Journal Deux bugs trouvés dans la pile IPSEC d'OpenBSD

Posté par  .
Étiquettes : aucune
11
21
déc.
2010
Ce journal fait suite au journal https://linuxfr.org/~Zezinho/30572.html qui annonçait un backdoor possible dans OpenBSD.
Pour rappel, la semaine dernière un email reçu par le fondateur d'OpenBSD, révélait la présence de bugs intentionnellement laissés vers les années 2000 dans le code de la pile IPSEC de l'OS afin de servir de portes dérobées.

Depuis, les développeurs d'OpenBSD se sont penchés sur le code de la pile IPSEC et on découvert deux bugs, il n'est pas encore établie que les bugs puissent être des failles de sécurité. L'affaire continue donc, mais c'est décidément un coup dur pour la renommé d'OpenBSD...

source: http://www.itwire.com/opinion-and-analysis/open-sauce/43995-(...)
  • # Plutôt bien

    Posté par  . Évalué à 10.

    Ils ont fait un audit du code, ils ont trouvé deux bugs (et vont les corriger). On ne sait même pas si ces bugs sont reliés au type en question, mais ça fait toujours deux de moins.
    • [^] # Re: Plutôt bien

      Posté par  (site web personnel) . Évalué à 10.

      Y a plus qu'a lancer la même rumeur sur tout les composants du noyau \o/
      • [^] # Re: Plutôt bien

        Posté par  . Évalué à 10.

        Pas sûr que ça marche : ça fait des années qu'elle tourne sur Windows et ses bugs ne semblent pas être corrigés au fil du temps...

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # [:mouaif]

    Posté par  . Évalué à 10.

    Que suite à cette affaire on trouve des bugs parce que plus de monde s'est penché dessus n'est pas vraiment étonnant. Comme tu le dit, il n'est pas établi que ce sont des failles de sécurité. Je ne vois pas en quoi ça entame la réputation d'OpenBSD.

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: [:mouaif]

      Posté par  (Mastodon) . Évalué à 4.

      Ajoutons à ça la rapidité et la mobilisation pour débusquer les problèmes.
      Ajoutons encore que certaines entreprises prenant la licence au pied de la lettre ne reversent rien et se des bollocks en or massif avec openbsd (genre une applicance de gestion DNS sur de grands parcs) auront pris cette fois une sacrée leçon.
      Ben non seulement j'ai pas l'impression que OpenBSD en soit affaiblie, peut être la confiance qui regnait dans le projet un peu et le côté drastique certainement dorénavant avant de pouvoir commiter, mais en plus fort probable qu'OpenBSD en sorte grandi!

      /*pre-dredi*/
      ça démangera moins Theo de tout basculer en agpl v3 :) les entreprises elles ont dû piger le truc maintenant :p Parceque ces dernières remarques, ça faisait penser à ça "contribuer ou je fous tout sous Affero :p"
      • [^] # Re: [:mouaif]

        Posté par  (site web personnel) . Évalué à 7.

        > Ajoutons encore que certaines entreprises prenant la licence au pied de la lettre ne
        > reversent rien et se des bollocks en or massif avec openbsd (genre une applicance de
        > gestion DNS sur de grands parcs) auront pris cette fois une sacrée leçon.

        Parce que maintenant il faut interpréter la licence ?

        Ces entreprises n'ont ni raison ni tord et il n'y a rien à leur dire. Si on souhaite un retour, il y a d'autres licences possibles.
  • # Coup dur ?

    Posté par  (site web personnel) . Évalué à 10.

    >>> c'est décidément un coup dur pour la renommé d'OpenBSD

    Perso j'ai au contraire une meilleure opinion d'OpenBSD après cet épisode. J'ai bien conscience des défauts de cet OS ou de cette communauté de développement (quel projet est parfait ?) mais je crois qu'on ne peut qu'être admiratif du souci de transparence absolue qu'a eu Theo dans cette affaire.

    Si en plus ça débouche sur des corrections de bugs supplémentaires alors c'est tout bénéfice.
  • # MDR

    Posté par  (site web personnel) . Évalué à 10.

    Semaine intensive pour la recherche de bugs dans OpenBSD, on en trouve .... DEUX et tu écris que c'est un "coup dur" pour la renommée d'OpenBSD ?
    • [^] # Re: MDR

      Posté par  . Évalué à -5.

      Étant donné que leur slogan est « Seulement deux vulnérabilités à distance dans l'installation par défaut, depuis diablement longtemps ! », deux bugs découverts en moins d'une semaine, ça casse un peu le mythe, tu ne crois pas ?

      Bon, il faudrait être sûr que ce soit des failles, mais des bugs dans une pile dont la raison d'être est la sécurité, ça n'inspire pas la confiance...

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: MDR

        Posté par  (Mastodon) . Évalué à 6.

        Étant donné que leur slogan est « Seulement deux vulnérabilités à distance dans l'installation par défaut, depuis diablement longtemps ! », deux bugs découverts en moins d'une semaine, ça casse un peu le mythe, tu ne crois pas ?

        Euh non. Ça peut aussi vouloir dire que d'autres OS qui ont eut, par exemple, 20 vulnérabilités exploitable à distance trouvées en 10 ans en ont en fait encore une vingtaine dans les placards non déclarées.
      • [^] # Re: MDR

        Posté par  (site web personnel) . Évalué à 8.

        C'est pas un Hello World ; t'as vu la taille du bordel ? On parle de *deux* bugs trouvés après une scrutation intensive du code sans même avoir l'assurance qu'on puisse les exploiter...
      • [^] # Re: MDR

        Posté par  . Évalué à 5.

        > ça casse un peu le mythe, tu ne crois pas ?

        On peut imaginer que si un gouvernement a pu véroler openBSD, il ne s'est pas gêné pour faire de même dans les autres distributions (libres ou proprio), or openBSD peut clamer qu'il est la seule à avoir déjà corrigé tout éventuel problème, alors que les autres ne s'y sont pas encore penchés et ne savent même pas où chercher.

        Ce qui à mon avis casse le mythe c'est pas tant les deux malheureux bugs qui ont été trouvés, c'est plutôt le scandale initial, qui fait que le décideur pressé pourrait ne retenir que l'argument fallacieux : « c'est vérolé par le gouvernement, il faut fuir cette distribution ».
        • [^] # Re: MDR

          Posté par  . Évalué à 1.

          alors que les autres ne s'y sont pas encore penchés et ne savent même pas où chercher.


          sources ?

          Je ne serais pas étonné que les autres distrib attendent de voir ce que les dev openbsd vont trouver avant de dépenser de l'énergie à chercher quelque chose qui est peut-être juste un bon gros fake...
          • [^] # Re: MDR

            Posté par  (site web personnel) . Évalué à 6.

            De plus, le fait que deux bugs aient déjà été trouvé prouve qu'ils font vraiment cet audit.

            Qu'il y ai des bugs est normal, avec un code de cette taille et de cette complexité, c'est inévitable, même pour les plus talentueux programmeurs du monde avec la meilleure volonté de ce même monde.

            Que deux bugs aient été trouvé est une bonne nouvelle, car il était prévisible qu'ils y soient, même sans backdoor, même pour OpenBSD, et ce sans entacher leur réputation. En avoir déjà trouvé deux, ça signifie qu'ils mettent vraiment le paquet.

            S'ils disent "on n'a pas trouvé de backdoor" en n'ayant même pas trouvé des bugs qui n'ont rien à voir, ça signifie qu'ils n'ont pas relu plus que ce qu'ils avaient déjà fait, donc là il faut *vraiment* se méfier.

            S'ils disent "on n'a pas trouvé de backdoor" alors qu'ils ont levé tout plein de bugs, il y a moins de chance que la backdoor soit une réalité : ils ont de nouveau montré une certaine compétence à auditer leur code à un niveau encore jamais atteint.

            ce commentaire est sous licence cc by 4 et précédentes

          • [^] # Re: MDR

            Posté par  . Évalué à 4.

            > sources ?
            Tu peux mobiliser les développeurs une semaine pour relire un module précis, mais auditer un noyau entier, par exemple les 13,5 millions de lignes de code de linux 2.6.36 demanderait de mobiliser les dévs les plus compétents et d'arrêter le développement pendant un an... difficile.
  • # Plus de details

    Posté par  . Évalué à 5.

    Pour ceux qui aiment la crypto, je ne peux que leur conseiller de lire le thread sur tech@ qui fourmille d'informations techniques. http://marc.info/?t=129236639300001&r=1&w=2

    Ah, et théo a posté un mail qui démystifie un peu le FUD.. à lire, pour ceux qui aiment parler en sachant de quoi ils causent.

    http://marc.info/?l=openbsd-tech&m=129296046123471&w(...)
    • [^] # Re: Plus de details

      Posté par  (site web personnel) . Évalué à 2.

      >Ah, et théo a posté un mail qui démystifie un peu le FUD..

      Tu veux dire que c'est l'arroseur arrosé :
      (h) If those were written, I don't believe they made it into our
      tree. They might have been deployed as their own product.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.