Il semble que les distribs entre elles appliquent les idées de Scott Culp (Microsoft), c'est à dire ne pas annoncer la faille avant que le correctif soit prêt, idée qui a pourtant été fortement décriée par Eric Raymond et nombre de supporters du libre.
Au passage on peut noter que Redhat connaissait la faille depuis le 20 novembre, ce qui signifie que la date de sortie prévue du 3 décembre donnait environ 2 semaines pour sortir un correctif.
Aller plus loin
- L'alerte sur SecurityFocus (3 clics)
# admin, unissez vous
Posté par kael . Évalué à 1.
on se croirais chez petitmou...
c'est reelement domage car l'avantage du libre au niveau du libre c'est justement que des qu'un trou de securitee est trouve il est corrigé!
C'est pas pour troller mais merci red hat
[^] # Re: admin, unissez vous
Posté par Rénald Casagraude . Évalué à 1.
La rétention d'info, n'est en effet pas une bonne idée.
Cela dit, l'auteur de la news peut-il préciser d'ou il tient la nouvelle (pas la faille, mais la rétention d'info, la lettre d'escuse)... Par la même ocasion, pourait-on connaitre le nom des distribs' dans le secret...
Ca fait assez société secrette ce truc :)
[^] # Re: admin, unissez vous
Posté par pasBill pasGates . Évalué à 1.
[^] # confiance en /. ?!?
Posté par Da Scritch (site web personnel, Mastodon) . Évalué à 1.
c'est pas la première fois qu'on y verrait une rumeur totalement diffamatoire. Je ne les considère plus comme une source d'info fiable.
-1 pour la peine, mais gaffe!
[^] # Re: confiance en /. ?!?
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: confiance en /. ?!?
Posté par mcjyc (site web personnel) . Évalué à 1.
http://www.theregister.co.uk/content/4/23082.html(...)
j'apporte ma petite contribution avec ce lien qui resume bien, si il y a encore lieu de le faire
[^] # Re: confiance en /. ?!?
Posté par Gloo . Évalué à 1.
Rien de personnel pbpg, si le boulot de modero n'est pas d'ajouter les liens des sources d'infos ( si possible fiables... ), c'est sans doute un des role du modero de sanctionner ce genre de post où un vérité ( le trou de secu de wu-ftpd ) est noyée au milieu d'un ensemble de rumeurs (puisqu'impossible de verifier l'info).
Si tu as les excuses de redhat auprès des autres distrib sur le site de redhat, merci (vraiment) de nous en fournir l'url.
[^] # Re: confiance en /. ?!?
Posté par Rénald Casagraude . Évalué à 1.
"(...) info viable .", tu voulais dire, non ?
[^] # Re: admin, unissez vous
Posté par Laurent Simon . Évalué à 1.
http://www.securityfocus.com/news/293(...)
[^] # Re: admin, unissez vous
Posté par Rénald Casagraude . Évalué à 1.
L'article sur securityfocus, "Oops! Linux Bug Escapes Early", ici :
http://securityfocus.com/news/293(...)
(Z'auriez pu le mettre dans les liens de la news...)
Merci moi !!
Et hop [-] au commentaire précédent...
[^] # Re: admin, unissez vous
Posté par Rénald Casagraude . Évalué à 1.
Zut j'peut po voter contre moi :(
[^] # Re: admin, unissez vous
Posté par gle . Évalué à 1.
[Auto-scoré à -1, petite méchanceté gratuite]
[^] # Re: admin, unissez vous
Posté par kalahann . Évalué à 1.
Ce n'est pas la première fois qu'un site comme security focus ou bugtraq se plaint du comportement d'une distribution linux du point de vue des annonces/maj de sécurité. La dernière fois il me semble que c'était à cause de la vulnérabilité format string qui touchait quasiment tous les unix, et plusieurs distrib linux l'ont annoncé bcp trop tôt.
Sacré pbpg, dès qu'il trouve une pique à lancer sur le libre ou son fonctionnement, il peut pas s'en empêcher...
[^] # Re: admin, unissez vous
Posté par pasBill pasGates . Évalué à 1.
MS disait:
- on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
- on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille
Les distrib ont fait:
- On ne revele rien avant la sortie du patch
Alors bon, si vous arrivez a vivre avec ce que les distrib font, vous pourrez surement vivre avec la methode MS qui est moins obscure, ou sinon, traitez les distrib de tous les noms comme ca c'est passe pour MS.
[^] # Re: admin, unissez vous
Posté par kalahann . Évalué à 1.
En général, les annonces sont faites au plus tôt, non?
Au fait, je me permet de compléter:
MS disait:
- on peut reveler la faille tout de suite mais SANS les details qui permettent d'en tirer parti
- on peut reveler les details apres la sortie du patch ou 30 jours apres la decouverte de la faille
...SI on a envie de sortir un patch
[^] # Re: admin, unissez vous
Posté par pasBill pasGates . Évalué à 1.
Faudrait voir a arreter les petites insinuations de ce genre sans fondement, si je me mettais a faire de meme sur Linux ca foutrait une atmosphere peu agreable je pense.
[^] # Re: admin, unissez vous
Posté par jeanmarc . Évalué à 1.
Les deux méthodes de fonctionnement n'ont rien à voir et ne peuvent être comparées puisqu'elles s'appliquent d'une part à du logiciel libre pour linux, et d'autre part, à du logiciel closed source pour windows.
Dans le cas de windows, si tu découvres une faille de sécurité, soit tu la soumets à crosoft, soit tu la divulgues ou l'exploites. Dans les deux cas, crosoft n'a rien à redire sur ton attitude et ne peut rien faire d'autre que de crier à l'irresponsabilité vu qu'ils gardent jalousement leurs sources. Qu'ils assument comme des grands les désavantages de leur mode de fonctionnement.
Dans le cas de red hat, les sources sont disponibles. Tu prends la communauté du libre pour une bande de cons. Tu penses que le mec de red hat (ou un autre acteur du libre) qui tombe sur une faille va aller la divulguer connement alors qu'il peut résoudre le probléme grâce aux sources et annoncer la faille quand tout est réglé? Tu profites d'une simple erreur de coordination pour essayer de nous assimiler à ton monde de la supercherie.
Ca ne marche pas avec moi, ces arguments à 2 balles.
>Faudrait voir a arreter les petites insinuations de ce genre sans fondement, si je me mettais a faire de meme sur Linux ca >foutrait une atmosphere peu agreable je pense.
Tu te réponds à toi même là?
[^] # Re: admin, unissez vous
Posté par pasBill pasGates . Évalué à 1.
Ce que Redhat/Suse/... faisaient(s'entendre pour ne pas sortir la faille avant le patch), moi je suis pour.
Ce qui m'agace c'est les gars qui ont hurle sur MS quand il a propose un truc un petit peu moins obscur que ca, j'aimerais donc qu'ils hurlent de la meme maniere ici ou qu'ils admettent qu'ils s'etaient trompes dans le cas MS.
Si moi demain je trouves une faille dans Linux et que je la crie sur tous les toits avec les details, ben ca fout tout le monde dans la merde car les script kiddies peuvent s'amuser a torcher tous les systemes Linux sur le net, et ton open-source il fait rien contre ca car les scripts kiddies auront l'exploit avant que le patch soit sorti.
[^] # Re: admin, unissez vous
Posté par kalahann . Évalué à 1.
Tu dis:
Ce qui m'agace c'est les gars qui ont hurle sur MS quand il a propose un truc un petit peu moins obscur que ca, j'aimerais donc qu'ils hurlent de la meme maniere ici ou qu'ils admettent qu'ils s'etaient trompes dans le cas MS.
On ne peux pas comparer une démarche générale et un cas particulier. D'ailleurs, certaines personnes qui ont posté (trollé?) sur cette news ne sont pas d'accord avec cette méthode et le disent (kael, moi et d'autres...)
C'est clair que de toute façon ça va moins gueuler que pour MS... on ne se refait pas.
[^] # Re: admin, unissez vous
Posté par pasBill pasGates . Évalué à 1.
Dans le pire cas ca ne change rien car les details ont ete divulges d'une maniere ou d'une autre.
[^] # Re: admin, unissez vous
Posté par kalahann . Évalué à 1.
Rien que les 2 semaines pour corriger wu-ftpd je trouve que c'est trop long. Quand on a un trou de sécurité aussi important que celui-là on met un développeur dessus jusqu'à ce que ce soit fini et point barre. Pas besoin de 2 semaines pour ça! Je veux bien croire que le cycle patch/compilation/test/packaging/test/re-test... soit long, mais quand même!
Ah oui, encore un mot pour ce qui est de divulguer ou pas les failles dès leur apparition: Il y a une différence entre une faille découverte par l'auteur du soft et quelqu'un d'autre. Dans le premier cas, on peut se permettre de ne pas tout divulguer tout de suite et voir avec les distributeurs pour correction rapide de la faille. C'est le cas où pour moi ça pose pas de pb. Par contre si c'est qqun d'autre, tu n'as aucune certitude sur le nombre de personnes au courant et la connaissance de la faille peut se répandre. Là, tu dois divulguer.
Mais ce n'est que mon avis. Le principe, c'est que tu ne peux pas te permettre de ne pas donner aux gens les moyens de se protéger SAUF quand la connaissance de la faille est très réduite et de façon certaine.
[^] # Re: admin, unissez vous
Posté par pasBill pasGates . Évalué à 1.
- Tu dis des la decouverte de la faille:
"Il y a une faille dans la gestion des cookies, il est fortement conseille de bloquer la gestion des cookies pour eviter d'etre une victime"
Tu donnes un moyen aux gens de se proteger et tu ne dis pas aux script kiddies comment profiter de la faille
Ensuite, des que le patch est pret ou dans X(MS a propose 30) jours tu devoiles les details
Le patch est dehors donc les gens peuvent reutiliser les cookies et sont proteges
Les gens peuvent voir la faille et tester le patch
...
Ou est le probleme ?
[^] # Re: admin, unissez vous
Posté par kalahann . Évalué à 1.
Mais dans le cas présent, la faille est considérée comme étant NON-EXPLOITABLE. Je ne comprend même pas qu'ils aient voulu ne pas divulguer la faille, ça ne sert à rien...
[^] # Re: admin, unissez vous
Posté par pasBill pasGates . Évalué à 1.
Mais la question n'est pas la, que MS(ou autre) soit le seul a etre au courant ou pas ne change rien, il faut limiter le plus possible les moyens de profiter de la faille jusqu'a ce que le patch soit sorti, ca n'empeche pas d'annoncer la faille mais ca protege au maximum en attendant le patch. Au pire c'est le meme resultat, au mieux ca empeche les script kiddies de hacker des machines.
[^] # Re: admin, unissez vous
Posté par kalahann . Évalué à 1.
On est d'accord sur le but (limiter le plus possible les moyens de profiter de la faille)Dans le monde propriétaire, de toute façon personne n'a les sources et est obligé d'attendre le patch. Donc au pire c'est le meme resultat, comme tu le dis.
Dans le monde libre, tout le monde a les sources, et peut faire le patch lui même ou l'appliquer dès qu'il est sorti. Donc quand tu divulgues les détails tu permet aux gens de se protéger. Bon tu vas me dire que les gens qui ne se tiennent pas au courant ne verront pas passer l'affaire et risquent de se faire pirater, je suis d'accord. Mais de toute façon ce sont les mêmes personnes qui ne vont pas appliquer les patches qui sortent (que ce soit MS ou Red Hat n'y change rien: luser error!)
Les différences sont tellement grandes entre les modèles de développement et de participation entre le proprio et le libre qu'on ne pet pas comparer nos manières de fonctionner en sécurité.
Tu remarquera que MS essaye d'appliquer sa méthode à tout le monde, pas nous même si on a tendance à prêcher pour le full disclosure. Je sais ça se voit pas tellement dans ce site au vu des commentaires souvent anti-ms et pro-libres au point d'être parfois aveugles et gratuits (je le sais j'en fais aussi). Les orientations du libre en matière de sécurité et les commentaires d'ici ne se reflètent pas forcément.
[^] # liste des distrib assez bizarre
Posté par Thomas Pedoussaut . Évalué à 1.
Les Mandrake intallent proftpd, wu n'est présent que sur le CD2. En comptant comme ça, tout système POSIX sur lequel il est possible de compiler wu.
[^] # Re: admin, unissez vous
Posté par Jean-Pierre Schwickerath (site web personnel) . Évalué à 1.
Rien ne vaut un bon LFS a partir des sources
[^] # Re: admin, unissez vous
Posté par Banux (site web personnel) . Évalué à 1.
C est juste que les recommandations de liste comme bugtraq ne sont pas forcement suivi.
.
c est pour ca que je trouve certain cote de cette news a cote de la plaque. et fait tres petite revanche.
[^] # Re: admin, unissez vous
Posté par pasBill pasGates . Évalué à 1.
MS a propose une solution a ca, et le monde du libre l'a descendu en flamme. Maintenant les gens du libre se rendent compte que leurs distribs preferees font la meme chose, alors soit ils sont en accord avec eux meme et ils agissent de la meme maniere avec leurs distrib qu'avec MS, soit ils admettent qu'il n'y avait aucune raison de hurler contre MS.
C'est juste une histoire d'etre equitable entre 2 entites qui se comportent de maniere identique.
[^] # Re: admin, unissez vous
Posté par jeanmarc . Évalué à 1.
Mais, tu nous dis:"red hat a corrigé une faille et n'a rien dis, na. C'est comme nous, na".
Non, ce n'est pas comme toi et c'est assez puérile. Nous avons les sources. Chez nous, quelqu'un de responsable et d'assez compétent qui tombe sur une faille, la corrige dans son coin, rend disponible le patch et la faille. Y'a pas mieux!
Chez toi, quelqu'un de responsable qui tombe sur une faille ne pourra jamais savoir si elle est assez compétente pour résoudre le probléme et, si elle fait le malheur de mettre quelqu'un qui pourrait remonter l'affaire, on la traite de pirate irresponsable.
Deux églises, deux sons de cloche différents! Je trouve que la notre à un meilleur timbre :)
[^] # Re: admin, unissez vous
Posté par VERMEEREN Sebastien . Évalué à 1.
Et combien de pique tu vois journalierement sur microsoft ? Comment peut on lui reprocher son manque d'objectivité avec autant de trolls sur microsoft ...
[^] # Re: admin, unissez vous
Posté par Chmouel Boudjnah . Évalué à 1.
# Excuses de Red Hat
Posté par Robert Palmer (site web personnel) . Évalué à 1.
Si c'est ce dernier cas, je n'ai jamais vu Microsoft en faire autant. Déjà qu'ils ont du mal à s'excuser pour le bug lui-même.
Maintenant c'est vrai que Red Hat avait le temps pour le sortir ce patch, mais peut-être qu'en l'annonçant publiquement les choses seraient allées plus vite.
De toute façon depuis le temps qu'on dit qu'il ne faut pas utiliser wu-ftp...
Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment
[^] # Re: Excuses de Red Hat
Posté par pasBill pasGates . Évalué à 1.
Au passage, je tiens a rectifier ma propre news, MS ne proposait pas de ne pas annoncer la faille avant la disponibilite du patch, mais uniquement de ne pas annoncer les details(=exploit) de la faille, la faille en elle-meme peut etre annoncee avant.
[^] # Advisory de CORE
Posté par pappy (site web personnel) . Évalué à 1.
Tous les détails sont dans :
http://archives.neohapsis.com/archives/vulnwatch/2001-q4/0063.html(...)
L'exploit repose sur la modification de chunks dans le tas. En gros, il faut jouer avec des malloc() et free() pour aller modifier des pointeurs dans le tas de sorte à ce que le registre d'instructions finisse par pointer sur le shellcode de son choix.
Ce genre de faille est très difficile à exploiter ... mais c'est possible, comme les montrent les exemples de traceroute, sudo et maintenant celui-ci.
# proftpd ça roulaize plus de toute façon :)
Posté par supa samy . Évalué à 1.
pis si vous avez une slack ... je pense qu'il y a déjà un correctif dans les sources qu'il suffit de récupérer ... :)
je dis ça sans vérifier bien sur parce que j'aime bien me faire incendier ... ho oui frappez moi maitresse :))
-1 parce que c nul comme d'hab ..
[^] # Re: proftpd ça roulaize plus de toute façon :)
Posté par Toufou (site web personnel) . Évalué à 1.
# Etrange
Posté par ogallos . Évalué à 1.
Cependant, bizarre, Microsoft a quand même attendu 15 ans avant de sortir un système potable, en pompant sur les autres (et ce, dès l'origine où ils ont pompé l'interface graphique inventé par Xerox, et mis "à la mode" par Apple").
Je me souviens également des paroles il y a quelques temps, passi eloignés que ça, où les dirigeants de Mickey Soft affirmaient "Linux n'est pas une menace", ce que notre cher PBPG semble contrarié.
Conclusion: Alors, microsoft, on s'interresse aux news sur les systèmes libres?
[^] # Re: Etrange
Posté par pasBill pasGates . Évalué à 1.
Sinon, je m'interessais aux news sur Linux a l'epoque ou fvwm etait considere comme le top des GUI sur Linux, j'ai pas attendu la vague mediatique Linux pour ca.
Pour ton info, je suis a la base Amigaiste et Unixien, et j'ai probablement encore pour quelques mois plus de connaissances de ces 2 systemes que de Windows...
Mais bon, ca n'a rien a faire la --> -1
# Appel à trolls ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 1.
Le seul lien fournit est l'avis sécurité de RedHat, donc difficile de vérifier ce que dit la dépêche (question au passage : comment le modérateur a vérifié ce qu'affirmait pBpG ?)
Sinon cet avis vient s'ajouter à la longue liste des avis sur wu-ftpd.
[^] # Re: Appel à trolls ?
Posté par pasBill pasGates . Évalué à 1.
Voici une advisory updatee : http://www.securityfocus.com/archive/1/242750(...)
Dans laquelle il est specifie que :
1) les vendeurs ont ete mis au courant le 14 Novembre( donc 3 semaines avant au lieu de 2, encore une erreur de ma part)
2) Redhat a sorti l'annonce le 27 alors que c'etait prevu le 3 decembre et que de ce fait les autres distrib ont pas eu le temps de corriger la faille
3)un autre site: http://news.cnet.com/news/0-1003-200-8007615.html(...) qui precise que les distruteurs etaient a peu pres tous au courant
[^] # Re: Appel à trolls ?
Posté par Yann Hirou . Évalué à 1.
(cf commentaire plus bas sur la réponse faite par Dave Ahmad, de SecurityFocus, et modérateur de BugTraq, à l'annonce prématurée de RedHat).
[^] # Re: Appel à trolls ?
Posté par #3588 . Évalué à 1.
Ce qui n'est pas clair, c'est dans la news "histoire que les autres distributions aient le temps de faire et tester leurs correctifs". Mais ça veut dire que les autres distribs sont informées du problème ça. Et le développement des distribs n'est pas si fermé que ça (pas pour toutes en tous cas), les mailing listes sont ouvertes, etc. Alors qui a été informé ? Juste le développeur/packageur de wu-ftpd de chaque distrib, et personne d'autre ? Ca donne plutot l'impression que l'info sur la faille a bien été diffusée, et que ces histoires d'annonces ne concernent que le patch.
C'est vrai que la formulation de la news est orientée troll, vu le manque de détails. En fait, il y a peut-etre quelque chose d'intéressant là dedans, mais il faudrait d'abord en savoir plus...
[^] # Re: Appel à trolls ?
Posté par pasBill pasGates . Évalué à 1.
La boite qui a trouve la faille a une "policy" qui est de ne rien dire pendant un certain temps histoire de laisser le temps aux gens de corriger la faille, il est donc clair qu'ils allaient pas faire l'annonce sur une mailing-list Linux...
[^] # Re: Appel à trolls ?
Posté par #3588 . Évalué à 1.
Bon évidemment, si le bug n'est pas compliqué et que le patch est simple (voire fourni par l'auteur), il n'y a pas forcément grand chose sur les listes, mais j'ai l'impression qu'un abonné aux listes de bug/sécurité aurait de toutes facons reçu l'info avant les annonces.
[^] # Re: Appel à trolls ?
Posté par pasBill pasGates . Évalué à 1.
- La boite trouve la faille et l'annonce a la distrib XYZ et les auteurs
- La distrib XYZ informe les autres distrib et se met d'accord avec les autres et les auteurs pour une date de release du patch et une certaine discretion
- chacun reste discret de son cote et corrige le bug
- tout le monde release le patch en meme temps que l'annonce de la faille
[^] # Re: Appel à trolls ?
Posté par jeanmarc . Évalué à 1.
[^] # Re: Appel à trolls ?
Posté par pasBill pasGates . Évalué à 1.
[^] # Re: Appel à trolls ?
Posté par jeanmarc . Évalué à 1.
Et ce n'est toujours pas logique parce que ça doit te démanger de me répondre pareil pour windows qui est de loin le plus utilisé mais, vu que les sources ne sont pas disponibles, vous avez tout le loisir de faire un truc totalement opaque et sécure. Mais, où est donc passé la logique bordel?
[^] # Re: Appel à trolls ?
Posté par kalahann . Évalué à 1.
Cet os est un vrai gruyère. Il me semble Solaris vaut beaucoup moins que sa réputation. De toute façon aucun os généraliste ne peut valoir un os *destiné* à la sécurité, comme openbsd par exemple. J'en connais pas de proprio...
[^] # Re: Appel à trolls ?
Posté par vrm (site web personnel) . Évalué à 1.
# Que viennent faire les distribs ici ?
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
Qu'àprès debian, redhat ou les autres appliquent le plus rapidement possible les correctifs ne peut etre qu'un avantage pour l'utilisateur final.
[^] # Re: Que viennent faire les distribs ici ?
Posté par bmc . Évalué à 1.
Bien sûr, on peut le patcher dans tous les sens, mais mieux vaut prendre un truc sérieux dès le départ, par exemple pure-ftpd ( pureftpd.sourceforge.net ) qui, outre le fait d'offrir a priori un niveau de sécurité bien supérieur, présente des fonctionnalités très complètes et très poussées.
[^] # Re: Que viennent faire les distribs ici ?
Posté par Annah C. Hue (site web personnel) . Évalué à 1.
Les administrateurs sérieux n'installent pas ce genre de blagues. Wu-ftpd est aux serveurs ftp ce que sendmail est aux serveurs SMTP : le premier a avoir vu l ejour, mais aussi celui qui n'a pas eu dès sa conception les exigences de sécurité.
De plus, le protocole ftp est une horreur pour les firewalls, les mecs qui l'ont créé devaient fumer beaucoup de choses bizarres quand ils ont fait les specs.
Pour ceux qui veulent continuer à transférer des fichiers, scp est quand meme largement mieux.
[^] # Re: Que viennent faire les distribs ici ?
Posté par bmc . Évalué à 1.
Hmm, c'est beaucoup plus sûr, c'est clair, mais niveau débit c'est pas trop ça encore...
Pour le reste je suis OK :)
[^] # Re: Que viennent faire les distribs ici ?
Posté par Charles Plessy (site web personnel) . Évalué à 1.
hop!, un p'tit lien pour ceux qui ne savent pas non plus :
http://www.ssh.com/products/ssh/administrator24/Using_Secure_Copy__(...)
(sans garantie que ce soit le plus pertinent)
# Réponse de SecurityFocus
Posté par Yann Hirou . Évalué à 1.
This vulnerability was initially scheduled for public release on December 3, 2001. Red Hat pre-emptively released an advisory on November 27, 2001. As a result, other vendors may not yet have fixes available.
La vulnérabilité n'a pas été découverte par RedHat, mais par CORE. C'est eux qui ont apparement décidé de ne pas publier tout de suite le problème, et qui ont suivi la règle tacitement en usage actuellement : prévenir les développeurs et les fournisseurs, avec une deadline.
ATTENTION : ne vous méprenez pas, il ne s'agit pas d'attendre que le patch soit sorti pour annoncer la vulnérabilité, il s'agit simplement de laisser le temps de faire un patch. Si ce n'est pas le cas, la vulnérabilité est quand même annoncée.
Voir pour exemple le Disclosure Policy du NMRC ( http://www.nmrc.org/advise/policy.txt(...) )
If we find a security flaw, hole, or bug in software, we will first work to
verify the basics surrounding said problem. Once we have done that, we will
contact the vendor with enough technical details to reproduce the problem, and
might supply source code for an exploit if it seems appropriate.
If the problem is considered a very high priority problem, we will give the
vendor a month's notice before we go public. Otherwise they have a week to
respond.
# Passer à ProFTPD
Posté par Foxy (site web personnel) . Évalué à 1.
Cette implémentation du service FTP est truffé de trous de sécurité tout au long de son histoire :-( Perso je conseille de passer urgemment à ProFTPD : http://www.proftpd.org(...) Ce serveur est bien plus sûr et sa configuration est un bonheur au niveau de ses possibilités (entre autre il est très facile de créer un espace FTP en "anonymous" sans à avoir à faire une copie restreinte de bin/, etc/... dans l'arbo de 'ftp').
[^] # Re: Passer à ProFTPD
Posté par LeAg . Évalué à 1.
La "copie restreinte" est la pour "chrooter" le demon ftpd pas pour creer un ftp anonyme.
Comme WU-ftpd, ProFTPd peut et doit etre "chroote" avant de mettre un FTP anonymes accessible depuis l'exterieur.
[^] # Re: HS quid du chrootage
Posté par Ray Mond . Évalué à 1.
Et que vaut-il mieux faire, un chrootage pour l'anonymous et un vrai ftp pourles users, ou un vrai ftp tout court?
[^] # Re: HS quid du chrootage
Posté par PLuG . Évalué à 1.
chroot => change root permet de définir un nouveau repertoire racine pour un process (et ses fils).
ces process ne verront que les fichiers qui sont dans ce nouveau /, il ne pourront (en principe - il y a eu des failles) pas s'echapper de la prison (on parle de chroot jail).
pour anonymous c'est un gain en sécurité indéniable, que l'on se doit de mettre en place, après tout on ne le connais pas cet anonymous !
pour les autres users, je dirai que cela depend. si c'est une machine ou les users on un accès shell, ils feront ce qu'ils veulent de toute facon donc pas besoin de les brimer avec un "chroot jail". Si c'est une machine de ftp pour des abonnés (comme chez les FAI) ou les users ont un mot de passe mais pas de compte shell, le gain du chroot est interessant aussi ...
[^] # chroot != jail
Posté par pappy (site web personnel) . Évalué à 1.
C'est pas vraiment des failles, c'est juste qu'il y a des moyens de sortir du chroot (un shellcode bien comme il faut fait ça très bien).
chroot jail
chroot est une chose, jail en est une autre (qui n'existe pas sur linux)
Il faut pas tout mélanger.
[^] # Re: chroot != jail
Posté par PLuG . Évalué à 1.
la plupart des docs parlent de "chroot jail" des que chroot est utilisé pour reconstruire un environnement séparé (avec un /etc/passwd quasi vide, juste les libs qu'il faut ...). Comme je lis les docs, je suis sujet au même travers que mes lectures.
il suffit de chercher "linux chroot jail" pour voir un nombre effarent de réponses dans google, par exemple la: http://www.linuxdoc.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Edi(...)
chroot + ? = jail ??
[^] # Re: chroot != jail
Posté par PLuG . Évalué à 1.
http://www.daemonnews.org/200109/jailint.html(...)
on peut peut-etre faire la meme chose avec certains patchs pour linux qui permettent de poser des limites/droits par rapport aux appels systemes / fichiers ...
NB: je me suis bien gardé de parler de "jail" avec linux, mais bien de "chroot jail" terme employé sur tous les unix AVANT que freebsd n'inclu l'appel système jail() pour la première fois dans sa release 4.0 (mars 2000).
[^] # Re: chroot != jail
Posté par pappy (site web personnel) . Évalué à 1.
http://www.hsc.fr/ressources/breves/jail.html(...)
http://www.daemonnews.org/200109/jailint.html(...)
[^] # Re: chroot != jail
Posté par Ray Mond . Évalué à 1.
[^] # Re: Passer à ProFTPD
Posté par VACHOR (site web personnel) . Évalué à 1.
Faut laisser tomber telnet, ftp, et passer à SSH avec SCP ou SFTP. Avec mindterm comme client (une appli en java sous forme de jar) qui fait le SSH 1 & 2 + le SCP + SFTP + terminal de très bonne qualité et rapide (mindterm fait même des tunnels SSH pour d'autres applis), c'est vraiment nickel !
http://www.appgate.org/products/mindterm/(...) (y'a moyen de trouver des sites qui fournissent mindterm sans s'enregistrer)
http://www.linuxdoc.org/HOWTO/MindTerm-SSH-HOWTO/(...) (Le SSH tunnel HOWTO)
L'essayer en applet (un must !) : http://pierre.mit.edu/compfac/mindterm/applet.html(...)
[^] # Re: Passer à ProFTPD
Posté par bmc . Évalué à 1.
Il existe également pureftpd ( http://pureftpd.sourceforge.net(...) ), qui peut se configurer simplement avec la ligne de commande (pas besoin de fichier de conf, même si on peut en utiliser un), qui possède une interface graphique de configuration (optionnelle bien sûr) pour KDE2, et une pour Gtk (en dvpt), qui offre un niveau de sécurité excellent (jusqu'à preuve du contraire ;), et qui possède des fonctionnalités géniales :)
Allez faire un tour sur leur site, il y a une comparaison des principaux serveurs FTP disponibles, c'est intéressant...
Personnellement, je trouve pureftpd plus souple et un peu moins loud que proftpd (c'est un avis personnel hein ;)
[^] # Re: Passer à ProFTPD
Posté par Julien Portalier . Évalué à 1.
nota: le mode french-fun est sympa aussi (c;
# Bof...
Posté par Matthias Saou . Évalué à 1.
En plus, ce "bug" a été jugé "non exploitable" (ou très très très difficilement), donc tout ce remue-ménage est un peu inutile.
Au passage, pour les ftp anonymes, vsftpd est vraiment à conseiller et pour les autres je préfère personnellement proftpd (ouais, j'en ai un peu marre des "exploits" réguliers trouvés dans wu-ftpd!)
"Vendors for wu-ftpd please read" du 19/11 sur Bugtraq :
http://www.securityfocus.com/archive/1/241105(...)
Matthias
[^] # Re: Bof...
Posté par Yann Hirou . Évalué à 1.
Du "non exploitable" avec l'exploit fourni, c'est fort tout de même, non ? ;-)
(cf l'annonce de SecurityFocus, qui contient aussi l'exploit... http://www.securityfocus.com/archive/1/242750(...) )
[^] # Re: Bof...
Posté par Matthias Saou . Évalué à 1.
Dans la page dont tu parles :
"Ease: No Exploit Available"
et
"Currently the SecurityFocus staff are not aware of any exploits for this issue. If you feel we are in error or are aware of more recent information, please mail us at: vuldb@securityfocus.com"
C'est pour ça que je ne m'affole pas, surtout qu'un compte valide (mais même anonyme) est nécessaire et que tous mes serveurs ftp avec des comptes pour des clients sont en proftpd et que les anonymes sont en vsftpd :-)
Honnêtement, pour moi c'est beaucoup de bruit pour pas grand chose.
Matthias
# Rigolo
Posté par Eddy . Évalué à 1.
Je crois qu'on devrait le laisser poster les news sur les annonces de securite, on verra si il a la dent aussi dure quand c'est son employeur qui merde.
[^] # Re: Rigolo
Posté par pasBill pasGates . Évalué à 1.
Vous vous occupez de la partie Microsoft plus que regulierement, je prends donc une partie du boulot et je m'occupe de l'autre partie, histoire que ce soit equitable.
[^] # Re: Rigolo
Posté par Eddy . Évalué à 1.
Et dans ce cas, les commentaires sont plutot "Quelles brelos ces programmeurs, meme pas capables de faire un truc propre! En plus, leur corrections de bugs en rajoutent. Linus, t'es vraiment un rigolo, tu ne sais plus quoi inventer pour te faire remarquer".
Par contre, toi, quand il y en a sur MS, alors, la, tu dis:
"Oui, mais c'est pas de notre fautre, si les gens ils n'ont pas installes les prgs que nous leur recommandons. On ne peut pas tester sur toutes les configuration possible, on le fait deja sur plein. Alors arretez d'etre un peu des rebelles sur votre machine et faites ce que MS vous dit".
L'equite ok, mais surtout, on voudrait de l'honnetete intellectuelle.
[^] # Re: Rigolo
Posté par pasBill pasGates . Évalué à 1.
A croire que t'es en vacances quand je hurles sur les dev de IIS alors.
D'autre part mon prob n'est pas qu'il y ait une faille dans Linux car je sais pertinemment que ca arrive a tout le monde, d'ailleurs c'est pas dans Linux mais dans wu-ftpd. Mon prob c'est la maniere dont la faille a ete geree a ete encore plus obscure que ce que MS avait propose et MS s'est fait allumer pour ca. J'aimerais donc que soit les distribs se fassent allumer, soit que les gens qui ont allume MS admettent qu'ils s'etaient trompes.
[^] # Re: Rigolo
Posté par Mokona . Évalué à 1.
Pour l'annonce en deux temps, c'est vraiment du cas par cas, et tout dépend de la vitesse de développement d'un patch. 30 jours ? Pourquoi ? 24 heures ? Pourquoi ?
L'annonce de la défaillance doit être faite le plus tôt possible pour que les admins et utilisateurs prennent leurs dispositions.
Mais l'annonce des détails dépend de beaucoup de facteurs, c'est du coup par coup. Cela dépend déjà de la réactivité des mainteneurs officiels. S'ils savent réagir vite et que quelqu'un leur propose un patch correct, pourquoi attendre 30 jours.
S'ils ne réagissent pas du tout, ou bien n'existent plus, qui contacter ? Le libre tendrait à dire : on prévient tout le monde, cela permet au plus rapide de sortir un patch correct, ou au moins d'analyser le problème.
Alors pourquoi attendre 30 jours aussi ?
A moins que le découvreur considère être le seul capable de gérer le problème. Cette attitude est malvenue dans le libre, mais au vues des intérêts financiers d'une boite comme RedHat, compréhensible.
Dans un cas comme MS, le problème ne se pose pas : ils sont les seuls, avec leurs partenaires éventuels, à pouvoir régler le problème. Il est normal qu'ils retiennent l'information le temps que le patch passe par toutes les étapes de développement.
Dans un cas de développeur indépendant, le problème ne se pose pas : soit il pond le patch et le publie, soit il prévient les mainteneurs qui doivent prévenir et patcher le plus rapidement possible.
Dans un cas comme celui de RedHat et bien... c'est tangeant. Ils héritent un peu des deux méthodes. Leur côté libre _devrait_ les pousser à divulger les informations pour que ceux qui peuvent y contribuent. Leur côté commercial se doit de conserver sa crédibilité en gardant son système sécurisé aux yeux du public.
Il est bien dommage dans cet affaire qu'ils choisissent le côté "fermé" et oublient la communauté dont ils font implicitement partie.
[^] # Re: Rigolo
Posté par so-penible animation . Évalué à 1.
C'est un aveu ? Tu es payé par MS pour regarder les news de Slashdot !
c'est pour rire, hein ...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.