Debian: des mises-a-jour de "under review"

Le
GP
Comme d'habitude depuis deux ou trois semaines, je lis le DWN pour
bien comprendre la supériorité de Debian. Dernièrement, je parlais de
délais entre les versions qui passaient de 6 mois à 3 ans.
Aujourd'hui, il s'agit au contraire de précipitation.

En effet, j'ai été très surpris que Debian propose tant de patches:

http://www.debian.org/News/weekly/2004/44/

alors que Slackware n'en propose aucune:

http://www.slackware.com/security/list.php?l=slackware-security&y 04

J'ai vérifié les trois premières chez CVE et les trois indiquent:
"under review".

De quoi s'agit-il? Voici la description donnée par Trustix de la
vulnérabilité qu'ils ont découverte:

Trustix Security Engineers identified that all these packages had one
or more script(s) that handled temporary files in an insecure manner.
While it is not believed that any of these holes could lead to
privilege escalation, it would be possible to trick the scripts to
overwrite data writable by the user that invokes the script.

These problems can only be exploited by local users, and they would
have to wait for someone else, preferably root, to run the vulnerable
scripts.

http://www.trustix.org/errata/2004/0050

Qui est Trustix? Une compagnie qui se targue d'offrir des serveurs
Linux hypersécurisés. Une compagnie qui se pète les bretelles en
découvrant une vulnérabilité, donc.

Au lieu d'attendre que CVE reconnaisse le problème, Debian propose
d'installer la patch au plus tôt. Apt-get le fait par défaut, je
suppose. Mais, alors que Trustix prétend que la faille s'applique aux
paquets suivants: gettext, ghostscript, glibc, groff, gzip, kerberos5,
lvm, mysql, netatalk, openssl, perl, postgresql. et offre une floppée
de fichiers pour les mises à jour, Debian ne l'offre que pour lvm.

Pourquoi? Parce que c'est tout ce que Red Hat et SecurityFocus
semblent avoir trouvé.

Dans le cas de vulnérabilités au caractère aussi peu urgent, ne
faut-il pas faire attention de ne pas prendre d'actions qui
pourraient éventuellement provoquer des vulnérabilités plus réelles?

Étant donné que l'exploit ne peut être réalisé que par des usagers
locaux et seulement au moment où root exécute certains scripts, ne pas
mettre ps accessible aux usagers pendant quelques jours me serait-il
déjà une mesure de sécurité suffisante?

À moins que le(s) script(s) pour lvm ne s'exécute(nt) à tout bout de
champ?

Comment des gens qui prennent trois ans pour sortir une nouvelle
distro peuvent-ils être aussi rapidement sûrs de leur choix lorsqu'il
s'agit de patcher des logiciels?

Je trouve cette course à la patch guère rassurante.

GP
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Emmanuel Chantréau
Le #4767201
GP a écrit:

Comme d'habitude... depuis deux ou trois semaines, je lis le DWN pour
bien comprendre la supériorité de Debian. Dernièrement, je parlais de
délais entre les versions qui passaient de 6 mois à 3 ans.
...


Dans le cas de vulnérabilités au caractère aussi peu urgent, ne
faut-il pas faire attention de ne pas prendre d'actions qui
pourraient éventuellement provoquer des vulnérabilités plus réelles?


Dans les maj sécurité proposés par Debian, il y a 4 exécutions de code
arbitraires. Quand aux autres, il faut étudier très en détail pour savoir
l'importance. On ne peut pas dire "à priori" si c'est urgent ou non.


Étant donné que l'exploit ne peut être réalisé que par des usagers
locaux et seulement au moment où root exécute certains scripts, ne pas
mettre ps accessible aux usagers pendant quelques jours me serait-il
déjà une mesure de sécurité suffisante?


Non car l'usager qui utilise l'exploit n'est pas un débutant.


À moins que le(s) script(s) pour lvm ne s'exécute(nt) à tout bout de
champ?


Il suffit d'une fois.


Comment des gens qui prennent trois ans pour sortir une nouvelle
distro peuvent-ils être aussi rapidement sûrs de leur choix lorsqu'il
s'agit de patcher des logiciels?


Pour la même raison que l'on met du temps à construire un avion et que le
pilote réagit rapidement pour corriger une embardée.


Je trouve cette course à la patch guère rassurante.
Je pense que vous n'avez pas bien compris comment marche tout ça.


cordialement

--
Emmanuel Chantréau

Publicité
Poster une réponse
Anonyme