OpenBSD 2.9 is dead

Posté par  (site Web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
2
mai
2002
OpenBSD
La version 3.1 d'OpenBSD signe l'arrêt des mises à jours de sécurité pour la branche 2.9-STABLE à partir du 1er juin.

Il est donc recommandé aux utilisateurs de systèmes en 2.9 d'upgrader vers une version plus récente, de preférence la 3.1, qui doit sortir le 19 mai. From owner-announce+M13@openbsd.org Thu May 2 00:00:17 2002
Date: Wed, 1 May 2002 21:18:35 +0000
From: Miod Vallat
To: announce@openbsd.org
Subject: OpenBSD 2.9-STABLE end of life
Message-ID:
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Disposition: inline
User-Agent: Mutt/1.2.5i
X-Mailer-Holy-War: Get Mutt, it bites!
X-Organization: Forez Luddite Technologies, Inc.
X-Entarpreza: Fourinas Luddite Teinelejio
X-Loop: announce@openbsd.org
Precedence: list
Sender: owner-announce@openbsd.org
Content-Length: 387
Lines: 12

Hello folks,

Due the release of OpenBSD 3.1 on May 19th, the 2.9-STABLE branch will
be out of regular maintainance starting June 1st. After this day, there
will be NO MORE fixes commited to this branch.

People relying on 2.9-STABLE are strongly advised to upgrade to a more
recent release (preferrably 3.1 as it becomes available) as soon as
possible.

Thanks for reading,
Miod

Aller plus loin

  • # merci pour le titre

    Posté par  . Évalué à 10.

    Je viens de faire un infarctus.
    Note du médecins suit.
  • # Pire que MS ?

    Posté par  . Évalué à -10.

    dites donc ca ressemble ferocement a de l'upgrade obligatoire ca !?
    • [^] # Re: Pire que MS ?

      Posté par  . Évalué à 10.

      C'est sympa de ta part de te dévouer au support d'une ancienne branche. OpenBSD manque de maintainers, justement.
      • [^] # Re: Pire que MS ?

        Posté par  . Évalué à -10.

        Je ne doute pas des qualites de OpenBSD, mais pour un OS principalment taillé pour les serveurs, s'ils ne peuvent pas assurer le support des anciennes branches, ca la fiche mal...

        Quant au manque de maintainers faut pas s'etonner avec :
        - la facon de travailler (qui a ses avantages mais aussi des inconvenients)
        - le nombre de versions (Net|Free|Open|machin)BSD
        - la licence bsd
        • [^] # Re: Pire que MS ?

          Posté par  . Évalué à -1.

          Ah ah. Joli. Belle tentative. Il aurais pu prendre sur le premier commentaire, mais là ... trop gros, passera pas !

          C'est mignon à cet âge là.
        • [^] # Re: manque de gens pour la maintenance

          Posté par  . Évalué à 10.

          Oublie pas que c'est du benevolat sauf peut-etre une ou deux personnes.

          Apres, au niveau du support des anciennes branches, on ne peut pas non plus maintenir toutes les branches ad vitam aeternam!

          Quand au manque de gens qui maintiennent tout ca, c'est parce que c'est du boulot, c'est pas a cause de la facon de travailler, du nombre de versions ou de la licence. Simplement, quand y'a une nouvelle version d'un soft ou d'un OS, qui veut maintenir les anciennes versions?

          Reponse: ceux qui en ont besoin. C'est donc a mon avis une excellent occasion de rendre un service a la communaute des logiciels libres en maintenant l'ancienne branche.
          D'un autre cote, si c'est un probleme de competences, c'est l'occasion d'apprendre. Bref, dans les deux cas, a toi d'y consacrer du temps!

          En tout cas, si c'est un probleme de temps, il ne faut pas blamer les autres qui n'ont pas que ca a faire non plus.

          Le bonjour chez vous,
          Yves
          • [^] # Re: manque de gens pour la maintenance

            Posté par  . Évalué à 10.

            Actuellement, les deux dernières versions d'OpenBSD sont systématiquement supportées, ce qui laisse une période d'un an pour la mise à disposition de correctifs.

            Compte tenu qu'il sort une nouvelle version tous les six mois, cela n'est pas une tâche trop compliquée que de préparer une mise à jour à la version N+1 au cours des six mois qui suivent sa sortie, et avant la sortie de la version N+2 qui marque l'arrêt de la maintenance de la version N.

            Maintenant, il y a également trois grosses raisons qui font que nous ne supportons pas plus de deux versions stables :
            - des problèmes affectant la version N peuvent ne pas affecter les versions N+1 et ultérieures, car résolues lors de changements non triviaux. Il n'est pas dans la vocation des branches -stable de contenir la moitié des changements ayant eu lieu entre les versions N et N+1...
            - utilisation de ressources CVS. Chaque commit dans une branche fait grossir la taille du dépot CVS, sans que cela soit considéré comme une occupation «utile» car peu de personnes utilisent les branches stable, surtout les anciennes versions.
            - utilisation de ressources matérielles. Pour maintenir une branche stable dans de bonnes conditions, il faut une machine dédiée, qui pourrait tous comptes faits servir à autre chose de plus «excitant»...
    • [^] # Re: Pire que MS ?

      Posté par  (site Web personnel) . Évalué à 10.

      Sauf que contrairement a microsoft l'upgrade est gratuite (et la 2.9 date quand meme un peut),
      si tu prefere, tu n'a qu'a te dire que la 3.0 n'est qu'une update, un "patch", et qu'il faut le mettre pour pouvoir avoir les dernieres MAJ de securité.

      [moua]
      • [^] # Re: Pire que MS ?

        Posté par  . Évalué à 10.

        C'est pas vraiment si simple que ca : ipfilter, le logiciel de filtrage/NAT de la version 2.9, a été remplace par pf dans la version 3.0. Même si la syntaxe des fichiers de config est similaire, certaines fonctionnalités de l'un sont absentes de l'autre, et reciproquement (il y a quand même moyen de faire tourner ipfilter sur une 3.0, avec quelques patches).

        Donc si tu te sers d'un OpenBSD comme firewall, la mise à jour n'est pas si transparente que ca.
        • [^] # Re: Pire que MS ?

          Posté par  . Évalué à 6.

          la mise à jour n'est pas si transparente que ca

          C'est d'ailleurs entre autre pour ça qu'ils sont passés de 2.x à 3.0.

          Quand le changement de version n'intervient pas uniquement sur le nombre le plus à droite, c'est bien souvent que la mise à jour n'est pas évidente! Alors quand en plus ça passe de 98 à 2000 puis de 2000 à XP, oubliez tous ce que vous savez sur la compatibilité :-)
        • [^] # Re: Pire que MS ?

          Posté par  . Évalué à 2.

          C'est plus simple que ça: le projet de Darren Reed "OpenBSD 3.0 + ipfilter" te fournit tout ce qu'il faut:

          http://openbsd30.ipfilter.org/(...)
          • [^] # Re: Pire que MS ?

            Posté par  . Évalué à 1.

            Avec comme gros inconvénients que ce projet :
            - n'est disponible que sur architecture x86 ;
            - n'est maintenu ni en ce qui concerne ipf, ni en ce qui concerne les errata d'OpenBSD 3.0 ;
            - n'est supporté ni par Darren Reed ni par les mailing list OpenBSD...
        • [^] # Re: Pire que MS ?

          Posté par  . Évalué à 1.

          Le passage d'ipfilter vers pf est un faux probleme.
          De meme pour le probleme de maturite.

          Cela fait un moment que je l'utilise maintenant et je ne regrette pas du tout d'avoir lache ipf, surtout au niveau des performances.
      • [^] # Re: Pire que MS ?

        Posté par  . Évalué à 8.

        J'en doute. On ne change pas de numero principal de version pour faire joli.


        allez hop -1 !
      • [^] # Patch = MS --> Attention à la mauvaise foi

        Posté par  . Évalué à 2.

        Je vois ce qui vous permet d'associer le concept de patch à Microsoft.
        1) patch est un mot qui appartient à la terminologie Unix (MS parle de Hotfix)
        2) les buffer overflows et autres failles étaient déjà légions sous Unix avant que les problèmes ne soient connu sous NT (d'ou l'emploi courant d'un mot d'origine UNIX pour désigner le problème sous Windows)
        3) Je me souviens d'une section du site "PacketStorm" intitulée "les 1500 exploits les plus connus sous Unix".
        Donc dire qu'il y a plus de buffer overflow sous NT que sous Unix est une affirmation gratuite

        En bref, UNIX avait plutôt une réputation de système ciblé par les "cracker".
        Pendant longtemps, les gens se sont demandés s'il était possible de transposer ce "savoir" vers NT.
        - L'absence d'interface en ligne de commande (et de port telnet/SSH) rendait difficile la manipulation à distance d'une machine compromise par le "cracker".
        - il existe depuis longtemps de nombreux rootkits pour Unix, mais l'absence des sources rends beaucoup plus difficile l'élaboration de tels outils pour Windows (même si quelques tentatives ont été faite avec SoftIce comme debugger)

        Donc, il me semble que Windows soit surtout utilisé pour la propagation de ver mais qu'un "cracker" désireux de se procurer une nouvelle "box" lui préférait une install par défaut d'une RedHat 6.2, à mon humble avis ?
        • [^] # a good toy is a unix toy

          Posté par  . Évalué à 5.

          Unix c'est bon pour tout c'est un jolie joujou :)
          -->cracker, securiser, faire son café....
          avec windows c trop opaque !!
        • [^] # Re: Patch = MS --> Attention à la mauvaise foi

          Posté par  . Évalué à 10.

          1) UNIX(TM) c'est supra vieux qui l'utilise encore ?
          Je parle de l'original, pas de ses dérivés ou clones.

          2) le buffer overflow n'est pas un concept provenant d'UNIX, c'est un concept générique.

          3) On trouve beaucoup d'exploits et failles sous tout les OS. Actuellement la beaucoup de failles sous des OS POSIX sont publiées alors qu'elles ne sont pas évidentes à exploiter voire que l'on est même pas sur qu'elles sont exploitable. Sous Windows beaucoup de failles publiées sont beaucoup plus triviales à exploiter.

          - L'absence d'interface en ligne de commande (et de port telnet/SSH) rendait difficile la manipulation à distance d'une machine compromise par le "cracker".
          Pour l'interface en ligne de commande, celle ci a toujours existé sous Windows.

          - il existe depuis longtemps de nombreux rootkits pour Unix, mais l'absence des sources rends beaucoup plus difficile l'élaboration de tels outils pour Windows (même si quelques tentatives ont été faite avec SoftIce comme debugger)

          - Il existe depuis longtemps de nombreux virus, trojan, spywares ou autres sous Windows, mais l'absence des sources rends beaucoup plus difficile la prévention contre de tels outils sous Windows (même si des tentatives ont été faite pour les bloquer par les antivirus)

          Donc, il me semble que Windows soit surtout utilisé pour la propagation de ver mais qu'un "cracker" désireux de se procurer une nouvelle "box" lui préférait une install par défaut d'une RedHat 6.2, à mon humble avis ?


          Trouver un IIS vulnérable est encore bien plus simple.

          Le plus rigolo, c'est que dans Windows, on trouve des cheat codes qui court-circuitent la sécurité.
          • [^] # Re: Patch = MS --> Attention à la mauvaise foi

            Posté par  . Évalué à 3.

            UNIX(TM) c'est supra vieux qui l'utilise encore
            Ne fait pas l'idiot, tu as très bien compris que je parlais des différentes implémentation de Unix (en particulier Linux ou les *BSD)

            le buffer overflow n'est pas un concept provenant d'UNIX, c'est un concept générique.
            Non mais c'est sous UNIX que les gens ont appris à les exploiter (le premier buffer overflow de l'histoire c'était dans le ver d'internet 89) bien avant l'existence de NT

            Trouver un IIS vulnérable est encore bien plus simple.
            Pas forcément si simple, avec les vers et compagnie qui peuvent scanner Internet de façon exhaustive, la quasi-totalité des machines vunérables ont déja été exploitée au moins une fois et avec les patchs "tout-en-un" de MS un admin qui met-à-jour contre code Red corrige aussi toutes les autres failles en même temps.
            Donc aujourd'hui 90% des IIS sont à jour, je ne suis pas sûr que 90% des vielles RedHat 6.2 qui trainent dans les entreprises soient patchées contre le "rpc.statd" ("remote root" pourtant).
            La preuve : 6 mois avant CodeRED, beaucoup de ver Linux (Ex : LionWorm) sont sortis, ils auraient surement connus eux-aussi le succès si le nombre de machine sous RedHat était voisin du nombre de machines NT/IIS.

            ligne de commande, celle ci a toujours existé sous Windows.
            Je ne vois pas ce qu'un cracker pourrait faire d'une ligne de commande Windows ?
            Peut-il compiler ses outils/exploits ? Installer une backdoor qui ouvre un port vers la ligne de commande Dos ?

            Le plus rigolo, c'est que dans Windows, on trouve des cheat codes qui court-circuitent la
            sécurité.

            Rien compris
            • [^] # Re: Patch = MS --> Attention à la mauvaise foi

              Posté par  . Évalué à 8.

              2) J'approuve le fait que le buffer overflow est un concept generique, et le simple fait que ce type d'attaque soit anterieure a windows (NT en particulier) provient du simple fait qu'en 89 il n'y avait pas beaucoup de serveurs sous OS Microsoft

              3) Tous les IIS ne sont pas patches loin s'en faut, de plus je ne suis pas sur qu'il y ait beaucoup de vieilles RH 6.2 qui trainent sur le net (et en tant que serveur encore moins). Pour l'histoire des vers linux, il y en a eu a ma connaissance 2 a ce moment la, et ils exploitaient un probleme dans bind.

              4) Pas besoin de compiler quoi que ce soit pour installer une back door sur un systeme windows, et pourtant le nombre de ces failles de securite (back orifice & Cie) te montrent bien que c'est pas trop dur. De plus si tu prends IE et surtout Outlook, t'as meme plus besoin de backdoor, ils sont fournis en standard dans le systeme (cf DOS contre yahoo).
              • [^] # Re: Patch = MS --> Attention à la mauvaise foi

                Posté par  . Évalué à 6.

                Je me reponds a moi meme pour ajouter que dans les systemes type Linux/*BSD tu n'as generalement pas besoin d'attendre une attaque massive (NIMDA / Code Red) pour que la faille soit corrigee.
                • [^] # Re: Patch = MS --> Attention à la mauvaise foi

                  Posté par  . Évalué à -1.

                  dans les systemes type Linux/*BSD tu n'as generalement pas besoin d'attendre une attaque massive (NIMDA / Code Red) pour que la faille soit corrigee
                  La faille exploitée par CodeRed était corrigée par MS(enfin "patchable") depuis un mois quand le ver à commencé à se propager.

                  C'était les admins NT qui n'avaient pas mis à jour mais ils ne sont apparemment pas les seuls à faire ça vu la quantité de RedHat 6.0 qu'il faut pour lancer une attaque DDOS contre Yahoo (plusieurs centaines, voir milliers).
                  • [^] # Re: Patch = MS --> Attention à la mauvaise foi

                    Posté par  . Évalué à 1.

                    La faille exploitée par CodeRed était corrigée par MS(enfin "patchable") depuis un mois quand le ver à commencé à se propager.

                    C'est ca de bosser avec des systemes fermes, meme les corrections ne sont pas bien documentees/publicisees.

                    Quand aux milliers de RH6.0, je pense honnetement que c'est un gros troll ou de la tres mauvaise foi. (A moins que tu ne l'ai confondu avec windows 98/NT, ahh ces claviers qui marchent mal un vraie plaie sur Linuxfr)
                    • [^] # Re: Patch = MS --> Attention à la mauvaise foi

                      Posté par  . Évalué à 1.

                      C'est ca de bosser avec des systemes fermes, meme les corrections ne sont pas bien documentees/publicisee
                      Y'a les Microsoft Security Bulletins, on ne peut pas vraiment dire que c'est mal documenté.

                      Maintenant, que beaucoup d'admins ne mettent pas à jour par économie/flemme/ignorance c'est probable mais c'est aussi vrai pour les admins Solaris, *BSD ou Linux ...
              • [^] # Re: Patch = MS --> Attention à la mauvaise foi

                Posté par  . Évalué à -1.

                DDOS contre yahoo ... avec IE et Outlook
                Un DDOS contre Yahoo avec Outlook, c'est ça ...

                Pour information les attaques DDOS avec Trinoo ont été faites en utilisant des "zombie" (machines participant à l'attaque) sous RedHat 6.0 et des "maitres" sous Solaris 2.5 (car il fallaient des machines puissante, pour Yahoo, les maitres étaient parfois des DNS primaires de FAI)

                Va donc lire http://staff.washington.edu/dittrich/misc/trinoo.analysis"(...) ( tu vois IE et Outlook n'ont rien à voir la dedans, tu confonds avec un ver)
                • [^] # Re: Patch = MS --> Attention à la mauvaise foi

                  Posté par  . Évalué à 1.

                  Ton super lien ne marches pas :(

                  Je n'ai peut-etre pas ete assez clair, je me repetes en disant que OE et IE (sans compter MediaPlayer) offrent suffisament de backdoors) pour pouvoir installer des vers ou autres virus permettant de prendre le controle d'une machine a distance (via l'IRC (ou autre) p.ex)

                  Donc si tu contoles assez de machines le DDOS n'est pas si complique (et pas besoin de grosses machines, le nombre fait la force)

                  P.S. La prochaine fois ne coupe pas mes phrases pour en changer le sens STP
    • [^] # Re: Pire que MS ?

      Posté par  . Évalué à -2.

      c'est pas gentil de voler ses réparties à pBpG !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.