks of data using storage areas called buffers. Cisco said it has products that are affected, while Red Hat, Sun Microsystems and IBM's AIX Toolbox for Linux all use versions of OpenSSH that could be vulnerable.

      http://www.cert.org/advisories/CA-2003-25.html(...)
      The Sendmail flaw affects versions before 8.12.10. HP, IBM and Red Hat are among the software makers that use Sendmail and whose products could be affected.


      A propos, avez vous aussi vu la vulnérabilité mySQL du 16 septembre ?
      http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-151/index.html.2.h(...)

  • # Re: Faille sendmail et vulnérabilité OpenSSH

    Posté par  . Évalué à 0.

    Et dire qu'il y a moins d'une journée que je signalais que Slackware fournissait malheureusement Sendmail (http://linuxfr.org/~kapouik/5424.html(...)) alors qu'il existe des serveurs de messagerie bien plus sécurisés et pratique ! Comme quoi, malgré ce que disent les fervents défenseurs de sendmail, l'actualité confirme cet état de fait : sendmail a rendu de nombreux services mais des alternatives mieux pensées s'imposent au fil du temps (postfix, exim, qmail, ...).

    • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

      Posté par  . Évalué à 5.

      > mais des alternatives mieux pensées s'imposent au fil du temps (postfix, exim, qmail, ...).

      Les concurrents sont peut-être géniaux mais il y a un fait qu'il ne faut pas oublier :
      - l'erreur est humaine

      De plus faire croire qu'il existe des méthodes miracles pour ne pas avoir de trou de sécurité est du pipo et me fait penser à certaines propagandes (forts prometteuses) de microsoft.

      • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

        Posté par  (site web personnel) . Évalué à 8.

        Salut Steeve,

        S'il n'y a pas de méthodes miracles pour programmer des soft dépourvus de bugs (et donc de trous de sécurité), il y a quand même moyen de limiter grandement les risques en suivant quelques conseils, comme ceux qu'ont peut trouver là http://www.dwheeler.com/secure-programs/(...)

        • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

          Posté par  . Évalué à 1.

          Pour commencer, il faudrait utiliser des langages à la base un peu plus sécure (ex: Ada ;-) mais ça limite de suite beaucoup le nombre de développeurs potentiels, dommage :-(

          • [^] # Commentaire supprimé

            Posté par  . Évalué à 4.

            Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

        Posté par  . Évalué à 5.

        Non, il n'existe pas de méthode miracle, mais de sains principes de développement
        qui permettent de limiter les conséquences d'une erreur (en matière de sécurité et autres).
        Sendmail est un bon exemple de ce qu'il ne faut pas faire même si son age canonique
        et ses origines l'excusent en partie.

        • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

          Posté par  . Évalué à 3.

          > mais de sains principes de développement qui permettent de limiter les conséquences d'une erreur (en matière de sécurité et autres).

          Exemple d'application de ces sains principes sur ce trou de sécurité de sendmail ?
          Et autre chose que l'audit du code.

          > Sendmail est un bon exemple de ce qu'il ne faut pas faire

          Tu peux dire la dernière foi où il y a eu une "catastrophe" avec sendmail ?
          Je veux dire un exploit avec perte de donnée ou serveur inutilisable et que les média en ont parlé.

          > même si son age canonique et ses origines l'excusent en partie.

          L'age n'a rien à voir.
          Linux (le noyau) a plus souvent des trous de sécurité que sendmail et il est récent. Le dernier gros problème est avec modutils et gnu.org s'en rappèle.
          Linux est pour toi aussi un "bon exemple de ce qu'il ne faut pas faire" ?

          • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

            Posté par  . Évalué à 4.

            D'ailleurs, en terme d'âge, on peut presque les comparer puisque la série des V8 de Sendmail a commencé en 1992. A cette époque, Eric Allman avait plus ou moins laissé son bébé en l'état, d'autres développeurs y étaient aller de leur propre mouture. Eric Allman a alors décidé de tout reprendre en intégrant différentes fonctionnalitées présentes dans les autres moutures. La série des V8 n'a a priori pas grand chose à voir avec delivermail et les versions suivantes de Sendmail.

            Tout cela pour dire qu'il faut arrêter de taper sur Sendmail sous prétexte que c'est vieux et patati et patata. Le fait qu'il soit encore aussi présent sur le net n'est pas uniquement lié à son aspect historique ou à son âge vénérable. Sendmail est un très bon MTA, l'un des meilleurs en terme de montée en charge (raison pour laquelle RedHat en fait son MTA par défaut) et l'un des plus souples en terme de configuration. Des failles? Comme le précise Austin, elles n'ont pour l'instant pas engendré de catastrophes (ce qui n'empêche pas d'être vigilent) et les développeurs sont réactifs.

            Simplement, c'est à son approche que l'on fait la différence entre les hommes et les petits garçons....

            • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

              Posté par  . Évalué à 0.

              > taper sur Sendmail sous prétexte que c'est vieux

              Et c'est donné raison à l'argument de MS : Unix c'est vieux, donc c'est pourri.

            • [^] # Commentaire supprimé

              Posté par  . Évalué à 5.

              Ce commentaire a été supprimé par l’équipe de modération.

              • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

                Posté par  . Évalué à 3.

                La conf d'un sendmail n'est pas une merdouille si tu renonces à éditer directement le sendmail.cf, chose qui est écrite un peu partout dans la doc, les newsgroups,... Il suffit d'utiliser les macros m4, et là, je suis désolé, mais on peut couvrir la quasi totalité des besoins avec un fichier de macro de quelques lignes lisibles par un être humain. RTFM

      • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

        Posté par  . Évalué à 2.

        De plus faire croire qu'il existe des méthodes miracles pour ne pas avoir de trou de sécurité est du pipo et me fait penser à certaines propagandes (forts prometteuses) de microsoft.
        Et on fait quoi de l'Atelier B ? Parce qu'un prof me soutenait que ça permettait de faire des choses sans faille, une fois qu'on avait tout prouvé par ce truc. (pas de troll sur les profs, merci pour eux...)

        • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

          Posté par  (site web personnel) . Évalué à 3.

          Et on fait quoi de l'Atelier B ? Parce qu'un prof me soutenait que ça permettait de faire des choses sans faille, une fois qu'on avait tout prouvé par ce truc.
          Oui, tu peux prouver formellement qu'un programme est conforme à une modélisation. Ensuite, il peut toujours y avoir des erreurs dans la modélisation (mais c'est vrai qu'il est plus facile de se "convaincre" de l'exactitude d'une modélisation que de celle d'un programme). Et le prouveur peut aussi être buggé, mais là ça serait vraiment pas de chance ;).

        • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

          Posté par  (site web personnel) . Évalué à 4.

          Oui, on peut faire des programmes garantis sans buffer overflow.

          Sans aller chercher jusqu'à l'Atelier B, il suffit de programmer en Java ou en Ada, ou n'importe quel language qui implémente des verification de débordement de tableau et autres à l'execution. (en Ada, en cherchant bien, il doit y avoir moyen de faire pointer un pointeur dans le vide, mais en Java, le pointeur est initialisé à null, et la mémoire n'est désallouée que par le garbage collector, donc, seulement lorsque personne ne pointe dessus.)

          MAIS ces vérifications à l'execution sont une perte de temps dans beaucoup de cas ou le programmeur est sur qu'il écrit dans la zone mémoire qu'il veut. Pour des applications destinées à des serveurs, cette perte de temps de calcul serait intolérable.

          Pour ce qui est de l'atelier B, il y a si mes souvenirs sont bons 500 hommes.mois de travail pour 50 000 lignes de code pour le métro météor. Fais une règle de trois pour voir ce qu'il faudrait pour le code d'un gros projet, et tu verras que ce n'est pas n'importe qui qui peut se le permettre.

          • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

            Posté par  . Évalué à 1.

            Je ne suis pas d'accord sur la perte de temps des vérifications dynamiques : si on compare le surcoût d'une machine un peu plus puissante, je suis sur qu'on arrive bien dessous des coûts liés aux failles de sécuritées qui auraient ainsi pu être invitées (c'est que ça revient cher à l'heure, un administrateur).
            Et n'oublions pas qu'avec des bons compilos Ada (vive GNAT!), beaucoup des vérifications dynamiques sont tout simplement supprimées, quand le compilo "prouve" qu'en tout cas à l'éxécution, il n'y a forcément pas de problèmes.

      • [^] # Re: Faille sendmail et vulnérabilité OpenSSH

        Posté par  . Évalué à 2.

        errare humanum est, perseverare diabolicum

  • # Re: Faille sendmail et vulnérabilité OpenSSH

    Posté par  . Évalué à 5.

    > Alors, pour ceux qui ne sont pas à jour ... direction le site de download de OpenSSH.

    Direction sa distribution en premier. J'ai contrôlé pour RedHat et Mandrake et les correctifs sont dispos (J'ai pas contrôlé les autres).

    RedHat indique qu'il n'y a pas encore d'exploit du trou de sécurité de sendmail mais qu'un exploit est potentiellement possible à distance. Le trou n'existe pas pour la configuration par défaut.

    Par contre pour OpenSSH c'est plus urgent.

  • # Re: Faille sendmail et vulnérabilité OpenSSH

    Posté par  . Évalué à 2.

    Codées avec les pieds ou pas, l'avantage des applications opensource c'est le temps de réactivité pour les propositions de corrections... Quand le problème est connu.

    en route pour un update...

    Je trolle dès quand ça parle business, sécurité et sciences sociales

  • # Re: Faille sendmail

    Posté par  (site web personnel) . Évalué à 6.

    Euh, la faille sendmail est exploitable a distance :
    http://www.secunia.com/advisories/9758/(...)

    Faudrait rectifier la news qui dit : "Faille dans sendmail ( exploitable en local ).".

    Steph

    • [^] # Re: Faille sendmail

      Posté par  . Évalué à -1.

      > Euh, la faille sendmail est exploitable a distance :

      Où tu vois ça ?

      Je vois seulement :
      Description:
      A vulnerability has been identified in sendmail possibly allowing malicious people to gain system access.

      The problem has been identified in the "prescan()" function. Different attack vectors are possible. No further information is available.

  • # Alternative à OpenSSH

    Posté par  . Évalué à 4.

    Je suis légèrement saoulé de patcher 10 fois par an mon serveur SSH, surtout vu la criticité de ce logiciel. De quelles alternatives à OpenSSH dispose-t-on réellement ?
    Il y a bien sûr les alternatives propriétaires, mais pour diverses raisons elles ne m'intéressent pas.

    Des idées ?

    • [^] # Re: Alternative à OpenSSH

      Posté par  (site web personnel) . Évalué à 0.

      Tu peux commencer par patcher ton petit Linux (considerant que c'est un linux que tu tournes) avec un patch genre http://www.grsecurity.net(...) ce sera un debut.

      C'est beau de se plaindre d'un produit opensource, tu devrais leur ecrire ... Tu peux aussi lancer ton projet en fork et voir combien vont suivre, apres tout c'est aussi une des forces du libre, t'est pas content, tu fais mieux.

      J'ai rien contre toi mais ta remarque m'a fait monter mon taux de cafeine deja extremement eleve ...

      Tiens, j'entends une voix... un cri... la porte ? d'accord.
      Steph

      • [^] # Re: Alternative à OpenSSH

        Posté par  (site web personnel) . Évalué à 6.

        C'est beau de se plaindre d'un produit opensource, tu devrais leur ecrire ... Tu peux aussi lancer ton projet en fork et voir combien vont suivre, apres tout c'est aussi une des forces du libre, t'est pas content, tu fais mieux.
        J'ai rien contre toi mais ta remarque m'a fait monter mon taux de cafeine deja extremement eleve ...

        Il se plaint un tantinet OK, mais une telle demande n'a rien de si négatif.
        Il voudrait juste se renseigner si une alternative à OpenSSH existe et je trouve que cela n'a rien de négatif.

        C'est comme si un gars postait : "j'en ai marre de patcher mon Sendmail 10 fois par an, existe-t'il une alternative?", et là, on lui répondrait "postifx, exim, qmail, ...".

        J'avoue que, perso', je me pose aussi la question d'alternatives à OpenSSH, pas en raison de ses trous de sécu', mais tout simplement parce que l'avantage du libre c'est souvent : "il y a plus d'une manière de résoudre un problème".

    • [^] # Re: Alternative à OpenSSH

      Posté par  . Évalué à 6.

      t'as du choix ici:
      http://www.lysator.liu.se/~nisse/lsh/(...)
      mais je pense qu'openssh va finir par etre robuste.

      • [^] # Re: Alternative à OpenSSH

        Posté par  . Évalué à 0.

        "je pense qu'openssh va finir par etre robuste"

        Je pense que les produits microsoft aussi. mdr...

        Blagues à part, openssh rejoindra probablement sendmail et bind sur pas mal de machines ( /dev/null ), dès qu'une alternative serieuse se presentera.

        • [^] # Re: Alternative à OpenSSH

          Posté par  . Évalué à 1.

          Sauf qu'openSSH est opensource et plus de monde a les yeux dessus....

          • [^] # Re: Alternative à OpenSSH

            Posté par  . Évalué à 0.

            ouaip ouaip... Sendmail et bind aussi sont opensource. /dev/null je te dis. opendource ou pas, il y a un moment où il faut jeter le soft.

            openssh commence à entrer severement dans cette categorie.

            • [^] # Re: Alternative à OpenSSH

              Posté par  . Évalué à 1.

              Quels sont les alternatives à ISC BIND (Si c'est aussi évident) libre ou opensource, évidemment ?
              J'ai beau chercher je ne trouve pas ... je dois mal chercher. Une suggestion ?

              • [^] # Re: Alternative à OpenSSH

                Posté par  . Évalué à 1.

                MaraDNS (domaine public): http://www.maradns.org/(...) si tu cherches un serveur d'autorité.
                DNSMasq ou PDNSD (tous deux GPL): http://www.thekelleys.org.uk/dnsmasq/doc.html(...) et http://www.phys.uu.nl/~rombouts/pdnsd.html(...) si tu cherches un serveur récursif uniquement.

                Ayant testé MaraDNS et DNSMasq, je peux dire qu'ils fonctionnent tous deux fort correctement. Je n'ai bien sûr pas testé dans des conditions extrèmes, mon utilisation étant très limitée.

              • [^] # Re: Alternative à OpenSSH

                Posté par  . Évalué à 2.

                Quels sont les alternatives à ISC BIND (Si c'est aussi évident) libre ou opensource, évidemment ?

                Le djbdns est pas mal du tout, mais il n'implémente pas certains trucs. C'est fait par le réputé (en terme de sécurité) Daniel J. Bernstein, un mathématicien. Il a aussi fait qmail. Utilise Google pour l'URL, je ne l'ai pas sous la main.

                Je le mentionne car ça dérange certaines, sa licence est un peu particulière car il n'autorise pas la redistribution de ses sources modifiées, seulement des sources + patches. La raison est qu'il garantit son code (il a tout audité soigneusement).

            • [^] # Re: Alternative à OpenSSH

              Posté par  . Évalué à 1.

              En un coup de cuillere a pot ils ont trouvé un exploit sur lsh...
              (voir liste full-disclosure)
              comme quoi faut pas tout mettre dans le meme panier.
              Openssh n'est pas sendmail (longeur du code et feature).

      • [^] # Re: Alternative à OpenSSH

        Posté par  . Évalué à 3.

        Il existe aussi DropBear, qui n'utilise pas la bibliothèque SSL ; de plus, lié statiquement avec la µClibc, l'exécutable fait moins de 200 Ko. Note, il n'implémente que SSH2 et il n'y a pas de scp/sftp. On peut faire du X11-Forwarding (jamais essayé), mais pas de port forwarding.
        http://matt.ucc.asn.au/dropbear/dropbear.html(...)

        La configuration est un peu spartiate (certaines options ne sont modifiables que dans un .h avant la compilation), et ce n'est peut-être pas non plus le serveur sshd le plus "secure". Mais pour un environnement léger ou en tant que service lancé quand on a besoin de mettre à jour un OpenSSH sur une machine distante, c'est vachement utile.

        • [^] # Re: Alternative à OpenSSH

          Posté par  . Évalué à 1.

          ah si, on peut faire du port forwarding, mais seulement dans le sens "-L"
          - Preliminary TCP forwarding support (-L style only)

        • [^] # Re: Alternative à OpenSSH

          Posté par  . Évalué à 1.

          hmm pas de scp c'est bien dommage, c'est quand meme super utile ca..

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 1.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Alternative à OpenSSH

        Posté par  . Évalué à 2.

        ca m'aurait etonne qu'y ait pas un qui la ramene avec sa debian et son apt-get, pour changer..
        personne pour dire "gentoo roxor, emerge world" (tapez pas si c'est pas la bonne commande, j'en sais rien)

    • [^] # Re: Alternative à OpenSSH

      Posté par  . Évalué à 1.

      kerberos V + service "kerberisé" style telnet (avec chiffrage fort).

    • [^] # Re: Alternative à OpenSSH

      Posté par  (site web personnel) . Évalué à 3.

      À noter que parfois les alternatives ont aussi des failles mais comme moins de monde les utilisent, on en entend moins parler (voir, on ne les voie pas parcequ'on ne les cherche pas)

      C'est une facette de la sécurité que je trouve rigolote et intéressante : avec de la diversité dans les applis, il n'y a pas de faille qui touche tout le monde. Souvenez vous de je ne sais plus qui (armée US ?) qui avait annoncé qu'ils allaient mettre leurs serveurs web sous MacOS uniquement parceque moins de crackers connaissaient ce système.


      Vive les alternatives !

      • [^] # Re: Alternative à OpenSSH

        Posté par  . Évalué à 3.

        Tout à fait, je suis conscient que tout logiciel a ses failles. Néanmoins, la position d'OpenSSH est dangereuse: il n'existe actuellement (ou bien je n'en suis pas informé) aucune alternative libre et sérieuse. On est en quelque sorte «coincé» sous OpenSSH, et c'est typiquement le genre de choses qui me hérisse, même si c'est un projet libre et plutôt bien foutu dans l'ensemble.

        Je ne cherche pas à dévaloriser le travail des mainteneurs d'OpenSSH, c'est certainement un bout de code très complexe, mais d'autres projets s'en tirent très bien en étant autant sinon plus utilisés (je pense à Postfix autant qu'à Pureftpd et à bien d'autres). Bref, il y a des failles dans tout logiciel mais le but du concepteur est de les limiter, et ça n'est pas vraiment ça que l'on voit avec OpenSSH. Il y a vraiment eu trop d'alertes de sécurité de ce côté pour que l'on puisse réellement être tranquille en ayant un serveur SSH sur sa machine. Il est donc logique de chercher une alternative, qui sera peut-être moins sécurisée mais que l'on pourra au moins tester ou sur laquelle on pourra se rabattre en cas d'urgence.

      • [^] # Re: Alternative à OpenSSH

        Posté par  (site web personnel) . Évalué à 2.

        Ll y a trois ans, j'ai même vu dans une entreprise une machine avec un OS propriétaire complètement oublié servir de frontal avec le monde extérieur. Le motif était de dire que vu qu'il n'y avait pas plus d'une dizaine de personnes qui connaissent encore l'OS et le processeur, la probabilité de craquage est quasi nulle.

  • # Une bien bonne sur Sendmail

    Posté par  (site web personnel) . Évalué à 1.

    J'en ai entendu une bien bonne: "Sendmail has more exploitable holes than a parade of hookers" ... je traduirais pas :)

  • # Buffers Overflows

    Posté par  . Évalué à 2.

    Salut,

    Je ne suis pas un expert de sécurisé informatique mais je me pose les questions suivantes :

    Un buffer overflow consiste à écrire au delà de l'allocation prévue d'un tableau par exemple. Afin de modifier le code retour d'une fonction,
    ainsi lorsqu'elle se termine, on fait exécuter du code prélablement placé dans le tableau.

    D'après ce que j'ai lu, l'architecture intel ne permet pas de faire
    des pages de mémoire soit READ soit EXECUTABLE, c'est forcément
    les 2 à la fois. D'ou les problèmes de sécurité, si on pouvait rendre
    les zones mémoires de données non éxécutable au niveau matériel.

    Suite à cela voici mes questions :

    Les autres architectures sont elles sujettes aux même problèmes ? existe t'il par exemple des buffers overflows sur les PowerPC ?

    Ne serait-il pas possible de modifier les normes d'appels de fonctions afin
    que le code de retour des fonctions soit ailleurs dans un endroit protégé, non modifiable ?

    A+

    Nicolas.

  • # Re: Faille Sendmail et vulnérabilité OpenSSH

    Posté par  . Évalué à -1.

    test because le précédent commentaire envoyé ne s'affiche pas

  • # Buffers Overflows

    Posté par  . Évalué à -1.

    Salut,

    Je ne suis pas un expert en sécurisé informatique mais je me pose les questions suivantes :

    Un buffer overflow consiste à écrire au delà de l'allocation prévue d'un tableau par exemple. Afin de modifier le code retour d'une fonction,
    ainsi lorsqu'elle se termine, on fait exécuter du code prélablement placé dans le tableau.

    D'après ce que j'ai lu, l'architecture intel ne permet pas de faire
    des pages de mémoire soit READ soit EXECUTABLE, c'est forcément
    les 2 à la fois. D'ou les problèmes de sécurité, si on pouvait rendre
    les zones mémoires de données non éxécutable au niveau matériel.

    Suite à cela voici mes questions :

    Les autres architectures sont elles sujettes aux même problèmes ? existe t'il par exemple des buffers overflows sur les PowerPC ?

    Ne serait-il pas possible de modifier les normes d'appels de fonctions afin
    que le code de retour des fonctions soit ailleurs dans un endroit protégé, non modifiable ?

    A+

    Nicolas.

    • [^] # Re: Buffers Overflows

      Posté par  . Évalué à 1.

      Désolé pour les multiples posts, mais squid m'a joué un mauvais tour, les commentaires postés n'apparaissaient pas, donc ...

  • # Re: L'année 2003 se termine mal !!

    Posté par  . Évalué à 0.

    Voici un bilan des vulnérabilitès publièes depuis le 1er janvier 2003: pas franchement glorieux pour la profession !!!

    total des bulletins - toutes versions confondues par éditeur d'OS (sauf détail pour Sun Solaris/Linux) - Félicitations à OpenBSD !! le moins mauvais de la classe
    OpenBSD 14
    SunLinux 21
    Trustix 22
    EnGarde 27
    Microsoft Windows 30
    SuSE 39
    Sun Solaris 47
    Mandrake 95
    RedHat 97
    Debian 166


    répartition des bulletins Microsoft par version d'OS (Les 30 bulletins ci-dessus concernent en général plusieurs versions)
    Windows 2000 24
    Windows XP 23
    Windows Server 2003 9


    Bulletins des 7 derniers jours (se terminant le 19 sept)
    Trustix 2
    Sun 2
    SuSE 2
    OpenBSD 2
    EnGarde 3
    Mandrake 4
    RedHat 4
    Debian 7

    • [^] # J'aime pas ces comparaisons

      Posté par  (site web personnel) . Évalué à 1.

      ...
      Quelles sont tes sources et quelles mèthodes as-tu utilisé pour obtenir ces données?

      J'en profite pour pousser une gueulante: le nombre de failles n'aurais de sens que si on le ramenais au nombre de paquages.
      Et encore: ça n'a pas de sens de compter tous les paquages (résultats absurdes genre 166failles/3333softs pour Debian et 30/50 pour m$win2k): il faudrait faire la somme des quantités de failles de l'OS et de ses programes, pondérées par les taux d'utilisation de ce derniers sur les serveurs et des niveaux de nuisibilités respectifs, en tenant compte de la rapidité de disponibilité du patch, voir de la probabilité que les pirates la connaissent depuis longtemps avant sa publication... on s'en sortiras pas.

      D'ailleurs même des constats pratiques permettraient pas de comparer: le nombre d'attaques réussies dépend surtout du niveau de compètence de l'administrateur que de la sécurité intrinsèque de l'OS: tant qu'il applique les patchs, fait pas grosses co**eries, et à condition qu'il soit pas en charge du réseau d'une multinationale, il risque rien. Aussi bien sous GNU/Linux que *BSD ou winwin.

      Donc à priori tout se vaut, sauf quand on commence à vouloir faire des trucs vraiment blindés (avec des fonctions de tueurs genre W^X sur x86, propolice, IPsec, firewalls de la mort, systrace, honeypots avec umL...) qui à ma connaissance ne sont supportés que sous Un*x (l'IPsec fourni avec win vaut rien à ce qu'on m'a dit (le firewall, j'en parle pas)).

      Ça y est: j'ai fini de m'écouter parler. ^_^

      • [^] # Re: J'aime pas ces comparaisons

        Posté par  . Évalué à 2.

        Tu as raison que ce type de comparaison peut etre source de polèmique indéfinies, mais les différences sont telles que personne ne peut nier que OpenBSD est le moins mauvais de la liste, que Microsoft n'est pas si mauvais, et que Mandrake ou Debian en cumulent beaucoup (trop): ont ils la structure pour assumer une telle taille de package ??.
        Pas de gloriole, même les meilleurs de cette liste en ont trop !!!!


        Pour plus de clarté je sépare différentes questions:

        1/ Y a t il autant de bulletins que ca ?
        va vérifier sur :
        Debian : http://www.debian.org/security/(...)
        Red Hat : http://www.redhat.com/apps/support/errata/(...)
        Mandrake : http://www.mandrakesecure.net/en/advisories/(...)
        SuSE : http://www.suse.com/de/security/announcements/index.html(...)

        2/ Ces bulletins sont ils tous liès à la sécurité ?
        Non, il y a aussi les vulnérabilitès critiques pour la stabilitè:

        Donc pour détailler, voici un exemple pour 2 OS sortis à peu près à la même date: Windows 2003 Server ( sortie officielle le 24 avril) et Redhat 9 (sortie officielle le 30 mars) Dans les 2 cas, il y a parfois plus d'un correctif par bulletin.:
        - Redhat9: pour la seule sécurité: https://rhn.redhat.com/errata/rh9-errata-security.html(...)
        50 bulletins pour Redhat 9 ; si l’on supprime les vulnérabilités liées à Pine et Sendmail, celle liée à Evolution et celle liée à MySQL, ca fait 44 vulnérabilités.
        - Windows 2003 Server: il y a 19 corrections disponibles sous Windows Update. Je n'ai pas le détail, c'est un total "toutes corrections confondues": sécurité et toute autre correction critique.

        3/ Peux t on comparer exactement tous ces chiffres ?
        Non, car selon les éditeurs, ces bulletins ne recouvrent pas la même chose, de plus les OS ne comprennent pas les mêmes fonctionalitès, et en plus certains packages proposent des composants redondants entre eux:

        4/ Tu as raison: le vrai pb est le délai de disponibilité du correctif
        Patcher n'est pas la panacée, mais en attendant .... tout administrateur sérieux doit tout de même s'y atteler.
        A mon avis, le pb est que si les corectifs de ces composants unitaires sont dispos dans des délais satisfaisants, le temps que les grandes distrib intégrent et valident officiellement ces correctifs dans leurs versions supportées est trop long.
        Et le pb, c'est cette version "entreprise" payante et supportée qu'on utilise pour des applis critiques.
        J'ai déjà vu des études de délai de disponibilitè des correctifs: il faut que je les retrouve....
        le résultat était .. décevant !!

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.