surete linux en 2003

On 2004-01-05, Richard Delorme <abulmo@nospam.fr> wrote:

...
Redhat Linux 9 : 72 failles.
Redhat Linux 8 : 119 failles.
Mandrake Linux 9.x : 126 failles.

Je ne garde que ces trois là vu que c'est ce qui m'a fait bondir.

Ces chiffres sont à relativiser car ils ne comparent pas la même chose :
des distributions Linux comportant des milliers de logiciels, avec des
OS simples, voire le noyau seul. Néanmoins je crois qu'il faut rester
humble quand on dit que Linux est un système sûr... c'est loin d'être le
cas. D'après ce même article, 70% des failles trouvés en 2002 était sur
Linux et 50% des failles en 2003. Dans le même sens, on peut aussi
remarquer que le vieux redhat8 a plus de plus failles que le récent
redhat9. Donc ça s'améliore, mais il reste des progrès à faire....

Bon donc là on compare bien des "distributions Linux comportant des
milliers de logiciels" ? Comment arrives tu à la conclusion que "ça
s'améliore" ? Pour RedHat ?
Par exemple, la RH 9 est sortie vers mars 2003 si ma mémoire est bonne,
ça ne te semble pas completement logique que la Redhat 8 qui était déjà
disponible en janvier ait plus de failles ?
Si tu veux faire une comparaison pertinente commence par chercher le
nombre de failles communes aux deux, histoire de voir si ce nombre tend
vers 0 ou 72.
Encore un autre point, sur l'ensemble de ces failles, combien ont été
corrigées et les binaires distribués *AVANT* que l'advisory ne soit
rendu publique ?
Et pour finir, tu cites "Mandrake 9.*X*" avec 126 failles et RedHat 9.0
avec 72 failles, seulement la mandrake 9.0 date de septembre 2002, la
9.1 de mars 2003, la 9.2 de septembre, alors c'est quoi ce 126 ? La
somme des trois ? Quel est le nombre de failles communes à la Redhat 9
et la Mandrake 9.1 qui sont à peu pres sorties en meme temps ?
Bref, tout ce qu'on peut conclure de tes chiffres c'est qu'il est
impossible d'en conclure quoi que ce soit tel quel.

--
Irvin Probst
There are 10 types of people in the world... those who understand binary
and those who don't.

Richard Delorme a écrit :

D'après un article comptabilisant les annonces de failles de sécurité
des différents OS par Secunia : http://www.theinquirer.net/?article420
on a relevé en 2003 :
<coupé>

Redhat Linux 9 : 72 failles.
Redhat Linux 8 : 119 failles.
Mandrake Linux 9.x : 126 failles.

<coupé>

Donc ça s'améliore, mais il reste des progrès à faire....

Je dis peut être une connerie, mais il me semble que pour une période
donnée, avec une base logicielle comparable, c'est la distribution qui à
le plus de failles comptabilisés qui est la plus sûre.

PS : Afin de ne pas enfreindre ma résolution pour 2004, je ne cite pas
le nom ni les chiffres de la lanterne rouge.

Pas rouge, *rose* !

--
Rémi

Richard Delorme wrote:

D'après un article comptabilisant les annonces de failles de sécurité
des différents OS par Secunia : http://www.theinquirer.net/?article420
on a relevé en 2003 :

IBM OS/400 : zéro faille.
...
FreeBSD 5.x : 21 failles.
...
Noyau Linux 2.4.x : 10 failles.
Windows 2003 server : 15 failles.
Windows XP professional : 34 failles.
...
Redhat Linux 9 : 72 failles.
Redhat Linux 8 : 119 failles.
Mandrake Linux 9.x : 126 failles.


Ces chiffres sont à relativiser car ils ne comparent pas la même chose :
des distributions Linux comportant des milliers de logiciels, avec des
OS simples, voire le noyau seul. Néanmoins je crois qu'il faut rester
humble quand on dit que Linux est un système sûr... c'est loin d'être le
cas. D'après ce même article, 70% des failles trouvés en 2002 était sur
Linux et 50% des failles en 2003. Dans le même sens, on peut aussi
remarquer que le vieux redhat8 a plus de plus failles que le récent
redhat9. Donc ça s'améliore, mais il reste des progrès à faire....

PS : Afin de ne pas enfreindre ma résolution pour 2004, je ne cite pas
le nom ni les chiffres de la lanterne rouge.

Comme d'habitude, ces analyses statistiques sont pas intéressantes, parce
qu'elles comparent des éléments pas comparables :

Je ne polémiquerai pas sur IBM OS/400 puisque mes informations sur ce
système sont insuffisantes (0 faille me semble utopique, mais après tout,
IBM n'est pas Microsoft, alors pourquoi pas ?)

Le faible nombre de failles de sécurité de FreeBSD ne m'étonne pas vraiment
non plus, c'est un système reconnu pour sa sécurité.

Par contre, comparer ainsi MS Windows et Linux me hérisse !

Avant de comparer ces 2 systèmes d'exploitation, il faudrait tenir compte
de :

1. MS Windows est un NOYAU (enfin, une chose informe et hideuse plutôt, mais
c'est mon opinion personnelle ;))
Avant de comparer une distribution Linux avec MS Windows, il faudrait
ajouter à MS Windows : la passoire Internet Explorer ; MS Office (avec la
passoire MS Outlook et les générateurs de virus MS Word et MS Excel) ; le
serveur IIS (pas Apache évidemment, pourquoi se priver d'ajouter les
failles de IIS dans le compte ?), un serveur FTP, un serveur SMTP, un
serveur POP, un serveur IMAP, un serveur DNS, un serveur NIS ou LDAP, un
serveur SMB (puisque NFS est pas utilisé dans les réseaux MS Windows il me
semble ?), et des centaines d'autres applications utilisateur présentes
dans une distribution Linux !!

2. la réactivité des équipes de développeurs pour corriger les failles de
sécurité : l'immense majorité des failles de sécurité sous Linux sont
corrigées dans les heures ou les journées qui suivent la découverte (et les
principes du logiciel libre permettent une découverte rapide)
Alors que les failles de sécurité sous MS Windows sont corrigées avec des
retards énormes (dernier exemple que je connaisse : le virus WBlaster : les
éditeurs de logiciels de sécurité vérifiaient la présence de cette faille
depuis plus d'une année lorsque Microsoft a daigné la corriger !)
Certaines failles étant tout simplement jamais corrigées, comme cette
séquence d'échappement de quelques caractères stupides qui permet de
bloquer complètement toute machine sous les dérivés de MS Windows NT
(d'ailleurs, on se demande comment des failles aussi DÉBILES peuvent
exister dans un logiciel, les programmeurs ont ajouté volontairement une
fontion de plantage pour sponsoriser un futur concours "cherchez la
séquence de caractères magiques" destiné à stimuler l'activité créatrice
des enfants ou quoi ??!!)
On finirait par se demander qui, parmi les développeurs de Linux ou de MS
Windows, gagne de l'argent en programmant étant donnée la motivation
constatée !

3. la gravité des failles de sécurité et la stabilité générale : depuis
quand un adolescent antisocial à qui ses parents offrent son premier
ordinateur pour le 25/12 arrive à effacer toutes les informations le 19/02
sur un ordinateur avec Linux après avoir bidouillé quelques lignes dans un
traitement de texte ????!!!!

Comme vous constaterez, mon message est assez enflammé, mais j'espère avoir
apporté des arguments suffisamment objectifs pour pas sombrer dans une
infâme trollerie poilue...


--
Arnaud ARZUFFI

Dans article <btct4n$1nc$1@news.u-bordeaux.fr>, arzuffi@emi.u-bordeaux.fr
disait...

Je ne polémiquerai pas sur IBM OS/400 puisque mes informations sur ce
système sont insuffisantes (0 faille me semble utopique, mais après tout,
IBM n'est pas Microsoft, alors pourquoi pas ?)

En fait je crois bien qu'il y a zéro faille reportées pour la famille MVS
(de 1966 à 2003). Comme quoi un truc bien pensé au départ...

--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?

On 2004-01-05, Richard Delorme <abulmo@nospam.fr> wrote:

...
Redhat Linux 9 : 72 failles.
Redhat Linux 8 : 119 failles.
Mandrake Linux 9.x : 126 failles.

Je ne garde que ces trois là vu que c'est ce qui m'a fait bondir.

Moi aussi j'ai été surpris.

Ces chiffres sont à relativiser car ils ne comparent pas la même chose :
des distributions Linux comportant des milliers de logiciels, avec des
OS simples, voire le noyau seul. Néanmoins je crois qu'il faut rester
humble quand on dit que Linux est un système sûr... c'est loin d'être le
cas. D'après ce même article, 70% des failles trouvés en 2002 était sur
Linux et 50% des failles en 2003. Dans le même sens, on peut aussi
remarquer que le vieux redhat8 a plus de plus failles que le récent
redhat9. Donc ça s'améliore, mais il reste des progrès à faire....

Bon donc là on compare bien des "distributions Linux comportant des
milliers de logiciels" ? Comment arrives tu à la conclusion que "ça
s'améliore" ?

70% des failles dans linux en 2002
50% des failles dans linux en 2003
50% < 70% => c'est mieux non ?

Pour RedHat ?

Je constate que ça va dans le même sens.

Par exemple, la RH 9 est sortie vers mars 2003 si ma mémoire est bonne,
ça ne te semble pas completement logique que la Redhat 8 qui était déjà
disponible en janvier ait plus de failles ?

On peut aussi penser l'inverse, à savoir que les failles de la Redhat 8
ont été corrigé en 2002, et qu'il devrait y en avoir moins en 2003.

Si tu veux faire une comparaison pertinente commence par chercher le
nombre de failles communes aux deux, histoire de voir si ce nombre tend
vers 0 ou 72.

Même s'il est de 72, celà signifie qu'une distribution ancienne contient
plus de failles qu'une neuve, non ?

Encore un autre point, sur l'ensemble de ces failles, combien ont été
corrigées et les binaires distribués *AVANT* que l'advisory ne soit
rendu publique ?

Aucune idée. Secunia est très réactif et avertit des failles dès qu'elle
sont connues et vérifiées, cela peut-être avant ou après la
disponibilité d'une correction. Cela n'a pas d'importance. Ce qui est
important c'est la vitesse à laquelle les corrections sont faites (par
les programmeurs), et appliquées (par les administrateurs). Cela peut
être suffisament long pour permettre un exploit, et il y en a
malheureusement eu suffisament ces derniers temps pour le confirmer.

Et pour finir, tu cites "Mandrake 9.*X*" avec 126 failles et RedHat 9.0
avec 72 failles, seulement la mandrake 9.0 date de septembre 2002, la
9.1 de mars 2003, la 9.2 de septembre, alors c'est quoi ce 126 ? La
somme des trois ? Quel est le nombre de failles communes à la Redhat 9
et la Mandrake 9.1 qui sont à peu pres sorties en meme temps ?
Bref, tout ce qu'on peut conclure de tes chiffres c'est qu'il est
impossible d'en conclure quoi que ce soit tel quel.

Sauf qu'il y a beaucoup trop de failles quoiqu'il en soit.

--
Richard

Richard Delorme wrote:

Ces chiffres sont à relativiser car ils ne comparent pas la même chose :
[...]

Comme d'habitude, ces analyses statistiques sont pas intéressantes, parce
qu'elles comparent des éléments pas comparables :

C'est ce que j'ai dit. Mais le type qui affirme que Linux est un système
*sûr*, stable et que lui a un uptime de 36 mois (preuve qu'il ne met pas
à jour le noyau), est soit un ignorant, soit un menteur.

1. MS Windows est un NOYAU (enfin, une chose informe et hideuse plutôt, mais
c'est mon opinion personnelle ;))

Plus qu'un noyau, c'est un OS. Il peut se booter et lancer des logiciels.

Avant de comparer une distribution Linux avec MS Windows, il faudrait
ajouter à MS Windows : la passoire Internet Explorer ; MS Office (avec la
passoire MS Outlook et les générateurs de virus MS Word et MS Excel) ; le
serveur IIS (pas Apache évidemment, pourquoi se priver d'ajouter les
failles de IIS dans le compte ?), un serveur FTP, un serveur SMTP, un
serveur POP, un serveur IMAP, un serveur DNS, un serveur NIS ou LDAP, un
serveur SMB (puisque NFS est pas utilisé dans les réseaux MS Windows il me
semble ?), et des centaines d'autres applications utilisateur présentes
dans une distribution Linux !!

C'est plus ou moins fait dans l'article de l'inquirer :
« Linux users are usually very fast to assert that Linux has fewer
vulnerabilities than Microsoft's products. The Linux kernel itself has
few vulnerabilities but versions such as those from Mandrake, Redhat,
Sun and SuSE have far more than Windows even when the number of
vulnerabilities for Windows are added to the vulnerabilities of Outlook
(1 for each of Outlook 2000 and 2002), Internet Explorer (20 for version
5.5 and 24 for version 6) and Access (4 each for Access 2000 and 2002
and 2 for Access 97). »

2. la réactivité des équipes de développeurs pour corriger les failles de
sécurité : l'immense majorité des failles de sécurité sous Linux sont
corrigées dans les heures ou les journées qui suivent la découverte (et les
principes du logiciel libre permettent une découverte rapide)

Oui, mais il y a aussi le temps que le distributeur mettent la
correction à disposition et surtout que les admins l'appliquent. Qui a
installé le noyau 2.4.24 à la place du noyau 2.4.23 le jours de sa
sortie (soit hier) ?

Alors que les failles de sécurité sous MS Windows sont corrigées avec des
retards énormes (dernier exemple que je connaisse : le virus WBlaster : les
éditeurs de logiciels de sécurité vérifiaient la présence de cette faille
depuis plus d'une année lorsque Microsoft a daigné la corriger !)
[...]

On finirait par se demander qui, parmi les développeurs de Linux ou de MS
Windows, gagne de l'argent en programmant étant donnée la motivation
constatée !

Note que Microsoft n'a pas à faire la roue, si Linux est le dernier de
la classe, eux sont avant-dernier. Apple fait mieux, les *BSD font
mieux, etc.

3. la gravité des failles de sécurité et la stabilité générale : depuis
quand un adolescent antisocial à qui ses parents offrent son premier
ordinateur pour le 25/12 arrive à effacer toutes les informations le 19/02
sur un ordinateur avec Linux après avoir bidouillé quelques lignes dans un
traitement de texte ????!!!!

c'est un adolescent doué ;-)

--
Richard

Richard Delorme wrote:

C'est ce que j'ai dit. Mais le type qui affirme que Linux est un système
*sûr*, stable et que lui a un uptime de 36 mois (preuve qu'il ne met pas
à jour le noyau), est soit un ignorant, soit un menteur.

Je ne vois aucune raison d'upgrader un noyau si aucune raison ne le
justifie. Ne jamais toucher a ce qui marche.

Meme une faille n'est une justification en soit que si et seulement si
le systeme est place dans une situation ou l'utilisation de cette faille
peut entrainer consequence. Mais, j'ai vu des MX internes tourner pdt
des annees sans le moindre upgrade avec des noyaux 1.2.

Le noyau 2.0.x est coule dans le beton de stabilite et repond
fonctionnelement aux besoin de n'importe quel petit serveur. Le noyau
2.2.x n'a pas souffert des derniers trous de securite du noyau Linux qui
a oblige certain d'entre nous a upgrader en toute urgence certains de
nos serveurs apres avoir teste la presence eventuelle de pirates a bord.

Oui, mais il y a aussi le temps que le distributeur mettent la
correction à disposition et surtout que les admins l'appliquent. Qui a
installé le noyau 2.4.24 à la place du noyau 2.4.23 le jours de sa
sortie (soit hier) ?

Fou serait l'admin a avoir mis en prod un noyau le jour de sa sortie
sans l'avoir lui meme un peu teste ou, au moins, avoir attendu les
retours d'informations sur cette nouvelle version. Surtout dans la serie
des 2.4.x, on a vu des versions soit disant stables ne pas valoir mieux
en terme de stabilite que ce a quoi on se serait attendu avec un NT4
sans patch.


--
http://www.unices.org

Stephane TOUGARD <stephane@unices.org> wrote:

Richard Delorme wrote:

C'est ce que j'ai dit. Mais le type qui affirme que Linux est un système
*sûr*, stable et que lui a un uptime de 36 mois (preuve qu'il ne met pas
à jour le noyau), est soit un ignorant, soit un menteur.

Je ne vois aucune raison d'upgrader un noyau si aucune raison ne le
justifie. Ne jamais toucher a ce qui marche.

Ouaf! Ca c'est la meilleure que tu ais sortie depuis longtemps!
22 -> 23 trou de sécurité dans le noyau
23 -> 24 trou de sécurité dans le noyau
Combien à venir?


--

Michel TALON

Stephane TOUGARD <stephane@unices.org> writes:

Le noyau 2.0.x est coule dans le beton de stabilite et repond
fonctionnelement aux besoin de n'importe quel petit serveur. Le noyau
2.2.x n'a pas souffert des derniers trous de securite du noyau Linux qui
a oblige certain d'entre nous a upgrader en toute urgence certains de
nos serveurs apres avoir teste la presence eventuelle de pirates a bord.

Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée
touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code
n'ayant pas changé entre les 3 versions majeures).

[...]

Fou serait l'admin a avoir mis en prod un noyau le jour de sa sortie
sans l'avoir lui meme un peu teste ou, au moins, avoir attendu les
retours d'informations sur cette nouvelle version. Surtout dans la serie
des 2.4.x, on a vu des versions soit disant stables ne pas valoir mieux
en terme de stabilite que ce a quoi on se serait attendu avec un NT4
sans patch.

C'est sans doute une des raisons pour laquelle les distributeurs,
généralement, ne font que mettre à jour les noyaux déjà packagés en
portant le patch de la nouvelle version. Cf RedHat et Debian, par
exemple, pour les problèmes de sécurité cités précédemment par
exemple.


seb.
--
``This god is a geek who wears socks with his sandals. His name is
Linus Torvalds.'' (From 'Time')

Michel Talon s'est exprimé en ces termes:

Stephane TOUGARD <stephane@unices.org> wrote:

Richard Delorme wrote:

C'est ce que j'ai dit. Mais le type qui affirme que Linux est un système
*sûr*, stable et que lui a un uptime de 36 mois (preuve qu'il ne met pas
à jour le noyau), est soit un ignorant, soit un menteur.

Je ne vois aucune raison d'upgrader un noyau si aucune raison ne le
justifie. Ne jamais toucher a ce qui marche.

Ouaf! Ca c'est la meilleure que tu ais sortie depuis longtemps!
22 -> 23 trou de sécurité dans le noyau
23 -> 24 trou de sécurité dans le noyau
Combien à venir?

Il a dit *si aucune raison ne le justifie*. Un trou de sécurité c'est
une raison qui justifie.


--
When you have an efficient government, you have a dictatorship.
-- Harry Truman