Re: cinix worm
On Friday 04 October 2002 08:02, Félix Hauri wrote: On Fri, 4 Oct 2002, Anne Possoz wrote: Oh! que oui. Ce worm sévit. C'est openssl... On a beaucoup bossé pour tout fermer... # apt-get update apt-get dist-upgrade Et d'autres distribs possèdent AUSSI un méchanisme de mise-a-jours en ligne. Avec une SuSe 8.0 (Yast2), j'ai ainsi installé ~80 patchs dont plus de 40 sont des patchs de sécurité. C'est très facile à faire et je conseille de le faire régulièrement (quelque soit la distrib !). Perso, je le fais 1-2 fois par semaine... et mon sytème fonctionne toujours :-) Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
On Fri, 4 Oct 2002, Daniel Cordey wrote: On Friday 04 October 2002 08:02, Félix Hauri wrote: On Fri, 4 Oct 2002, Anne Possoz wrote: Oh! que oui. Ce worm sévit. C'est openssl... On a beaucoup bossé pour tout fermer... # apt-get update apt-get dist-upgrade Et d'autres distribs possèdent AUSSI un méchanisme de mise-a-jours en ligne. Certainement, mais Anne à tout de même écrit ``beaucoup bossé''! Avec une SuSe 8.0 (Yast2), j'ai ainsi installé ~80 patchs dont plus de 40 sont des patchs de sécurité. C'est très facile à faire et je conseille de le faire régulièrement (quelque soit la distrib !). Perso, je le fais 1-2 fois par semaine... et mon sytème fonctionne toujours :-) Pour ma part, j'ai mis: ``30 4 * * * apt-get -qqqy update apt-get -qqsy dist-upgrade'' dans le crontab du root, et je ne fais plus rien;) ``apt-get -qqqy update'' met silencieusement à jour la base de donnée de paquets disponibles et ``apt-get -qqsy dist-upgrade'' simule une mise à jour des paquets, mais ne fait rien! (Important car les mises à jours impliquent parfois un dialogue administrateur) Le tout en silence tant que rien n'est à mettre à jour. CRON m'envoie un mail dès que la simulation aurrait quelque-chose à faire. Je suis donc informé de la nécessiter d'effectuer l'opération chaque jours s'il y a lieu, et pas dérangé sinon. -- Félix Hauri - [EMAIL PROTECTED] - http://www.f-hauri.ch -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
On Friday 04 October 2002 11:02, Félix Hauri wrote: Certainement, mais Anne à tout de même écrit ``beaucoup bossé''! Loin de mois l'idée de prétendre qu'il suffit de faire un update pour que tout soit règler ! Je voulais simplement attirer l'attention des utilisateurs de distribs commerciales qu'ils devaient, et pouvaient, aussi se préoccuper de maintenir leur système à niveau; à l'aide des outils de ces distribs. Ensuite, il faut aussi s'occuper de modifier des paramètres du système si nécessaire. (Punkt no troll) Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
Ce 4 octobre, Félix Hauri a écrit: On Fri, 4 Oct 2002, Daniel Cordey wrote: Et d'autres distribs possèdent AUSSI un méchanisme de mise-a-jours en ligne. Certainement, mais Anne à tout de même écrit ``beaucoup bossé''! Oui. Le vrai point n'est pas de patcher mais de trouver dans notre réseau les machines qui sont vulnérables puis de trouver les managers et parfois (rarement) leur donner un coup de main pour patcher. Sans parler des cas où apache avait été compilé avec openssl en statique et que donc patcher ne suffit pas et que les managers ne le savent pas/plus toujours... Dans une école, les managers changent, etc. Le bilan que nous en tirons, je le garde pour nous... L'histoire avec les mises à jour, c'est que mettre à jour pour la sécurité et les bugs quand ça ne change pas le comportement, d'accord. Mais dans certains cas, ce n'est pas aussi simple. Bien sûr, nous, les techies, nous savons nous rendre compte. Mais le commun des mortels... Avec une SuSe 8.0 (Yast2), j'ai ainsi installé ~80 patchs dont plus de 40 sont des patchs de sécurité. C'est très facile à faire et je conseille de le faire régulièrement (quelque soit la distrib !). Il faudrait pouvoir patcher uniquement ce qui est sécurité. Perso, je le fais 1-2 fois par semaine... et mon sytème fonctionne toujours :-) Pour ma part, j'ai mis: ``30 4 * * * apt-get -qqqy update apt-get -qqsy dist-upgrade'' dans le crontab du root, et je ne fais plus rien;) ``apt-get -qqqy update'' met silencieusement à jour la base de donnée de paquets disponibles et ``apt-get -qqsy dist-upgrade'' simule une mise à jour des paquets, mais ne fait rien! (Important car les mises à jours impliquent parfois un dialogue administrateur) Le tout en silence tant que rien n'est à mettre à jour. CRON m'envoie un mail dès que la simulation aurrait quelque-chose à faire. Je suis donc informé de la nécessiter d'effectuer l'opération chaque jours s'il y a lieu, et pas dérangé sinon. J'ai un outil similaire, autorpm. Mais je n'ai plus trouvé le temps de suivre les dernières versions ni de faire en sorte qu'il ne considère que ce qui concerne la sécurité. Ni de trouver la bonne solution pour les dépendances. Trop sur la pile... Mais nous avons un très bon responsable de la sécurité qui nous dit ce qu'il faut absolument patcher, etc cela, je le fais toujours immédiatement. Mais ce n'est pas ce que je fais qui compte, c'est ce que la communauté fait. Pour ce ver par exemple, nous sommes tou.te.s solidaires. Le réseau est rempli de paquets de ce ver... Tout cela est très bien car rend à nouveau attentif à la sécurité. Combien de machines avaient le port 443 ouvert alors que ce n'était pas utilisé... Anne -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
On Fri, 4 Oct 2002, Anne Possoz wrote: J'aurais sans doute du le dire dans la liste car j'y ai beaucoup bossé la semaine dernière. Sorry. Le problème a été annoncé et corrigé le 30 juillet 2002. Cela fait donc 2 mois que les systèmes devraient être tous à jour. Je pense qu'on en a parlé ici-même ou sur linux-leman-annonces. PS: il ne suffit pas de mettre à jour, il faut redémarrer les daemons concernés (Apache, ssh; notamment.). -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
On Fri, 4 Oct 2002, Pascal Perez - LHA wrote: Quelqu'un a t'il eu le même genre de problème ? comment être sûr que tout est secure ? Maintenant que vous avez été attaqué, il est impossible de s'assurer que le système n'a pas été modifié et des back-doors installées, sauf si vous avez une sauvegarde datant suffisamment et que vous pouvez la comparer (surtout les binaires, scripts et configuration du système). En pratique, bien souvent, ces exploits sont automatiques et sans aucune intelligence, donc une fois le trou patché, c'est bon. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
Ce 4 octobre, Marc Shaefer écrit: On Fri, 4 Oct 2002, Anne Possoz wrote: J'aurais sans doute du le dire dans la liste car j'y ai beaucoup bossé la semaine dernière. Sorry. Le problème a été annoncé et corrigé le 30 juillet 2002. Cela fait donc 2 mois que les systèmes devraient être tous à jour. Je pense qu'on en a parlé ici-même ou sur linux-leman-annonces. Oui, tu l'as mentionné dans linux-leman-annonces le 7 août, mais sans mise ne garde particulière. Or je savais que c'était critique avant le worm et encore plus après les attaques. Juste qu'on peut s'aider encore un peu plus. Mais ceci n'empêche que la sécurité doit être assumée avec sérieux. PS: il ne suffit pas de mettre à jour, il faut redémarrer les daemons concernés (Apache, ssh; notamment.). Pour savoir tous les services qu'il faut redémarrer, si on ne veut pas rebooter, je fais: lsof | grep crypto Anne -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
On Friday 04 October 2002 12:40, Anne Possoz wrote: Oui, tu l'as mentionné dans linux-leman-annonces le 7 août, mais sans mise ne garde particulière. J'ai trouvé que le message de Marc était assez claire... Et un trou de ce genre ne pouvait pas être pris à la légère. Ou bien je suis parano :-) Daniel -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
On Fri, 4 Oct 2002, Félix Hauri wrote: CRON m'envoie un mail dès que la simulation aurrait quelque-chose à faire. Je suis donc informé de la nécessiter d'effectuer l'opération chaque jours s'il y a lieu, et pas dérangé sinon. Excellente idée. Je vais la mettre en pratique. Jusque-là, je m'envoyais un SMS à chaque mail de debian-security. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
On Fri, 4 Oct 2002, Anne Possoz wrote: Il faudrait pouvoir patcher uniquement ce qui est sécurité. D'où le concept de version stable, avec correction uniquement des problèmes graves de fonctionnement ou de sécurité. Tout cela est très bien car rend à nouveau attentif à la sécurité. Combien de machines avaient le port 443 ouvert alors que ce n'était pas utilisé... Moi qui croyait que le firewall installé à l'EPFL à grand renforts de publicité dans le Flash servait à quelque chose (ie: les machines qui ont le droit d'être connectées devraient être administrées directement par le responsable sécurité). PS: les dégâts marketing que ces worms ont fait vont certainement se faire ressentir pendant des mois. Mais ce n'est pas si grave car finalement cela fait ressortir encore une fois le message: ce qui compte n'est pas ce que l'on met en oeuvre mais comment on l'administre -- et le modèle du libre est un modèle basé sur les services, donc c'est parfait. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
Ce 4 octobre, Marc Shaefer écrit: On Fri, 4 Oct 2002, Anne Possoz wrote: Il faudrait pouvoir patcher uniquement ce qui est sécurité. D'où le concept de version stable, avec correction uniquement des problèmes graves de fonctionnement ou de sécurité. Parfaitement. Tout cela est très bien car rend à nouveau attentif à la sécurité. Combien de machines avaient le port 443 ouvert alors que ce n'était pas utilisé... Moi qui croyait que le firewall installé à l'EPFL à grand renforts de publicité dans le Flash servait à quelque chose (ie: les machines qui ont le droit d'être connectées devraient être administrées directement par le responsable sécurité). L'EPFL n'a pas un firewall mais une idée originale, une sorte de DIODE. Tout est permis en sortie. Par défaut, pour chaque machine de l'Ecole, en entrée, les seuls ports ouverts sont le ssh, http et https, donc dans ce cas-ci (port 443, https) l'attaque a pu se faire... Il y a donc un nouveau tour de manivelle pour réfléchir à l'avenir de diode. Mais le pire endroit est sans doute les machines du parc scientifique... PS: les dégâts marketing que ces worms ont fait vont certainement se faire ressentir pendant des mois. Mais ce n'est pas si grave car finalement cela fait ressortir encore une fois le message: ce qui compte n'est pas ce que l'on met en oeuvre mais comment on l'administre -- et le modèle du libre est un modèle basé sur les services, donc c'est parfait. Je suis assez d'accord avec l'aspect positif. Anne -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
Ce 4 octobre 2002 Pascal Perez a écrit: J'ai eu la désagréable surprise de voir qu'un serveur que je gère a été infesté par un worm nommé cinix j'ai trouvé des infos la dessus (entre clinik? Port 4156 ou 1812? autre : https://www.europe.f-secure.com/v-descs/slapper.shtml) et j'ai patché les différents services de ma machines : wu-ftp, bind, apache, openSSH Quelqu'un a t'il eu le même genre de problème ? comment être sûr que tout est secure ? Oh! que oui. Ce worm sévit. C'est openssl... On a beaucoup bossé pour tout fermer. Un petit programme bien utile permet de tester que tout est en ordre: openssl-sslv2-master.c http://cert.uni-stuttgart.de/advisories/openssl-sslv2-master.php Suivant les distribution, on est patché pour le worm mais encore vulnérable à un crash du serveur apache (d'après ce que j'ai compris). Pour le moment, ce résultat est satisfaisant. ./openssl-sslv2-master xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 443 PATCHED: detects small overflow, but crashes (0.9.6e) Ce worm prend toutes sortes de forme et envahit bien les réseaux car dès qu'il contamine une machine, il transmet son adresse à toutes les autres. Une page qui résume les incidents de la planète: http://isc.incidents.org/ J'aurais sans doute du le dire dans la liste car j'y ai beaucoup bossé la semaine dernière. Sorry. Anne -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm (clinik... alias slapper)
Pascal, J'aurais sans doute aussi du mentionner la page du cert: http://www.cert.org/advisories/CA-2002-27.html Anne -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: cinix worm
On Fri, 4 Oct 2002, Anne Possoz wrote: Oh! que oui. Ce worm sévit. C'est openssl... On a beaucoup bossé pour tout fermer... # apt-get update apt-get dist-upgrade ;-) -- Félix Hauri - [EMAIL PROTECTED] - http://www.f-hauri.ch -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.