Journal Failles de sécurité

• # Re: Failles de sécurité

  Posté par Boa Treize (site web personnel) le 24 septembre 2003 à 10:37. Évalué à 1.

  

  Comment ça, encore une faille ? C'est toujours la même, c'est juste ses ramifications. Continue comme ça, et on va avoir l'impression qu'OpenSSH est un mauvais soft. Oh, et puis « alerte de sécurité » ou « correction préventive » n'est pas équivalent à « faille de sécurité », fais attention au vocabulaire, merci.
  
  Et merci aussi à Slackware, qui est déjà à jour (et qui n'était de toute façon pas vulnérable niveau OpenSSH).

  • [^] # Re: Failles de sécurité

    Posté par LeAg le 24 septembre 2003 à 11:02. Évalué à 0.

    

    Non, désolé ce n'est pas la même vulnérabilité (suivre les liens). La précédente concernait un "buffer overflow". Ici, il s'agit d'un problème dans le code de liaison avec PAM. http://lwn.net/Vulnerabilities/50544/(...)

     > Continue comme ça, et on va avoir l'impression qu'OpenSSH est un mauvais soft. 

    Je ne vais pas me gener pour critiquer un soft, qu'il soit libre ou non, quand il y a des problèmes dedans. C'est contraire même au principe du libre. TOUT doit pouvoir être dit. Surtout en matière de sécurité. Je me refuse à la ligne du "parti" sans broncher parce que ca peut nuire au mouvement. Que ce soit au boulot, en politique ou dans l'info, on doit toujours pouvoir exprimer son opinion.

     > Oh, et puis « alerte de sécurité » ou « correction préventive » n'est pas équivalent à « faille de sécurité » 
    
           Portable OpenSSH versions 3.7p1 and 3.7.1p1 contain multiple 
            vulnerabilities in the new PAM code. At least one of these bugs 
            is remotely exploitable (under a non-standard configuration, 
            with privsep disabled).
    
    Moi, j'appelle ça, une faille dont j'ai appris l'existance par une alerte de sécurité.
    La correction préventive, elle est dispo sur le FTP de openssh.org

    • [^] # Re: Failles de sécurité

      Posté par Boa Treize (site web personnel) le 24 septembre 2003 à 11:42. Évalué à 2.

      

      Ouais, enfin pour être vulnérable il faut à la fois utiliser PAM (douze failles de sécurité par an ?) et désactiver privsep ; autant dire qu'on la mérite, la vulnérabilité.
      
      Le problème n'est pas tant de dire ou ne pas dire son opinion que de transformer des éléphanteaux en mammouths ; oui il y a parfois des problèmes dans OpenSSH (comme dans tout logiciel qui évolue), mais oui ils sont corrigés dans la minute ou dans l'heure (et tout checkin est vérifié et approuvé par un autre membre de l'équipe, c'est pas tout le monde qui fait ça, loin s'en faut). Le problème c'est que l'on entend dire « Ah encore une faille de sécurité dans Blorb » et non pas « Ouah ils ont réagi vachement vite les auteurs de Blorb ». Le problème, c'est que pendant ce temps là, il y a des applications pourries de problèmes de sécurité, mais que personne ne le sait, y compris leurs utilisateurs. (Vous voulez utiliser un tunnel sécurisé sous Linux ? Réfléchissez bien... http://www.mit.edu:8008/bloom-picayune/crypto/14238(...) )
      
      Le problème en fait c'est que l'on fait rarement l'effort d'être objectif, et que l'on est même souvent d'absolue mauvaise foi (involontaire), et pour moi le libre, ça ne devrait pas être ça.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.