Re: Upcoming OpenSSH vulnerability
Hello, On Wed, 2002-06-26 at 10:07, Marc SCHAEFER wrote: [coupé] > Personnellement, je reconnais le travail que Théo de Raadt a fait pour > améliorer la sécurité. Par contre, il l'a souvent fait, ce travail, au > détriment des autres et l'a souvent associé à des opérations marketing. > Dans ce coup il n'est pas seul, ISS (un institut de sécurité) est > également à blâmer (les mêmes qui nous ont gratifié d'un lamentable > hesitatus hiatus la semaine passée sur Apache, en perdant plus de temps à > déterminer celui qui avait trouvé la vulnérabilité plutôt qu'à nous donner > les moyens à éviter celle-ci ... un peu comme la bataille des professeurs > USAiens et Français dans le cas de la découverte du HIV). A première vue tu avais raison pour ce qui était du marketing car sur le site de iss on trouve l'annonce expliquant la faille : http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=20584 Et dans cette annonce ils ont en profité pour ajouter quelques lignes de pub (plus de ligne que le patch correctif du problème en fait, ...) : "Additional Information: ISS X-Force and Black Hat consulting will host a presentation titled, "Professional Source Code Auditing" at Black Hat Briefings USA 2002. The presentation will explore advanced source code auditing techniques as well as secure development best-practices. Please refer to http://www.blackhat.com and http://www.blackhat.com/html/bh-usa-02/bh-usa-02-speakers.html#Dowd for more information." Ah marketing quand tu nous tient, ... A+ Blaise Drayer -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Upcoming OpenSSH vulnerability
On 26 Jun 2002, Blaise Drayer wrote: > Si c'est le cas il se mettra énormément de personnes à dos, ... Il a l'habitude. Je me souviens d'une engueulade par mail avec lui au sujet du fait que sous OpenSSH, les connexions redirigées (-R/-L) étaient créées sous root, ce qui en local pouvait dans certains cas déjouer des mécanismes d'authentification (il y a un appel système pour déterminer l'UID connecté à un socket LOCAL, sans oublier les défauts d'authentification IDENT dans les logs). Je suis ravi de voir que c'est un des changements de OpenSSH 3.3, 1.5 ans après ma remarque descendue en flamme. Personnellement, je reconnais le travail que Théo de Raadt a fait pour améliorer la sécurité. Par contre, il l'a souvent fait, ce travail, au détriment des autres et l'a souvent associé à des opérations marketing. Dans ce coup il n'est pas seul, ISS (un institut de sécurité) est également à blâmer (les mêmes qui nous ont gratifié d'un lamentable hesitatus hiatus la semaine passée sur Apache, en perdant plus de temps à déterminer celui qui avait trouvé la vulnérabilité plutôt qu'à nous donner les moyens à éviter celle-ci ... un peu comme la bataille des professeurs USAiens et Français dans le cas de la découverte du HIV). Menfin, attendons lundi et on verra bien. Entre-temps, sortez couverts. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.
Re: Upcoming OpenSSH vulnerability
Hello, >- il ne veut toujours pas nous décrire le problème. >- il critique ceux qui veulent connaître les détails. >- il ne donne même pas des informations plus complètes aux > distributions. > en bref, il applique la maxime `security through obscurity'. ça peut être compréhensif si le trou de sécurité est tellement gros que n'importe qui avec de minuscules connaissances en informatique serait capable d'en profiter. Il est vrais que d'un autre côté il se prive de main d'oeuvre pour l'aider à corriger le bug rapidement mais bon si c'est vraiment le trou de sécurité du millénaire, ... On verra bien ce que ça donnera une fois que la version corrigée sera sortie. J'ai vu qu'il annonce la version corrigée pour lundi. >- il force tout le monde à mettre à jour à une nouvelle version > pas terminée, peu testée, et contenant au moins deux bugs. > >- une nouvelle version qui ne corrige pas la vulnérabilité, mais > l'atténue (comment? dans quelle mesure? pourquoi?), ou du moins > on doit lui faire confiance pour ça. C'est vrais que c'est passablement stupide de ça part à mon goût, surtout que j'ai lu passablement de mise en garde sur des sites web et que suivant lesquels ont avait l'impression que ça résolvait complétement le problème et donc si des gens lisent les mauvais articles ils ont l'impression d'avoir fais leur travail d'admin système et que leur machine est sécurisée, ... > Une alternative est de firewaller à l'entrée de votre réseau le port 22, > en attendant mieux. C'est ce qu'on as fait chez Nimag au niveau du routeur c'est efficace pour empêcher des attaques depuis l'extérieur mais pas de l'intérieur. On a réouvert le port 22 pour les gens qui nous ont transmis leur IP fixe (en espérant que eux aussi ont fait le nécessaire pour protéger leur machine, ...) > PS: la seule raison qui me fera peut-être changer d'opinion sur > Theo de Raadt sera si le fix ne POUVAIT PAS ETRE DEVELOPPE > sur une version précédente de OpenSSH. Si c'est un fix de > 5 lignes, je vais gueuler bien fort. Si c'est le cas il se mettra énormément de personnes à dos, ... A+ Blaise Drayer -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.