Marc SCHAEFER wrote: > ``Eclaircissement'' de Theo de Raadt (co-auteur de OpenSSH). > Résumé: > - il ne veut toujours pas nous décrire le problème. > - il critique ceux qui veulent connaître les détails. > - il force tout le monde à mettre à jour à une nouvelle version > pas terminée, peu testée, et contenant au moins deux bugs. > - une nouvelle version qui ne corrige pas la vulnérabilité, mais > l'atténue (comment? dans quelle mesure? pourquoi?), ou du moins > on doit lui faire confiance pour ça. > - il ne donne même pas des informations plus complètes aux > distributions. > en bref, il applique la maxime `security through obscurity'. > Donc ma recommandation reste: > - arrêtez SSH sur vos serveurs (et clients): /etc/init.d/ssh stop > - sur les serveurs sur lesquels vous devez pouvoir faire de la > maintenance à distance, utilisez les règles de firewalling pour > n'autoriser qu'une machine à adresse fixe à y accéder > - si vous avez du temps à perdre, installez la version > corrigée-mais-pas-complètement-et-qui-casse-des-trucs sur une > machine de test et testez-la complètement avant de la mettre en > oeuvre et de casser votre seule méthode d'accès à votre serveur > distant. > Une alternative est de firewaller à l'entrée de votre réseau le port 22, > en attendant mieux.
Mes 2 centimes additionnels... Je lis les listes openbsd, etc. Vendredi: apache httpd vulnerability (64 bits only ?) Lundi: apache httpd vulnerability avec cracker program, concerne aussi les 32 bits et Openbsd. Test, pas de trou, le child httpd segfaulte, pas trop grave. en 2 H, avant de filer à un rdv à Berne, update de TOUS les serveurs apache sous mon contrôle, et retest, OK. Mardi: de diverses sources, (et merci Marc pour ton résumé security) problème sshd. Update selon les erratas openbsd, privilege separation de TOUS les serveurs en production, chez moi et mes clients. Contrôle, etc... Je préfère ma méthode, j'ai vu des sysadmins se tirer dans le pied en modifiant les règles de firewall à distance :) Je fais tjrs confiance au team OpenBSD, avez-vous vu une liste détaillée à la CVS des changements journaliers du code kernel, etc. dans des systèmes autres que *BSD (comme Linux p.ex. ...). Un remote root exploit chaque 5 ans c'est un peu mieux que Linux je crois, et en plus on est averti à l'avance. Je me rappelle qu'il n'y a pas si longtemps, un <= au lieu de < donnait un local root exploit, alors un patch de 5 lignes... (le récent de apache fait ~10 lignes je crois) Bonne journée à tous, patchez et laissez le FUD retomber un peu. -- Mathias Schmocker SMAT Engineering Sarl Tel. +41 22 800 3400 Bvd Georges-Favon 20 Fax. +41 22 800 3401 P.O. Box mailto:[EMAIL PROTECTED] CH-1211 Geneva 11 http://www.smat.ch/ Switzerland Please visit http://www.OpenBSD.org/ the FREE Multiplatform Ultra-Secure Operating System P.S. envoyé a linux-leman-admin, linux-leman m'a "bouncé"
