Sondage La faille OpenSSL Debian

Posté par .
Tags : aucun
1
15
mai
2008
  • je suis impacté, je vais corriger :
    1060
    (26.5 %)
  • je suis impacté, m'en fous :
    335
    (8.4 %)
  • je ne suis pas impacté :
    1031
    (25.8 %)
  • je n'ai pas encore regardé :
    193
    (4.8 %)
  • m'en fous :
    465
    (11.6 %)
  • la quoi ? :
    251
    (6.3 %)
  • le HTTPS ça pue :
    79
    (2.0 %)
  • I 4lr34dY 0\/\/nZ 98576492 b0><3ns. Th4nX D3b14n!!!111 :
    588
    (14.7 %)

Total : 4002 votes

La liste des options proposées est volontairement limitée : tout l'intérêt (ou son absence) de ce type de sondage réside dans le fait de forcer les participants à faire un choix. Les réponses multiples sont interdites pour les mêmes raisons. Il est donc inutile de se plaindre au sujet du faible nombre de réponses proposées, ou de l'impossibilité de choisir plusieurs réponses. 76,78% des sondés estiment que ces sondages sont ineptes.
  • # ayé tout neuf

    Posté par . Évalué à 1.

    sitot découverte sitot refermé

    rien que pour ca : VIVE LE LIBRE!!!!!!!!!!!!!!!!!!!!!!!!!

    Merci a tous ceux qui on permis de découvrir la faille et aussi a tous ceux qui l'on corrigé
    • [^] # sitot découverte 2 ans après lol

      Posté par (page perso) . Évalué à 7.

      pas très rapide quand meme
      • [^] # Re: sitot découverte 2 ans après lol

        Posté par . Évalué à 0.

        Pas très rapide oui et non :

        - ok ca fait deux ans qu'elle existe et on ne l'avait pas vu avant

        - en meme temps j'ai envie de dire qu'une faille de secu meme tres grave n'a aucun effet tant que PERSONNE ne l'a vu. Le vilain pirate qui veux rentré sur ma machine n'arrivera pas s'il ne CONNAIT ou ne DECOUVRE aucune faille. Et cela meme si mon OS en est truffé.

        Alors oui c'est plus dure de trouver des failles dans un système si celuis la n'en a pas je te l'accorde. Mais mon commentaire avait comme but de comparer avec un certain OS proprio qui lui est blindé de failles CONNUES sans pour autant faire quoi que ce soit pour les corriger ( enfin certaines en tout cas)

        D'ou le sitot trouver sitot fermer

        et je relance mon VIVE LE LIBRE !!!!!!!!!!!!!!!!

        ;)
        • [^] # Re: sitot découverte 2 ans après lol

          Posté par (page perso) . Évalué à 1.

          en meme temps j'ai envie de dire qu'une faille de secu meme tres grave n'a aucun effet tant que PERSONNE ne l'a vu

          Tu fais une apologie du logiciel proprio ? Les pirates ne voient pas le code, donc ils n'ont pas connaissances des éventuelles failles ? Intéressant...
          • [^] # Re: sitot découverte 2 ans après lol

            Posté par . Évalué à 8.

            Pourtant des tonnes de failles sont trouvées dans les logiciels proprio sans avoir les sources...
          • [^] # Re: sitot découverte 2 ans après lol

            Posté par . Évalué à 3.

            Les pirates ne voient pas le code, donc ils n'ont pas connaissances des éventuelles failles

            J'ai jamais dis ca : j'ai dis qu'une faille, meme grave, non détecté n'a pas de grosses conséquences et ce que les sources soit ouvertes ou fermées

            Je vois pas ou tu vois que je fait l'apologie d'un soft proprio. Tu fait de l'interprétation un peu hâtive avec mon post je trouve.

            Un logiciel qui a son code fermé n'empeche pas de trouver des failles et de la meme manière c'est pas parce qu'un logiciel a ses sources ouvertes que la détection de failles est plus facile, la preuve .... 2ans pour celle la.
        • [^] # Re: sitot découverte 2 ans après lol

          Posté par . Évalué à 1.

          Mais mon commentaire avait comme but de comparer avec un certain OS proprio qui lui est blindé de failles CONNUES sans pour autant faire quoi que ce soit pour les corriger ( enfin certaines en tout cas)

          Quelles failles ? T'as un lien ?
          • [^] # Re: sitot découverte 2 ans après lol

            Posté par . Évalué à 4.

            Google?

            C'est plus les pratiques de l'entreprise que l'OS:
            http://www.microsoft.com/technet/security/advisory/951306.ms(...)

            Is this a security vulnerability that requires Microsoft to issue a security update?
            Upon completion of this investigation, Microsoft will take the appropriate action to help protect our customers. This may include providing a security update through our security update release process.

            Solution de contournement pour une faille connue, pas encore de correction.

            Qui affecte les hébergeurs de sites mutualisés (un peu comme la dernière faille du kernel).
          • [^] # Re: sitot découverte 2 ans après lol

            Posté par (page perso) . Évalué à 2.

            Quelles failles ? T'as un lien ?
            Rhooo, tout de suite, tu te sens visé...
    • [^] # Re: ayé tout neuf

      Posté par . Évalué à 2.

      Dommage qu'elle ait été découverte au bout de deux ans...
      • [^] # Re: ayé tout neuf

        Posté par (page perso) . Évalué à 2.

        Oui enfin, en deux ans, les crackers (individus malintentionnés ayant de superbes gonzesses et travaillant pour le gouvernement américain quand ils sont dans la matrice) du monde n'ont pas tiré partie d'une faille dans un système libre au code disponible, et le jour ou on s'en rend compte, c'est corrigé et eux ne peuvent plus en tirer partie...

        Et puis bon, debian a dérapé sur ce coup la, mais d'un autre coté, a quoi compare-t-on? à un système d'exploitation utilisé lui aussi sur systèmes critique (parfois), dont le code est un secret mais dont les innombrables failles critiques ont offert un terrain propice a des milliers de malwares !
        • [^] # Re: ayé tout neuf

          Posté par . Évalué à 3.

          > et le jour ou on s'en rend compte, c'est corrigé et eux ne peuvent plus en tirer partie...

          Ouais, tout le monde a pas forcément déjà mis à jour, et ya pas une histoire comme quoi va falloir jeter à la poubelle un bon nombre de clefs, certificats...?
        • [^] # Re: ayé tout neuf

          Posté par . Évalué à 3.

          il y a un truc que je ne comprends pas :

          quelqu'un qui intercepte une communication HTTPS ou SSH, qui l'enregistre, maintenant il est en mesure de la déchiffrer, donc selon moi, on peut en tirer parti de cette faille ...

          Je me trompe ?
          • [^] # Re: ayé tout neuf

            Posté par . Évalué à 3.

            Non, malheureusement.

            Bon il faut tout de même qu'il ait enregistré l'initialisation de la communication, et vu tout le trafic chiffré qui passe, il faut également qu'il ait bien ciblé l'échange (tout n'est pas important dans ce qui est chiffré).
        • [^] # Re: ayé tout neuf

          Posté par . Évalué à 3.

          Oui enfin, en deux ans, les crackers (individus malintentionnés ayant de superbes gonzesses et travaillant pour le gouvernement américain quand ils sont dans la matrice) du monde n'ont pas tiré partie d'une faille dans un système libre au code disponible
          Ah ? Comment le sais-tu ?

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

    • [^] # Re: ayé tout neuf

      Posté par . Évalué à 4.

      Et combien avaient la faille en 0-day depuis un bail en se gardant bien de le dire ?
      Faut pas etre si naif ...
  • # N'utilisant plus Debian ou dérivés...

    Posté par . Évalué à -10.

    , je ne suis pas directement concerné.

    Mais à cause de ces amateurs je vais devoir avoir une blacklist de leur clés bidons.

    Le plus grave dans cette affaire, c'est qu'elle restera sans conséquence . Debian n'a pas les moyens humains d'assurer un semblant de sécurité.
  • # Vocabulaire

    Posté par . Évalué à 10.

    Par hasard, on dirait pas "je suis touché", et pas "je suis impacté" (ou encore "je suis inpacté" pour ceux qui croient qu'OpenSSL est un "module" du système "Linux")? Ou encore affecté...

    J'imagine bien la discussion: "- hey toi, tu as été impacté par la tempête en 99?", ou encore "- tu me files ton sandwich? - tu peux toujours t'impacter".

    Et elle est où l'option "J'étais affecté mais j'ai déjà corrigé"?

    PS: on écrit b0><3nz avec un Z.
    • [^] # Re: Vocabulaire

      Posté par (page perso) . Évalué à 2.

      Et elle est où l'option "J'étais affecté mais j'ai déjà corrigé"?

      Bien d'accord...

      En plus je ne comprend pas le choix sur https... puisqu'en définitive un des premier système affecté par la faille est openssh !

      Et que c'est un impact très large aussi (en particulier pour les clés "host").
    • [^] # Re: Vocabulaire

      Posté par (page perso) . Évalué à 0.

      ou encore "je suis inpacté" pour ceux qui croient qu'OpenSSL est un "module" du système "Linux"

      La réputation du lectorat de PC INpact est-elle si négative qu'elle transparaît même ainsi sur LinuxFR ? Oo
  • # C'est ennuyeux

    Posté par (page perso) . Évalué à 4.

    Cette histoire pose deux ou trois questions parmis lesquelles:

    -Est-il possible, maintenant que cette faille est connue et corrigée, de savoir si elle a été exploitée?

    -Comment?

    Il est possible que personne n'ai cherché dans les sources Debian une faille qui ne se trouve pas dans le logiciel original, mais désormais les "méchants" vont certainement se pencher avec attention sur les sources des patches Debian et sur ce plan là la perte de réputation est sans doute plus grave encore que la faille elle même. Pour un amateur de Debian c'est triste.
    • [^] # Re: C'est ennuyeux

      Posté par (page perso) . Évalué à 1.

      Cependant, je ne suis pas convaincu que cet événement ne reste sans réponse au sein de l'organisation Debian. D'ailleurs, cette mésaventure va certainement secouer l'ensemble des projets libre, afin d'être plus attentif à l'intégration de patches internes.
  • # Debian-security

    Posté par (page perso) . Évalué à 0.

    Grace à la mailing-list debian-security j'ai tout de suite été averti de la faille et de la sortie des correctifs ;)

    Mon serveur et ma copine ont été à jour dans les 12h qui suivent la sortie du correctif :)

    Merci à l'équipe Debian qui réagis vraiment vite !!!
    • [^] # Re: Debian-security

      Posté par (page perso) . Évalué à 10.

      Tu as installé une debian sur ta copine ?

      J'ai beau chercher sur la doc debian, cette architecture n'est mentionnée nulle part !
    • [^] # Re: Debian-security

      Posté par (page perso) . Évalué à 1.

      Mon serveur et ma copine ont été à jour dans les 12h qui suivent la sortie du correctif :)
      J'espère qu'elle a pas trop été "impactée" (on ne se méfie jamais assez des failles 0-dayz) ;-)
  • # Temoignages?

    Posté par (page perso) . Évalué à -1.

    Quelqu'un s'est il fait "hacker" son serveur suite à cette faille?

    Moi je dois bien avouer que je n'ai pas réagi tout de suite et pourtant je n'ai pas constaté de problème à ce niveau là.

    En tout cas, on peut dire que cette découverte a fait du bruit

    ;o)
  • # Un question

    Posté par (page perso) . Évalué à 1.

    La faille touche t'elle fedora /redhat /CentOS
    • [^] # Re: Un question

      Posté par (page perso) . Évalué à 1.

      On a dit que ca touchait les debian-like....
      Pas les RH-like ...
    • [^] # Re: Un question

      Posté par . Évalué à 3.

      Indirectement, c'est la génération des clés sur la version patchée de OpenSSL de debian qui est prévisible.

      Donc une clé générer sur debian/xandros/mepis/ubuntu/knoppix et utilisée sur fedora/redhat/CentOS sera affecté (i.e. connue).

      Si aucune clés utiliser sur les machines (debian ou autres) n'a été générer avec la version OpenSSL de debian, alors il n'y a pas de problèmes.

      i.e. il faut connaître la politique de gestion (génération, révocation) des clés.
  • # Patcher, c'est bien, changer ses clefs, c'est mieux...

    Posté par . Évalué à 4.

    Ceux qui se contentent d'un apt-get upgrade sans régénérer leurs clefs resteront vulnérables... un beau foutoir pour ceux qui doivent faire régénérer des certificats ssl... et certainement des brouettes d'admins qui ne prendront pas le temps de le faire. Bref, une baisse qualitative de la sécurité sur le web.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.