Pouarf. En gros rien a été décidé ni fait. Et c'est pas près de changer, car quand je lis cela les mecs continuent de nier le problème:
19:32:44 DavidWHodgins While it doesn't impact (as far as I can see) the package building or signing process, it does affect a number of high priority servers such as bugzilla
Le serveur de l'interface qui permet de gérer les comptes utilisateurs, acces et clefs ssh est complètement troué, mais tout va bien car le serveur de build est pas directement affecté. Je peux donc ajouter ma clef ssh au compte d'un admin pour acceder au serveur de build mais les mecs s'en foutent royal, on corrigera ca à la Saint-Glinglin si on y pense.
Et puis ca:
19:28:02 * Augier feels trolls are all hears…
Pour eux signaler un problème de sécurité c'est juste du troll. En tout cas pour moi c'est clair, jamais je leur confie mes donnée, et plus jamais je conseil cette distro à qui que ce soit.
Quand on voit qu'ils sont en train de nier la réalité du problème, une personne mal intentionnée aurait l'avantage de leur faire comprendre que oui il y a bien un problème.
Plus sérieusement, si j'étais à l'origine de la découverte du problème j'aurais bien sur fait un mail privé pour les en avertir, avec une deadline pour corriger le problème avant de l'annoncer publiquement. L'information étant déjà publique, c'est maintenant les utilisateurs qu'il faut informer, afin qu'ils fassent pression pour que le problème soit rapidement corrigé, ou si ce n'est pas le cas qu'ils changent de distribution.
La raison pour poster cela ici est toute simple. Premièrement si j'étais utilisateur de Mageia, je serais bien content de trouver sur linuxfr des infos sur la légèreté avec laquelle est traitée la sécurité des utilisateurs par les admins de cette distribution.
Ensuite j'ai souvent à faire à des novices qui me demandent conseil sur le choix d'une distribution, et j'avais tendance à évoquer Mageia parmis d'autres. Avec ces informations, je ne le ferais plus, et je suppose que d'autres lecteurs de linuxfr sont dans le même cas que moi.
Un serveur troué qui gère l'interface d'admin des comptes ainsi que leurs clefs ssh et toi tu vois pas où est le problème ?
Que tu le veuilles ou non, c'est completement trivial. Les possibilités pour exploiter cela sont infinies. Au hasard ? Une petite modif dans le code de l'appli de gestion de comptes utilisateurs pour logger les logins/password, ne reste plus qu'à attendre qu'un admin se connecte et le tour est joué. Trop impatient, et les admins se connectent pas assez souvent la dessus ? Pas de problème, une petite visite sur bugs.mageia.org et wiki.mageia.org nous permet de voir qu'un header en javascript chargé depuis nav.mageia.org est inseré sur toutes vos pages. Ca tombe bien, ces 3 hostnames pointent tous vers la machine qui tourne en Mageia 1. On modifie donc le javascript du header mageia inseré sur tous vos sites dont le wiki et bugzilla pour envoyer sur un serveur distant le contenu des champs login/password, et on attend qu'un admin se connecte sur l'un de ces sites, ce qui devrait se produire assez souvent, et voila. Pas envie de faire du javascript ? On modifie le perl du bugzilla, ou le php du mediawiki pour logger login/password. Vraiment pas envie de coder ? Ok, on modifie la conf apache pour logger les données POST, et voila.
Que veux tu de plus comme explications ? Un guide point par point pour expliquer au premier script kiddie qui passe dans le coin comment s'y prendre ?
Le nombre d'utilisateurs est sans doute faible mais vu la simplicité de l'attaque, pour quelqu'un qui fait dans le traffic de botnet ca vaut le coup quand même.
Tu peux le tourner comme tu veux, ce que je t'explique c'est que la sécurité de toute votre infrastructure de compilation de packages et mises à jour repose sur ce vieux serveur.
Certes les serveurs chargés du build en lui même ne sont pas en Mageia 1, mais honnêtement ca n'a aucune importance, comme je l'ai dit le passage de l'un à l'autre est trivial.
Une toute petite recherche sur votre wiki te permettra de voir que c'est l'interface qui permet aux packageurs de mettre à jour la clef ssh leur permettant de se connecter aux serveurs: https://wiki.mageia.org/en/Packagers_ssh
Donc je maintient, prendre le contrôle de ce serveur qui tourne en Mageia 1 (trivial si l'on regarde le nombre de failles publiées ces 5 dernières années, surtout quand on voit le nombre de services qui tournent dessus) permet trivialement de prendre le contrôle des autres.
Faut il vraiment aller jusqu'à vous en faire la demonstration pratique pour obtenir autre chose en réponse qu'un "tu ne sais pas" ?
D'accord mais votre serveur de gestion des comptes utilisateurs et de leur permissions (https://identity.mageia.org/) est toujours en Mageia 1. Une fois pris le contrôle de ce serveur il est trivial de prendre le contrôle des autres.
[^] # Re: A ceux qui critiquent....
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 1.
Désolé mais je préfère donner à des projets qui ne nient pas les problème plutôt qu'essayer les résoudre.
[^] # Re: intrusion ?
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 7.
Pouarf. En gros rien a été décidé ni fait. Et c'est pas près de changer, car quand je lis cela les mecs continuent de nier le problème:
Le serveur de l'interface qui permet de gérer les comptes utilisateurs, acces et clefs ssh est complètement troué, mais tout va bien car le serveur de build est pas directement affecté. Je peux donc ajouter ma clef ssh au compte d'un admin pour acceder au serveur de build mais les mecs s'en foutent royal, on corrigera ca à la Saint-Glinglin si on y pense.
Et puis ca:
Pour eux signaler un problème de sécurité c'est juste du troll. En tout cas pour moi c'est clair, jamais je leur confie mes donnée, et plus jamais je conseil cette distro à qui que ce soit.
[^] # Re: Pourquoi ici ?
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 3.
Quand on voit qu'ils sont en train de nier la réalité du problème, une personne mal intentionnée aurait l'avantage de leur faire comprendre que oui il y a bien un problème.
Plus sérieusement, si j'étais à l'origine de la découverte du problème j'aurais bien sur fait un mail privé pour les en avertir, avec une deadline pour corriger le problème avant de l'annoncer publiquement. L'information étant déjà publique, c'est maintenant les utilisateurs qu'il faut informer, afin qu'ils fassent pression pour que le problème soit rapidement corrigé, ou si ce n'est pas le cas qu'ils changent de distribution.
[^] # Re: Pourquoi ici ?
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 9.
La raison pour poster cela ici est toute simple. Premièrement si j'étais utilisateur de Mageia, je serais bien content de trouver sur linuxfr des infos sur la légèreté avec laquelle est traitée la sécurité des utilisateurs par les admins de cette distribution.
Ensuite j'ai souvent à faire à des novices qui me demandent conseil sur le choix d'une distribution, et j'avais tendance à évoquer Mageia parmis d'autres. Avec ces informations, je ne le ferais plus, et je suppose que d'autres lecteurs de linuxfr sont dans le même cas que moi.
[^] # Re: Tu ne sais pas
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 1.
Le seul à raconter des conneries ici c'est toi, en niant la réalité et la gravité du problème.
[^] # Re: Tu ne sais pas
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 10.
Un serveur troué qui gère l'interface d'admin des comptes ainsi que leurs clefs ssh et toi tu vois pas où est le problème ?
Que tu le veuilles ou non, c'est completement trivial. Les possibilités pour exploiter cela sont infinies. Au hasard ? Une petite modif dans le code de l'appli de gestion de comptes utilisateurs pour logger les logins/password, ne reste plus qu'à attendre qu'un admin se connecte et le tour est joué. Trop impatient, et les admins se connectent pas assez souvent la dessus ? Pas de problème, une petite visite sur bugs.mageia.org et wiki.mageia.org nous permet de voir qu'un header en javascript chargé depuis nav.mageia.org est inseré sur toutes vos pages. Ca tombe bien, ces 3 hostnames pointent tous vers la machine qui tourne en Mageia 1. On modifie donc le javascript du header mageia inseré sur tous vos sites dont le wiki et bugzilla pour envoyer sur un serveur distant le contenu des champs login/password, et on attend qu'un admin se connecte sur l'un de ces sites, ce qui devrait se produire assez souvent, et voila. Pas envie de faire du javascript ? On modifie le perl du bugzilla, ou le php du mediawiki pour logger login/password. Vraiment pas envie de coder ? Ok, on modifie la conf apache pour logger les données POST, et voila.
Que veux tu de plus comme explications ? Un guide point par point pour expliquer au premier script kiddie qui passe dans le coin comment s'y prendre ?
[^] # Re: Tu ne sais pas
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 1.
Le nombre d'utilisateurs est sans doute faible mais vu la simplicité de l'attaque, pour quelqu'un qui fait dans le traffic de botnet ca vaut le coup quand même.
[^] # Re: Tu ne sais pas
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 4.
Tu peux le tourner comme tu veux, ce que je t'explique c'est que la sécurité de toute votre infrastructure de compilation de packages et mises à jour repose sur ce vieux serveur.
Certes les serveurs chargés du build en lui même ne sont pas en Mageia 1, mais honnêtement ca n'a aucune importance, comme je l'ai dit le passage de l'un à l'autre est trivial.
[^] # Re: Tu ne sais pas
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 7.
Une toute petite recherche sur votre wiki te permettra de voir que c'est l'interface qui permet aux packageurs de mettre à jour la clef ssh leur permettant de se connecter aux serveurs:
https://wiki.mageia.org/en/Packagers_ssh
Donc je maintient, prendre le contrôle de ce serveur qui tourne en Mageia 1 (trivial si l'on regarde le nombre de failles publiées ces 5 dernières années, surtout quand on voit le nombre de services qui tournent dessus) permet trivialement de prendre le contrôle des autres.
Faut il vraiment aller jusqu'à vous en faire la demonstration pratique pour obtenir autre chose en réponse qu'un "tu ne sais pas" ?
[^] # Re: Tu ne sais pas
Posté par coquelicot-bleu . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 5.
D'accord mais votre serveur de gestion des comptes utilisateurs et de leur permissions (https://identity.mageia.org/) est toujours en Mageia 1. Une fois pris le contrôle de ce serveur il est trivial de prendre le contrôle des autres.