surete linux en 2003

48 réponses

Richard Delorme

05/01/2004 à 21:14

D'après un article comptabilisant les annonces de failles de sécurité
des différents OS par Secunia : http://www.theinquirer.net/?article=13420
on a relevé en 2003 :

IBM OS/400 : zéro faille.
...
FreeBSD 5.x : 21 failles.
...
Noyau Linux 2.4.x : 10 failles.
Windows 2003 server : 15 failles.
Windows XP professional : 34 failles.
...
Redhat Linux 9 : 72 failles.
Redhat Linux 8 : 119 failles.
Mandrake Linux 9.x : 126 failles.

Ces chiffres sont à relativiser car ils ne comparent pas la même chose :
des distributions Linux comportant des milliers de logiciels, avec des
OS simples, voire le noyau seul. Néanmoins je crois qu'il faut rester
humble quand on dit que Linux est un système sûr... c'est loin d'être le
cas. D'après ce même article, 70% des failles trouvés en 2002 était sur
Linux et 50% des failles en 2003. Dans le même sens, on peut aussi
remarquer que le vieux redhat8 a plus de plus failles que le récent
redhat9. Donc ça s'améliore, mais il reste des progrès à faire....

PS : Afin de ne pas enfreindre ma résolution pour 2004, je ne cite pas
le nom ni les chiffres de la lanterne rouge.

--
Richard

8 réponses

1 2 3 4 5

manuelleclerc

07/01/2004 à 10:02

Si ta machine sert de serveur web et que seul apache est
accessible de l'extérieur ( e trégulièrepment patché), en
quoi ne pourrait-on conserver un 2.4.8 en service? Je ne
vois pas.

C'est la vieille équation "remote non-root" + "local root" "remote root".

--
Hi! I'm a .signature virus! Copy me into your ~/.signature, please!

Manuel Leclerc

08/01/2004 à 16:52

[...]

http://groups.google.com/groups?selmG5G-3mf-21%40gated-at.bofh.it

Tu me diras si ça t'aide, je poste vite fait.

Tu as vu que 2.2.x a l'air pas concerné, finalement ?

Pour 2.6, Linus s'était un peu planté dans son patch en fait.
Version corrigée :
http://groups.google.com/groups?selm

Denis BRAUSSEN

08/01/2004 à 23:26

On Tue, 6 Jan 2004, Stephane TOUGARD wrote:

Le noyau 2.0.x est coule dans le beton de stabilite et repond
fonctionnelement aux besoin de n'importe quel petit serveur.

Yo!

# batman!denis:~$ uname -a
# Linux batman 2.0.39 #1 lun nov 18 23:52:23 CET 2002 i586 unknown
# batman!denis:~$ uptime
# 11:07pm up 120 days, 7:43,...

c'est un modeste serveur domestique qui fait uucp, nntp, smtp,
pop, http, nfs, ftp, ppp, samba... 2 cartes réseau,
64Mo ram et cpu à 166Mhz, 2CD-rom, 2 HD... le 2.0.39 est une
coquetterie, le bazard a longtemps tourné avant avec un 2.0.38.
le tout en Debian (Slink).

La tranquillité ça n'a pas de prix :)

AmicaLinuXement,
Denis.

--
Pour pratiquer le Zen à Metz (Moselle): <http://zendo-metz.gyptis.org>

AmicaLinuXement /(_M_) GPG/PGP DH/DSS ID: 0xB0212BAC /(_M_)
Denis /~V~/ -lord.keyserver.net- GNU/Linux /~V~/

Stephane TOUGARD

09/01/2004 à 23:14

Xavier Teyssier wrote:

Sur :
http://www.k-otik.net/bugtraq/01.05.kernel.php

On peut lire :

* Versions Vulnérables *

Linux Kernel 2.2.x
Linux Kernel 2.4.x
Linux Kernel 2.6.x

* Versions Vulnérables *

Linux Kernel 2.4.x
Linux Kernel 2.6.x

Voila...

De rien, tout le monde peut se tromper.

Ceci dit, ca ne veut pas dire que le 2.2 est invulnerable, ca veut
simplement dire que de facon globale lorsqu'il suffit fonctionnelement,
il est preferable de le conserver que de passer en 2.4 ou on denombre 2
failles dont 1 tres importante en deux versions (et je ne parle meme pas
des 2.6 qui a l'air d'avoir la capacite de conserver tous les bugs du
2.4 et d'apporter les siens en plus).

Ca peut changer demain.

--
http://www.unices.org

Stephane TOUGARD

09/01/2004 à 23:18

Pierre LALET wrote:

PS: d'autre part, si j'ai la charge d'une machine et que je ne donne pas
de compte root à un webmaster, c'est parce que je ne veux pas qu'il en
ait un. Donc je ne veux pas qu'il puisse passer root, pour la même
raison que je ne veux pas que l'utilisateur qui fait tourner apache
puisse passer root.

Ceci dit, le noyau 2.4.8 dont tu parlais tout a l'heure est bugge au
trognon. Le 2.2.2x est ultra stable, meme les 2.0.3x sont stables, mais
les 2.4 premieres generation, c'est pas le genre de truc a garder en
prod trop longtemps (deja les dernieres generation, je m'y tente pas
trop).

--
http://www.unices.org

Stephane TOUGARD

09/01/2004 à 23:20

Sebastien Tanguy wrote:

Ceci dit, ce qui est vrai statistiquement peut etre faux dans un cas
particulier. Il est evident que meme un noyau 2.2 a des trous de
securite si on fouille vraiment. Le fait est que globalement on est
quand meme moins emmerde.
Les mêmes statistiques qui comparent OS/400 et Mandrake 9.0 ?

Pas tout a fait dans le genre ou OS/400 en serveur Internet, j'en
connais pas beaucoup et ceux que je connais sont blindes derriere des
firewall et des proxy qui font qu'on sait meme qu'ils existent.

Alors que des serveur Internet en 2.2.2x, j'en connais un paquet.

--
http://www.unices.org

Pierre LALET

10/01/2004 à 01:27

Stephane TOUGARD wrote:

Ceci dit, le noyau 2.4.8 dont tu parlais tout a l'heure

qui, moi ?

pierre

--
Pierre LALET -- http://www.enseirb.fr/~lalet/
Droids Corporation -- http://www.rstack.org/droids/
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

Xavier Teyssier

11/01/2004 à 14:58

Xavier Teyssier wrote:

* Versions Vulnérables *

Linux Kernel 2.4.x
Linux Kernel 2.6.x

Oui, ils ont corrigés entre ma lecture et la tienne :-)

De rien, tout le monde peut se tromper.

Groumph !

Mais moi, je me trompe trop souvent mon goût :-(

ça fait 2 ans que je n'utilise quasiment que Linux. Ce qui est génial,
c'est que j'ai l'impression d'apprendre de nouvelles choses tous les
jours. ce qui est frustrant, c'est que j'ai l'impression de ne toujours
rien connaitre :-(

--
Xavier Teyssier
"Eternel débutant..."

1 2 3 4 5

surete linux en 2003

8 réponses

Veuillez sélectionner un problème