coquelicot-bleu a écrit 35 commentaires

Mais toi, tu dois "partager plus".

Et toi tu devrais arrêter de harceler les gens pour leur demander de filer de la thune ou du temps.

Sérieusement t'es en train d'expliquer à quelqu'un qui semble déjà passer pas mal de temps à rédiger des "cahiers du débutant" qu'il faudrait qu'il partage plus…

Fondamentalement : oui ! Ton comportement est un problème. Pourquoi ? Parce que tu aurais pu agir autrement. Et ce n'est certainement pas moi qui vais te dire comment. Tu le sais parfaitement au fond de toi même.

Ahah, mon comportement serait donc le problème, mais tu ne vas pas dire pourquoi … Ou peut-être que tu ne peux pas dire pourquoi par ce que ça n'est pas mon comportement le problème ici mais celui de Mageia ?

Parce que j'attends plus de toi que la simple publication du problème.

Pourquoi attendre quelque-chose de moi plus que de n'importe qui d'autre ici ? Et tu ne précise toujours pas ce que tu attends.

Moi de mon coté, même si je ne suis vraiment pas heureux de ce qui c'est passé coté Mageia, il n'empêche que je vais quand même faire un don.

Ca je crois qu'on commence à l'avoir compris, et je dois t'avouer que j'en ai toujours autant rien à faire que lors de tes précédents messages, tu donnes de l'argent à qui tu veux.

Que me reste t'il à faire face à vos comportements ? Déposer un deux cierges et prier Sainte Rita pour vous !!!

Attend, Mageia utilise des serveurs troués comme pièce principale de son infra et le problème c'est mon comportement ?

Je vous remercie beaucoup pour ce que vous avez fait. Mais je maintiens ce que je dis : ce n'est pas suffisant.

Pas suffisant pour quoi ? Ca a semble il été suffisant pour qu'ils commencent à prendre le problème au sérieux. Pour la suite c'est à eux de décider, je connais pas leur équipe et je compte pas prendre en charge la gestion de leur infra.

Ce langage marketing a 2 balles pour tenter de me pousser à contribuer à votre projet a plutôt tendance à me faire fuir qu'autre chose.

Si j'ai déjà trop peu de temps à contribuer à mon gout sur d'autres projets (auxquels je contribue sans qu'on m'y ait poussé lourdement à le faire comme ici, non juste par ce que ça m'intéresse), c'est pas pour le faire pour un projet qui ne m'intéresse pas particulièrement, et c'est pas ton insistance ou tes tentatives ridicules pour me faire culpabiliser qui vont y changer quelque-chose, bien au contraire.

Ca m'étonne pas que vous manquiez de contributeurs si c'est comme ça que vous les traitez, plus je discute avec vous plus j'ai envie de fuir.

En parlant de ça j'ai du boulot et je crois qu'on commence à tourner en rond, je vous laisse …

Et la on va encore me répondre qu'on m'attend pour contribuer. Mais putain j'aurais pu prendre le contrôle de votre serveur de build, pousser discretos une mise à jour pour me faire un botnet avec les utilisateurs de mageia et revendre ça à un bon prix. Au lieu de ça j'essaie d'avertir les utilisateurs pour qu'ils fassent pression pour que ça soit corrigé rapidement, sachant que c'est un truc qui est remis sous le tapis depuis 5 ans. Je crois avoir fait ma contribution sachant que c'est une distribution que j'utilise pas personnellement et ça me ferait juste chier de voir la machine des gens qui l'utilisent se transformer en botnet (ou qu'ils se fassent voler leurs documents style ransomware).

Bref, il y a un moment où il faut savoir signer la Paix.

Faut arrête le délire mec, on est pas en guerre. Je me suis contenté de mettre un peu plus en lumière un problème que vous vouliez faire passer sous le tapis, c'est tout. Je suis en guerre contre personne.

Est ce qu'on demande de signer la Paix à un chercheur en sécurité quand il signale un problème ? Non, c'est son rôle.

Pareil quand on critique votre projet, c'est pas une guerre. Pas la peine non plus d'appeler à contribuer et faire des dons à chaque instant, on discute c'est tout. C'est un genre d'attaque ad hominem, quand quelqu'un critique votre projet plutôt que lui répondre avec des arguments on lui rabâche à la gueule que c'est un naze par ce qu'il contribue pas.

Un utilisateur indique qu'il a envie de faire un don

En essayant surtout de me culpabiliser avec son "donc maintenant on attend plus que toi pour le coup de main". C'est aussi en gros le contenu de son précédent message "A ceux qui critiquent….".

C'est plus une question d'état d'esprit et d'honnêteté que d'avoir une équipe chargé de la communication ou pas.

En fait la comm du blog de Mageia me fait au contraire penser à celle d'un groupe commercial qui veut à tout prix éviter une perte d'utilisateurs.

Je fais déjà des dons à Debian et une flopée d'autres projets, en plus de contributions techniques à d'autres. Pourquoi j'irai en faire un à Mageia, un projet qui vient de démontrer qu'ils n'en ont rien à foutre de la sécurité de ses utilisateurs ? Si y a un moment pour me convaincre de donner c'est pas maintenant. Surtout que ça semble pas être un problème d'argent.

Vu comment vous insistez pour qu'on vous file des thunes on dirait un vrai projet commercial qui a mal tourné. Ca et la communication en mode "on fait tout pour cacher la vérité aux utilisateurs pour qu'ils restent".

Reste plus qu'à mettre en place une réponse auto sur le bugzilla "vous venez de rapporter un bug mais c'est votre faute s'il est la car vous n'avez pas contribué, vous pourriez au moins faire un don !".

Je sais qu'ouvrir un shell c'était limite niveau légalité mais je l'ai fait quand même par ce que:
- les voir porter plainte pour un problème qu'ils niaient ça serait marrant
- j'ai absolument rien fait sur la machine avec ce shell, ça va être compliqué pour eux de prouver un quelconque préjudice, ou même simplement d'en trouver une trace
- c'est l'équivalent d'ouvrir une porte mais sans rien abimer et sans rentrer derrière

Ce qui est dommage c'est qu'il soit nécessaire de passer tant de temps pour faire admettre aux admins de cette distro que non il n'est pas acceptable d'avoir un serveur troué comme pièce principale de l'infra qui gère les updates de la distro.

Quand à la façon dont j'utilise mon temps et les projets auxquels je contribue "tu ne sais pas" (et ca n'est pas le sujet).

Et même au delà de ça, tu regardes quand Gitlab a eu un gros souci, des gens ont dit "ça arrive à tous" (sur twitter) et ça a globalement été positif. Ici, c'est juste du fiel et du purin sur des bénévoles en sous effectif à cause du stress, pour un souci qui n'a pas eu lieu.

Gitlab a dit on a merdé, voila exactement comment on a merdé, voila comment on essaye de réparer et on expliquera ensuite comment on compte ne plus merder par la suite.

Mageia a dit "Tu ne sais pas", "pas trivial directement", "les experts sont les sysadmins qui ont mis en place l'infrastructure, et pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version", "The potential risks are confined to some web services of the mageia.org domain".

Aller au pif, tu modifies la conf apache avec ton hack, restart apache, revert la conf apache dans sa version originale sans restarter apache et le tour est joué. puppet va voir que la conf a pas changé et donc pas restarter apache.

C'est juste un exemple, on peut trouver 1000 autres façon d'arriver au même résultat.

Ahaha, le revert de la conf puppet comme sécurité. T'es sérieux ? Y a des tas de moyens pour contourner ça.

Ca va emmerder le script kiddie qui pirate un nouveau serveur toutes les 5 minutes de façon automatisée sans même s'interesser à ce qu'il y a dessus, ok. Mais la on parle pas d'un obscure blog en php, on parle de l'infra pour gérer une distro utilisé par un certain nombre de gens. Quand tu t'attaques à ça t'as je pense un peu de temps devant toi. J'ai déjà eu a faire des modifs sur des trucs déployés par puppet lors de pen tests pour des clients, ça a du m'emmerder pendant 5 bonnes minutes le temps de trouver comment contourner. Le but de puppet est clairement pas de sécuriser un serveur en forçant une config, ça se contourne de pleins de façons, faut pas chercher bien longtemps.

L'infrastructure de Mageia a le bon gout d'être ouverte depuis le début

Alors ça oui, ça y a aucun doute, elle est "ouverte".

Ensuite, les admins ont merdé, je comprend, ça arrive. Y a des raisons, ok. Si ils admettent qu'il y a problème, acceptent d'en parler, ok mais c'était pas le cas ici. Moi je veux bien aider, mais faut pas qu'on me prenne pour un con. La première réponse à ce journal c'était "Tu ne sais pas". Puis une flopée d'autres messages pour nier ou minimiser le problème. Ca m'arrive régulièrement de signaler des problèmes sur d'autres projets, et ça se passe très bien à partir du moment ou l'équipe en face prend au sérieux le problème sans essayer de le nier ou minimiser.

Qu'on dise qu'on aurait dû / pu faire mieux ? D'accord. On prend tous les coups de main pour la suite, quant aux coups de pied c'est pas obligé.

C'est quand même incroyable cette façon de faire culpabiliser automatiquement à chaque critique. C'est quand même pas ma faute si votre infra est pourrie. J'ai un emploi du temps déjà bien chargé et aucune intention d'y ajouter la contribution à une distribution Linux, et si c'était le cas ça ne serait de toute façon clairement pas la Mageia vu l'état d'esprit que j'ai pu observer ici. Surtout qu'il en existe déjà bien d'autres qui fonctionnent plutôt bien.

Le message n'est pas écrit pour toi mais pour les utilisateurs qui se demandent pourquoi leurs forums et leur bugzilla ne fonctionnent pas. On le leur dit et on les rassure sur le fait que les failles en question n'ont a priori pas eu d'impact.

C'est exactement le problème, votre seul but avec ce message est de rassurer les utilisateurs. Vous minimisez l'impact pour ne pas effrayer les utilisateurs, alors que vous n'en savez rien.

D'autres préféreraient une approche moins brutale.

Ca fait 5 ans que ces services auraient du être mis à jour, on a vu plus brutale comme approche.

En fait vous voulez quoi ?

Simplement de l'honnêteté. Quand on a merdé, on le dit, on ne minimise pas l'impact. Quand on ne connait pas l'impact, on le dit, on ne dit pas qu'il n'y a aucun problème pour rassurer les utilisateurs. C'est la base quand on veut avoir la confiance des utilisateurs.

Waouh, les commits envoyés à une mailing list, quelle sécurité de malade. Par ce qu'il ne viendrait pas à l'idée au pirate de désactiver ces mails avant de pousser son commit malveillant. A moins que le pirate ayant accès au serveur de build ne décide de pousser son paquet malveillant directement sur les mirroirs sans passer par la case commit.

Surveiller les connexions SSH ok, mais vous faites comment pour détecter les mauvaises connexions ? Vous êtes au courant que les logs ca s'efface ? Que quand on prend le contrôle d'un serveur on met généralement en place un autre moyen de s'y connecter que le ssh standard ? Je me suis permis d'ouvrir un shell un instant sur votre serveur, vous l'avez vu dans les logs ?

Le risque zéro n'existe pas, certes, mais faut-il vraiment parler de foutage de gueule ?

Le foutage de gueule c'est de venir parler de risque zéro quand son infra est toute trouée. C'est comme parler de spéculation sur la base de numéro de version, quand il s'agit d'une version d'un service en php obsolète depuis 5 ans dont il y a des vulnérabilités publiques en pagaille. Votre infra est peut-être (sans doute ?) compromise, vous n'en savez rien.

Le reste de leur annonce est tout aussi lamentable.

Our sysadmins decided to preventively shut down some of our web services which were still running on end-of-life Mageia versions, as their potential vulnerability to remote attacks was publicised in third party communities.

La pratique habituelle lorsque ce genre de chose arrive, c'est de s'excuser auprès des utilisateurs, remercier la ou les personnes ayant signalé le problème, le corriger le plus vite possible, et puis si possible expliquer comment on compte éviter qu'il se produise de nouveau. Rien de tout cela ici, on se contente de blâmer ceux ayant donné un peu plus de visibilité au problème.

The migration of those services to Mageia 5 servers was planned but delayed due to a lack of sysadmin time to work on it. The unexpected publicity that it received obviously made this topic a high priority one, our infrastructure being exposed as an easy target.

Ici on nous explique tranquillement que la correction du problème est prioritaire uniquement par qu'il a reçu un peu trop de visibilité. La sécurité des utilisateurs, on s'en fout tant que personne en parle sur linuxfr.

Voila, ils ont temporairement mis hors ligne les services concernés, et publié une annonce sur leur blog. Très bien.

https://blog.mageia.org/en/2017/04/05/web-services-shut-down-preventively/

Sauf que … Ils continuent de prendre leurs utilisateurs pour des cons.

Please note that our buildsystems for packages and ISO images are running the latest stable release, and therefore Mageia users need not be concerned. The potential risks are confined to some web services of the mageia.org domain.

Ils se gardent bien de préciser que parmis les "web services", figure celui permettant aux packagers et aux admins de gérer les clefs ssh permettant d'acceder au système de build. Comme déjà expliqué il est trivial de passer de l'un à l'autre. Affirmer que le risque est confiné à certains web services c'est tout simplement du foutage de gueule. Et je passe sur le fait d'en parler comme d'un risque "potentiel" …

Des projets gérés principalement par des bénévoles, avec peu de ressources, il en existe bien d'autres, avec pour certains un excellent niveau de sécurité et de fiabilité. Ca n'est pas une question de ressources, c'est une question de priorités et d'organisation. Parfois aussi il faut savoir décider de faire moins pour faire mieux, ou tout simplement d'arrêter lorsque le projet n'est plus viable.

l'infrastructure n'a pas été compromise (à ma connaissance)

Affirmer qu'un serveur avec autant de services qui tournent sur des versions obsolètes n'a pas été compromis, c'est soit de la naïveté, soit c'est prendre ouvertement les gens pour des cons.

J'ai fait le test, chrono en main, il m'a fallu 10 minutes à peine pour obtenir un shell sur votre serveur (que j'ai immédiatement fermé car mon but n'est pas d'aller plus loin). Je triche un peu car je bosse dans le domaine (pen testing) et j'ai donc des outils déjà tout prêts, mais j'estime que des milliers de gens en sont capables (avec un peu plus de temps peut-être). Il n'y a rien de bien sorcier, il suffit de piocher dans les nombreuses vulnérabilités des services qui tournent sur la machine sur les 5 dernières années (mediawiki, apache, php, les nombreux formats d'upload accepté par le wiki, etc …), essayer, et hop un shell qui s'ouvre.

Tirer dans les pieds de la communauté Mageia pour le fun au lieu d'essayer d'être constructif, c'est plus discutable.

Avant de reprocher aux autres de ne pas être constructif, peut-être que vous pourriez commencer par admettre la réalité du problème plutôt que parler de "spéculation sur la sécurité avec comme seule base un numéro de version", par ce que ça s'appelle prendre les gens pour des cons.

Jusqu'à preuve du contraire, les experts sont les sysadmins qui ont mis en place l'infrastructure, et pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version.

Pour continuer à spéculer sur les numéros de versions, le mediawiki utilisé sur ce serveur est en version 1.16.5, c'est à dire une version publiée le 2011-05-05, et supporté jusqu'en Novembre 2011.

Source: https://wiki.mageia.org/en/Special:Version

Pour la date de fin de support de mediawiki 1.16, c'est tellement vieux qu'ils ne le précisent plus sur la page actuelle. Il faut aller fouiller dans l'historique des modifications de la page pour trouver l'info: https://en.wikipedia.org/w/index.php?title=MediaWiki_version_history&oldid=462982423

A un moment donné il faut arrêter de prendre les gens pour des cons en leur disant qu'ils spéculent.

Il me semble que ce que tu suggère est illégal, et vu l'esprit de l'équipe mageia (s'attaquer à ceux qui signalent un problème et le nier plutôt que s'en excuser et le corriger), ils vont certainement très mal le prendre.