D'après un article comptabilisant les annonces de failles de sécurité
des différents OS par Secunia : http://www.theinquirer.net/?article=13420
on a relevé en 2003 :
IBM OS/400 : zéro faille.
...
FreeBSD 5.x : 21 failles.
...
Noyau Linux 2.4.x : 10 failles.
Windows 2003 server : 15 failles.
Windows XP professional : 34 failles.
...
Redhat Linux 9 : 72 failles.
Redhat Linux 8 : 119 failles.
Mandrake Linux 9.x : 126 failles.
Ces chiffres sont à relativiser car ils ne comparent pas la même chose :
des distributions Linux comportant des milliers de logiciels, avec des
OS simples, voire le noyau seul. Néanmoins je crois qu'il faut rester
humble quand on dit que Linux est un système sûr... c'est loin d'être le
cas. D'après ce même article, 70% des failles trouvés en 2002 était sur
Linux et 50% des failles en 2003. Dans le même sens, on peut aussi
remarquer que le vieux redhat8 a plus de plus failles que le récent
redhat9. Donc ça s'améliore, mais il reste des progrès à faire....
PS : Afin de ne pas enfreindre ma résolution pour 2004, je ne cite pas
le nom ni les chiffres de la lanterne rouge.
Je ne vois aucune raison d'upgrader un noyau si aucune raison ne le justifie. Ne jamais toucher a ce qui marche.
Ouaf! Ca c'est la meilleure que tu ais sortie depuis longtemps! 22 -> 23 trou de sécurité dans le noyau 23 -> 24 trou de sécurité dans le noyau Combien à venir?
2.2.2x -> rien du tout parce qu'il n'y a pas de trou de securite dans le noyau, qu'il fonctionne tres bien, est tres stable et repond aux besoins fonctionnels d'un serveur sans le moindre probleme.
Encore une fois, aucune raison de toucher a ce qui fonctionne. Le 2.4.xx est un noyau sur le quel on a privilegie le fonctionnel sur le reste et tres franchement, ca se voit.
-- http://www.unices.org
Michel Talon wrote:
Je ne vois aucune raison d'upgrader un noyau si aucune raison ne le
justifie. Ne jamais toucher a ce qui marche.
Ouaf! Ca c'est la meilleure que tu ais sortie depuis longtemps!
22 -> 23 trou de sécurité dans le noyau
23 -> 24 trou de sécurité dans le noyau
Combien à venir?
2.2.2x -> rien du tout parce qu'il n'y a pas de trou de securite dans le
noyau, qu'il fonctionne tres bien, est tres stable et repond aux besoins
fonctionnels d'un serveur sans le moindre probleme.
Encore une fois, aucune raison de toucher a ce qui fonctionne. Le 2.4.xx
est un noyau sur le quel on a privilegie le fonctionnel sur le reste et
tres franchement, ca se voit.
Je ne vois aucune raison d'upgrader un noyau si aucune raison ne le justifie. Ne jamais toucher a ce qui marche.
Ouaf! Ca c'est la meilleure que tu ais sortie depuis longtemps! 22 -> 23 trou de sécurité dans le noyau 23 -> 24 trou de sécurité dans le noyau Combien à venir?
2.2.2x -> rien du tout parce qu'il n'y a pas de trou de securite dans le noyau, qu'il fonctionne tres bien, est tres stable et repond aux besoins fonctionnels d'un serveur sans le moindre probleme.
Encore une fois, aucune raison de toucher a ce qui fonctionne. Le 2.4.xx est un noyau sur le quel on a privilegie le fonctionnel sur le reste et tres franchement, ca se voit.
-- http://www.unices.org
Stephane TOUGARD
Benjamin FRANCOIS wrote:
Il a dit *si aucune raison ne le justifie*. Un trou de sécurité c'est une raison qui justifie.
Et encore, pas dans tous les cas. Si un serveur n'est pas sur l'Internet et n'intervient pas avec des utilisateurs, les trous de securite, ...
Maintenant, c'est clair que les serveurs ou j'ai fait l'erreur d'installer des 2.4.xx sont upgrades regulierement, beaucoup plus regulierement que les autres. On se croirait sous Windows avec l'appication des patchs.
-- http://www.unices.org
Benjamin FRANCOIS wrote:
Il a dit *si aucune raison ne le justifie*. Un trou de sécurité c'est
une raison qui justifie.
Et encore, pas dans tous les cas. Si un serveur n'est pas sur
l'Internet et n'intervient pas avec des utilisateurs, les trous de
securite, ...
Maintenant, c'est clair que les serveurs ou j'ai fait l'erreur
d'installer des 2.4.xx sont upgrades regulierement, beaucoup plus
regulierement que les autres. On se croirait sous Windows avec
l'appication des patchs.
Il a dit *si aucune raison ne le justifie*. Un trou de sécurité c'est une raison qui justifie.
Et encore, pas dans tous les cas. Si un serveur n'est pas sur l'Internet et n'intervient pas avec des utilisateurs, les trous de securite, ...
Maintenant, c'est clair que les serveurs ou j'ai fait l'erreur d'installer des 2.4.xx sont upgrades regulierement, beaucoup plus regulierement que les autres. On se croirait sous Windows avec l'appication des patchs.
-- http://www.unices.org
Stephane TOUGARD
Sebastien Tanguy wrote:
Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code n'ayant pas changé entre les 3 versions majeures).
Rien pour le moment sur http://www.linuxsecurity.com/advisories/debian.html
Ceci dit, ce qui est vrai statistiquement peut etre faux dans un cas particulier. Il est evident que meme un noyau 2.2 a des trous de securite si on fouille vraiment. Le fait est que globalement on est quand meme moins emmerde.
-- http://www.unices.org
Sebastien Tanguy wrote:
Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée
touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code
n'ayant pas changé entre les 3 versions majeures).
Rien pour le moment sur
http://www.linuxsecurity.com/advisories/debian.html
Ceci dit, ce qui est vrai statistiquement peut etre faux dans un cas
particulier. Il est evident que meme un noyau 2.2 a des trous de
securite si on fouille vraiment. Le fait est que globalement on est
quand meme moins emmerde.
Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code n'ayant pas changé entre les 3 versions majeures).
Rien pour le moment sur http://www.linuxsecurity.com/advisories/debian.html
Ceci dit, ce qui est vrai statistiquement peut etre faux dans un cas particulier. Il est evident que meme un noyau 2.2 a des trous de securite si on fouille vraiment. Le fait est que globalement on est quand meme moins emmerde.
-- http://www.unices.org
Sam Hocevar
On Tue, 6 Jan 2004 10:36:10 +0100, Stephane TOUGARD wrote:
23 -> 24 trou de sécurité dans le noyau
2.2.2x -> rien du tout parce qu'il n'y a pas de trou de securite dans le noyau
Tu le fais exprès ?
-- Sam.
On Tue, 6 Jan 2004 10:36:10 +0100, Stephane TOUGARD wrote:
23 -> 24 trou de sécurité dans le noyau
2.2.2x -> rien du tout parce qu'il n'y a pas de trou de securite dans le
noyau
2.2.2x -> rien du tout parce qu'il n'y a pas de trou de securite dans le noyau
Tu le fais exprès ?
Il parait qu'il y en a un tres recent, OK, je corrige.
-- http://www.unices.org
Léo Wauters
On Mon, 05 Jan 2004 21:14:20 +0100, Richard Delorme wrote:
IBM OS/400 : zéro faille. ... FreeBSD 5.x : 21 failles. ... Noyau Linux 2.4.x : 10 failles. Windows 2003 server : 15 failles. Windows XP professional : 34 failles. ... Redhat Linux 9 : 72 failles. Redhat Linux 8 : 119 failles. Mandrake Linux 9.x : 126 failles.
Typiquement des chiffres pas comparables.
Tu en croises beaucoup des OS/400 sur Internet ? Combien de gens touchent à cet OS dans le monde ? 100, 1000 fois moins que de gens qui touchent à Linux ? Forcément, si l'OS en question n'est pas exposé aux intempéries, on aura du mal à savoir s'il prend l'eau ou pas.
Après, il faudrait prendre la peine de préciser ce que l'on compte comme failles dans les tois derniers chiffres. Amha, les auteurs ne se sont pas cassés la tête, ils ont compté les failles noyau + userland gnu + applis propriétaires.
Tu pourrais citer tes sources ? Merci...
Léo.
On Mon, 05 Jan 2004 21:14:20 +0100, Richard Delorme <abulmo@nospam.fr>
wrote:
IBM OS/400 : zéro faille.
...
FreeBSD 5.x : 21 failles.
...
Noyau Linux 2.4.x : 10 failles.
Windows 2003 server : 15 failles.
Windows XP professional : 34 failles.
...
Redhat Linux 9 : 72 failles.
Redhat Linux 8 : 119 failles.
Mandrake Linux 9.x : 126 failles.
Typiquement des chiffres pas comparables.
Tu en croises beaucoup des OS/400 sur Internet ?
Combien de gens touchent à cet OS dans le monde ? 100, 1000 fois moins
que de gens qui touchent à Linux ?
Forcément, si l'OS en question n'est pas exposé aux intempéries, on
aura du mal à savoir s'il prend l'eau ou pas.
Après, il faudrait prendre la peine de préciser ce que l'on compte
comme failles dans les tois derniers chiffres. Amha, les auteurs ne se
sont pas cassés la tête, ils ont compté les failles noyau + userland
gnu + applis propriétaires.
On Mon, 05 Jan 2004 21:14:20 +0100, Richard Delorme wrote:
IBM OS/400 : zéro faille. ... FreeBSD 5.x : 21 failles. ... Noyau Linux 2.4.x : 10 failles. Windows 2003 server : 15 failles. Windows XP professional : 34 failles. ... Redhat Linux 9 : 72 failles. Redhat Linux 8 : 119 failles. Mandrake Linux 9.x : 126 failles.
Typiquement des chiffres pas comparables.
Tu en croises beaucoup des OS/400 sur Internet ? Combien de gens touchent à cet OS dans le monde ? 100, 1000 fois moins que de gens qui touchent à Linux ? Forcément, si l'OS en question n'est pas exposé aux intempéries, on aura du mal à savoir s'il prend l'eau ou pas.
Après, il faudrait prendre la peine de préciser ce que l'on compte comme failles dans les tois derniers chiffres. Amha, les auteurs ne se sont pas cassés la tête, ils ont compté les failles noyau + userland gnu + applis propriétaires.
Tu pourrais citer tes sources ? Merci...
Léo.
Xavier Teyssier
Sebastien Tanguy wrote:
Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code n'ayant pas changé entre les 3 versions majeures).
Tu as un pointeur ?
Sur : http://www.k-otik.net/bugtraq/01.05.kernel.php
On peut lire :
* Versions Vulnérables *
Linux Kernel 2.2.x Linux Kernel 2.4.x Linux Kernel 2.6.x
Voila... -- Xavier Teyssier
Sebastien Tanguy wrote:
Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée
touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code
n'ayant pas changé entre les 3 versions majeures).
Tu as un pointeur ?
Sur :
http://www.k-otik.net/bugtraq/01.05.kernel.php
On peut lire :
* Versions Vulnérables *
Linux Kernel 2.2.x
Linux Kernel 2.4.x
Linux Kernel 2.6.x
Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code n'ayant pas changé entre les 3 versions majeures).
Tu as un pointeur ?
Sur : http://www.k-otik.net/bugtraq/01.05.kernel.php
On peut lire :
* Versions Vulnérables *
Linux Kernel 2.2.x Linux Kernel 2.4.x Linux Kernel 2.6.x
Voila... -- Xavier Teyssier
Thomas Nemeth
Le mar 06 jan 2004 à 11:34, Xavier Teyssier a tapoté : | > Sebastien Tanguy wrote: | > | >>Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée | >>touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code | >>n'ayant pas changé entre les 3 versions majeures). | > | > Tu as un pointeur ? | | | Sur : | http://www.k-otik.net/bugtraq/01.05.kernel.php | | On peut lire : | | * Versions Vulnérables * | | Linux Kernel 2.2.x | Linux Kernel 2.4.x | Linux Kernel 2.6.x
Oui. Moi aussi j'ai lu ça lors de l'annonce. Mais voilà :
Je ne sais pas où se trouve cette fonction dans mon noyau et pourtant, même si peu de monde a accès à cette machine, j'aimerais bien boucher ce trou...
Thomas -- /* * Hash table gook.. */ 2.4.0-test2 /usr/src/linux/fs/buffer.c
Le mar 06 jan 2004 à 11:34, Xavier Teyssier a tapoté :
| > Sebastien Tanguy wrote:
| >
| >>Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée
| >>touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code
| >>n'ayant pas changé entre les 3 versions majeures).
| >
| > Tu as un pointeur ?
|
|
| Sur :
| http://www.k-otik.net/bugtraq/01.05.kernel.php
|
| On peut lire :
|
| * Versions Vulnérables *
|
| Linux Kernel 2.2.x
| Linux Kernel 2.4.x
| Linux Kernel 2.6.x
Oui.
Moi aussi j'ai lu ça lors de l'annonce. Mais voilà :
Je ne sais pas où se trouve cette fonction dans mon noyau et
pourtant, même si peu de monde a accès à cette machine, j'aimerais
bien boucher ce trou...
Thomas
--
/*
* Hash table gook..
*/
2.4.0-test2 /usr/src/linux/fs/buffer.c
Le mar 06 jan 2004 à 11:34, Xavier Teyssier a tapoté : | > Sebastien Tanguy wrote: | > | >>Quel dommage, dire ça alors que pile-poil, la dernière faille annoncée | >>touche aussi bien les noyaux 2.4 que les 2.2 et 2.6 (élément de code | >>n'ayant pas changé entre les 3 versions majeures). | > | > Tu as un pointeur ? | | | Sur : | http://www.k-otik.net/bugtraq/01.05.kernel.php | | On peut lire : | | * Versions Vulnérables * | | Linux Kernel 2.2.x | Linux Kernel 2.4.x | Linux Kernel 2.6.x
Oui. Moi aussi j'ai lu ça lors de l'annonce. Mais voilà :
Je ne sais pas où se trouve cette fonction dans mon noyau et pourtant, même si peu de monde a accès à cette machine, j'aimerais bien boucher ce trou...
Thomas -- /* * Hash table gook.. */ 2.4.0-test2 /usr/src/linux/fs/buffer.c
Pierre LALET
Stephane TOUGARD wrote: [snip]
Fou serait l'admin a avoir mis en prod un noyau le jour de sa sortie sans l'avoir lui meme un peu teste ou, au moins, avoir attendu les retours d'informations sur cette nouvelle version. [snip]
Oui, mais pas là : vue la longueur du patch, on peut se payer le luxe de le lire, de comprendre (ou au moins de comprendre que ça va pas fonctionner plus mal) et de le mettre en place. Dans la journée.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Stephane TOUGARD wrote:
[snip]
Fou serait l'admin a avoir mis en prod un noyau le jour de sa sortie
sans l'avoir lui meme un peu teste ou, au moins, avoir attendu les
retours d'informations sur cette nouvelle version. [snip]
Oui, mais pas là : vue la longueur du patch, on peut se payer le luxe de
le lire, de comprendre (ou au moins de comprendre que ça va pas
fonctionner plus mal) et de le mettre en place. Dans la journée.
pierre
--
Pierre LALET -- http://www.enseirb.fr/~lalet/
Droids Corporation -- http://www.rstack.org/droids/
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Fou serait l'admin a avoir mis en prod un noyau le jour de sa sortie sans l'avoir lui meme un peu teste ou, au moins, avoir attendu les retours d'informations sur cette nouvelle version. [snip]
Oui, mais pas là : vue la longueur du patch, on peut se payer le luxe de le lire, de comprendre (ou au moins de comprendre que ça va pas fonctionner plus mal) et de le mettre en place. Dans la journée.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Je ne sais pas où se trouve cette fonction dans mon noyau et pourtant, même si peu de monde a accès à cette machine, j'aimerais bien boucher ce trou...
Je ne sais pas où se trouve cette fonction dans mon noyau et
pourtant, même si peu de monde a accès à cette machine,
j'aimerais bien boucher ce trou...
Je ne sais pas où se trouve cette fonction dans mon noyau et pourtant, même si peu de monde a accès à cette machine, j'aimerais bien boucher ce trou...
