Discussion :

[zul]

A Tofalu, évidemment sous Windows, les failles sont publiés, les patchs sont publiés et dans la demi-journée, tous les postes sont mis à jour, et y'a plus de failles de sécurité. C'est pour ça que des virus comme blaster sont apparus, parce que tous les Windows étaint à jour, évidemment. Au moins, les responsables de dvp.com nous font rire, c'est toujours ça de pris, à défaut d'être constructif .

Sinon la diatribe open-source / gratuit me semble un peu HS, on parle de logiciel libre, pas de logiciel gratuit, les deux notions sont dans les concepts assez distincts, même si on retrouve beaucoup de logiciels libres et gratuits.

[Tofalu]

A Tofalu, évidemment sous Windows, les failles sont publiés, les patchs sont publiés et dans la demi-journée, tous les postes sont mis à jour, et y'a plus de failles de sécurité. C'est pour ça que des virus comme blaster sont apparus, parce que tous les Windows étaint à jour, évidemment. Au moins, les responsables de dvp.com nous font rire, c'est toujours ça de pris, à défaut d'être constructif

Non, ça c'est ton interprétation, nulle part, je n'ai dit que Windows était meilleur de ce coté là, donc à défaut d'être constructif, tu pourrais être attentif

Je m'interroge juste sur cet exemple si justement l'open source est utilisé pour ses interêts et si ceux qui utilisent des softs open source et en ont les capacités jouent vraiment le jeu. C'est tout

[ZeRevo]

Pourquoi cet amalgame libre / open source / gratuit ?

Oui c'est une erreur courante ~~ J'ai oublié d'ajouter gratuit effectivement. Ce que je voulais dire, c'est que le partage n'est pas mauvais en soit. En informatique il y a beaucoup de partage de logiciels (gratuit/open source...) et de code source. De là à fournir le code source d'une application, ça permet à n'importe quel développeur de modifier le code pour l'adapter à son besoin. Il y a rien de pire que de travailler avec des boites noires.

[gege2061]

Il ne s'agit pas de cela mais simplement d'un constat qu'il a fallu 8 ans pour découvrir une telle faille alors que des dizaines de versions de distributions sont sorties sur ce code.

Au vu des log de modification du fichier, il n'est pas ouvert tous les jours. Comme ça n'étonnerai fort que les développeurs s'amusent à traquer le moindre bug à chaque fois qu'il ouvre un fichier ça n'a rien de choquant.

Si l'intérêt de l'Open Source c'est justement que tout le monde participe au code et à la levée des bugs mais qu'au final personne ou très peu le fassent

Tout le monde ça me semble difficile, surtout que l'on parle du noyau Linux ! Dés que j'ai un bug sur mon système je ne suspecte pas un bug du noyau donc il faut déjà avoir certaines connaissances et un environnement adapté (c'est beaucoup plus facile de suspecter le noyau lorsqu'il n'y a que ça qui tourne, comme en embarqué).

De plus il existe plein d'autres alternatives pour contribuer à un projet que le rapport de bug, et heureusement que tout le monde ne rapporte pas les bugs ça serait un vrai cauchemar (plus de 300 000 bugs pour Ubuntu : ça doit être sympa de merger tout ça, remonter les bugs au mainteneur du logiciel quand c'est nécessaire, ...). A mon avis, le simple fait d'utiliser un logiciel c'est déjà y contribuer

Je m'interroge juste sur cet exemple si justement l'open source est utilisé pour ses interêts et si ceux qui utilisent des softs open source et en ont les capacités jouent vraiment le jeu. C'est tout

Au vue de quelques bases de bugs, plus le projet est utilisé plus ils y a de bugs, on peux donc supposer que les utilisateurs jouent le jeu.

[*alexandre*]

Je critique pas l'open source je publie également depuis quelques années sous GPL, mais j'ai vu des boites qui modifiaient la licence dans laquelle je publiais ...

ou qui simplement supprimait l'header et c'était principalement des boites francaises que je ne vais pas citer

[*alexandre*]

Ah oui, l'open source c'est vraiment bien...

L'argument principal :

tout le monde peut travailler sur le code source donc tout le monde répère très rapidement les failles ...

On ne doit pas avoir la même notion du temps

Oui le correctif sort peut être rapidement (encore que apparement, il n'est pas encore dispo en update sur toutes les distribs). Dés lors, l'officialisation de la faille va permettre aux malintentionnés de se jeter sur les vulnérables qui n'auront pas updater à la main leur OS ...

Et puis 8 ans pour trouver une faille qui n'a finalement pas l'air techniquement complexe, ça me laisse perplexe quand soit disant des centaines d'équipes différentes se sont attaquées à ce même code source pour l'adapter à leur distrib



A terme, lorsque le produit devient populaire et qu'il n'est pas 100% fiable, c'est une bombe à retardement de part l'accessibilité lorsque les erreurs sont communiquées. Du coup entre le temps d'update du code par le client et l'officialisation de la faille l'attaque a bien plus de chance d'être pratiquée par un plus grand nombre que lorsque le code est fermé.

C'est comme une maison que tu laisses par mégarde ouverte. Si tu ne dis rien, ça passe, si tu cries sur tout les toits qu'elle est ouverte, il y a de fortes chances pour que des esprits malintentionnés y pénêtre.

Tu as déjà lancer un analyseur de code sur le noyau de linux ? rien que pour scanné les débordements de tampon ? (perso je l ai jamais fait mais vu la faille trouver ...)

[smyley]

Au fait, s'il y a si peu de personne à pouvoir réellement trouver et corriger les bugs du noyau Linux, en quoi l'équipe des bénévoles est-elle différente de l'équipe de maintenant de Microsoft ? (à part peux être que les gars de Microsoft sont payés ...).

[granquet]

la plupart des developpeurs "principaux" du kernel linux sont payes pour le faire, directement ou indirectement (red hat, suse, selenic... et meme microsoft: http://www.microsoft.com/presspass/f...20LinuxQA.mspx )

meme si le patch ne change qu'une ligne de code, la faille n'est absolument pas triviale a comprendre, ni a exploiter.

[smyley]

Dans ce cas l'argument "ça se corrige plus vite et c'est mieux parce que c'est OpenSource" repose sur quoi ?

[gege2061]

Dans ce cas l'argument "ça se corrige plus vite et c'est mieux parce que c'est OpenSource" repose sur quoi ?

C'est dingue cette capacité à lire que les mots qui t'intéresse Le terme principaux signifi qu'il y en a d'autres !

Quelque chiffres : http://2008.rmll.info/IMG/pdf/develo...nd-comment.pdf (l'avant dernière diapo).

La majorité (13.9 %) des contributeurs ne font pas partis d'une société et contrairement à Windows, il n'y a pas que Microsoft qui contribue.

[smyley]

C'est dingue cette capacité à lire que les mots qui t'intéresse

Bien sur, pour une fois que c'est un Windowsien sur un thread Linux, j'applique les mêmes techniques

La majorité (13.9 %) des contributeurs ne font pas partis d'une société et contrairement à Windows, il n'y a pas que Microsoft qui contribue.

13.9 % la majorité ... ah oui bien sur mais si on compte chaque entreprise séparément c'est pas vraiment du jeu (comme si Microsoft développais Windows tout seul dans son monde sans qu'aucune autre entreprise n'intervienne).

Après ce que j'en dit c'est que c'est un argument bizarre. Linux sur une série de plusieurs noyaux à été le travail de 3000 personnes dont près de la moitié n'a fait qu'une seule modif, et 50% des changements ont été effectués par une équipe de moins de 100 personne ... du coup c'est pas si phénoménal que ça et donc je vois toujours pas où est l'avantage transcendant d'avoir du code Open-Source pour affirmer que tout va plus vite. Je répète que je ne suis pas contre l'Open-Source mais quand je vois :

La force de GNU/Linux c'est justement d'avoir un code ouvert, ça permet à des bénévoles de corriger les bugs rapidement. Microsoft a un code fermé et s'il n'a pas de dévs sous la main pour corriger les bugs, il les corrige même pas, ça veut dire qu'il y a des failles connues qui n'ont jamais été corrigées ou corrigées plusieurs jours(mois, années) plus tard. Ce qui laisse le temps pour les crackers d'utiliser la faille à des fins pas très catholiques.

ça me fait penser que chez Linux il y a en permanence 3000 personnes quasiment en 24/24 toujours prêt à participer pour corriger les bugs en tout genre et qui s'y adonnent à fond alors qu'en face Microsoft malgré sa taille ne dispose qu'une d'une équipe de 2 développeurs dont un standardiste et que donc les failles ça prend plus de temps à être détecté et corrigé ... non ?

[gege2061]

13.9 % la majorité ...

Heureusement que je précise le pourcentage, un peu plus j'aurais été traité de menteur. La majorité c'est pourtant clair, non ? Je n'ai pourtant ajouté absolu (ça y ai maintenant tu lis des termes que je n'écris pas ).

ah oui bien sur mais si on compte chaque entreprise séparément c'est pas vraiment du jeu (comme si Microsoft développais Windows tout seul dans son monde sans qu'aucune autre entreprise n'intervienne).

Désolé, je n'ai pas mes entrées chez Microsoft, je ne peux pas te dire.

Après ce que j'en dit c'est que c'est un argument bizarre. Linux sur une série de plusieurs noyaux à été le travail de 3000 personnes dont près de la moitié n'a fait qu'une seule modif, et 50% des changements ont été effectués par une équipe de moins de 100 personne ... du coup c'est pas si phénoménal que ça et donc je vois toujours pas où est l'avantage transcendant d'avoir du code Open-Source pour affirmer que tout va plus vite. Je répète que je ne suis pas contre l'Open-Source mais quand je vois :

ça me fait penser que chez Linux il y a en permanence 3000 personnes quasiment en 24/24 toujours prêt à participer pour corriger les bugs en tout genre et qui s'y adonnent à fond alors qu'en face Microsoft malgré sa taille ne dispose qu'une d'une équipe de 2 développeurs dont un standardiste et que donc les failles ça prend plus de temps à être détecté et corrigé ... non ?

D'un côté on ne parle que du noyau...

Autopsie de la bête :

• 05/08/2009 : référencement de la faille CVE-2009-2692
• 13/08/2009 : correction de la faille Make sock_sendpage() use kernel_sendpage()
• 15/08/2009 : modification reprise dans debian unstable linux-2.6_2.6.30-6/changelog

En 8 jours, les plus téméraires peuvent déjà corriger le problème et en 10 jours, mon système est mis à jour sans rien faire.

Et sous Windows ? Je ne pense pas que le temps de correction soit différent (plus ou moins long, on s'en fou sachant qu'il faut créer le patch exécutable), dans tous les cas il aurait fallu attendre la prochaine vague de mise à jour, et encore si Microsoft veux bien se donner la peine !

Que ce serait-il passé si Linus n'avait pas voulu corriger la faille ? Rapidement des patch serait apparus et libre à chacun de l'appliquer (il serait même probable que certaines distributions l'appliquent par défaut).

Et viens pas me dire que c'est compliqué à faire, ça fait parti de la certification d'administrateur système Linux débutant !

[Mac LAK]

Et viens pas me dire que c'est compliqué à faire, ça fait parti de la certification d'administrateur système Linux débutant !

Donc, faut avoir une certif d'admin système Linux pour appliquer un patch Linux, et un doigt cliqueur sous Windows, c'est bien ça ?

Gaffe à ce que tu dis, t'as lâché un gros troll, sur cette phrase...

[nprovost]

http://eparis.livejournal.com/606.html

Recently a kernel exploit was posted which works by mapping the 0 page, putting crafty info on that page, tickling a bug in the kernel, and winning (It is brilliant, as usual from Brad.) To get that 0 page mapped on a non-SELinux system he had to find a busted suid application (he found pulseaudio) and get that to map the page for him. Since SELinux systems don't require root, he didn't need to find a busted suid application, he just had to map the 0 page and tickle the kernel bug.

Now the claim comes out that SELinux systems are less secure than non-SELinux systems. It's true, SELinux systems are weaker against authenticated logged in local users in this case. But it's stronger against remote attacks. What? Yes, I agree completely that I need to strengthen the system against attacks from a malicious local user, but we do a much better job in this case if an attacker was trying to attack remotely.

On a non-SELinux system if the attacker was able to subvert any network facing daemon they won. They just tickled do the same thing. Take over daemon remotely, use pulseaudio to map the page, tickle the kernel bug, win. But what happens on an SELinux system? It doesn't work! Take over the network facing daemon, try the pulseaudio trick, crap, didn't get the page. Try to map the zero page directly. Crap it didn't work. Now what? You win, they lose. SELinux is stronger than non-SELinux.

Apparemment, la faille concerne d'abord les systèmes avec SELinux activé, ce qui n'est pas le cas de toutes les distributions (Debian par exemple ?). Dans le cas contraire il faut en plus avoir accès à un programme privilégié "suid" (comme pulseaudio).

Ceci dit ça fait désordre, une belle faille dans un système qui renforce la sécurité

Comme quoi, les surcouches de sécurité, c'est compliqué (cf l'UAC sous Windows)

[nprovost]

Pour désactiver SELinux (notamment sur les postes de bureau), éditer /etc/selinux/config, et modifier SELINUX=disabled, puis rebooter.

Attention, tout de même, vous supprimez ainsi la couche de sécurité SELinux (déconseillé pour un serveur).

[Janitrix]

Donc, faut avoir une certif d'admin système Linux pour appliquer un patch Linux, et un doigt cliqueur sous Windows, c'est bien ça ?

Gaffe à ce que tu dis, t'as lâché un gros troll, sur cette phrase...

il faut avoir un minimum de connaissance pour s'amuser à recompiler le noyau. Mais ça reste quelque chose de bien documenté. En tant qu'utilisateur lambda, il est plus simple d'appliquer une mise à jour sur Ubuntu que sur Windows : au moins le gestionnaire de mise à jour ressemble à quelque chose...et on sait à peu près ce qu'il se passe.

ça me fait penser que chez Linux il y a en permanence 3000 personnes quasiment en 24/24 toujours prêt à participer pour corriger les bugs en tout genre et qui s'y adonnent à fond alors qu'en face Microsoft malgré sa taille ne dispose qu'une d'une équipe de 2 développeurs dont un standardiste et que donc les failles ça prend plus de temps à être détecté et corrigé ... non ?

Tu ne comprends pas. En théorie, un projet Open Source sera beaucoup plus réactif que le même projet propriétaire parce que potentiellement le nombre de participants est beaucoup plus élevé. En théorie... Bien sûr, Dreamshield ne sera jamais aussi réactif que Windows, tu es le seul participant... Mais si demain tu es malade et donc indisponible, et il y a un bug grave dans ton application, je peux le corriger et en faire profiter tout le monde. Là est la force du modèle Open Source, dynamique, vis à vis du modèle propriétaire plus statique.

comme si Microsoft développais Windows tout seul dans son monde sans qu'aucune autre entreprise n'intervienne

D'autres entreprises participent activement à l'écriture du code de Windows ?

Quoi qu'il en soit, effectivement la découverte de faille sous Linux est plus facile (mais l'argument "donc il y a plus de risque de se faire attaquer parce que tout le monde peut voir le code" est archi-bidon, la sécurité d'un système ne doit jamais reposer sur le fait que sa source est cachée) mais en contrepartie la correction des failles est plus rapide puisque le cycle est beaucoup plus souple : détection, analyse, correction, cela peut être fait par 3 personnes différentes, sur 3 endroits différents de la planète.

Sur Windows, il faudra déjà attendre que les développeurs acceptent le fait que c'est vraiment une faille...........ah c'est bon Microsoft a reconnu qu'il y avait une faille, bon maintenant faut qu'ils la corrigent................ah maintenant faut que le correctif soit publié....... Bref, on voit de suite les limites de ce modèle.

[Tofalu]

Quoi qu'il en soit, effectivement la découverte de faille sous Linux est plus facile (mais l'argument "donc il y a plus de risque de se faire attaquer parce que tout le monde peut voir le code" est archi-bidon, la sécurité d'un système ne doit jamais reposer sur le fait que sa source est cachée) mais en contrepartie la correction des failles est plus rapide puisque le cycle est beaucoup plus souple : détection, analyse, correction, cela peut être fait par 3 personnes différentes, sur 3 endroits différents de la planète.

L'architecture du système ne repose peut être pas forcément dessus mais il parait logique que si quelque chose est obscure, les défauts se voient moins.
La correction n'est peut être pas plus rapide puisque finalement toutes les distribs n'ont apparement pas apporté le patch et parce que je n'ai aucune idée de délai concernant le temps de réaction de MS. Bref plutôt que de comparer un système VS un autre sans argument, je préfère m'en tenir à ce concept d'Open Source dont l'ambition participative, semble pour moi, atteindre ses limites sur un projet aussi complexe quand plus haut il est dit que finalement très peu savent comprendre le code source et que c'est le créateur en lui même qui corrige les failles. Effet marketing ou bien finalement il n'y a que lui qui bosse sur son noyau ?

[gege2061]

atteindre ses limites sur un projet aussi complexe quand plus haut il est dit que finalement très peu savent comprendre le code source

cf le pdf quelques messages plus haut :

• Sur la période 2.6.11 à 2.6.24, 3333 développeurs différents
  
  • 1383 n'ont fait qu'une seule contribution
  • 477 en ont fait deux
  • 237 en ont fait trois
  • 122 en ont fait quatre
  • 91 en ont fait cinq
• Sur 78065 changements
  
  • 11840 (15%) ont été réalisés par les 10
  • développeurs principaux
  • 50% a été réalisé par 73 développeurs

que c'est le créateur en lui même qui corrige les failles. Effet marketing ou bien finalement il n'y a que lui qui bosse sur son noyau ?

Oui, oui Linus travail tous seul au fond de son garage avec une connexion 56k (c'est pour ça qu'ils dialoguent avec des mailing list et non un forum ).

A mon avis, s'il a fait le commit lui même c'est pour accélérer la publication.

[Firwen]

Effet marketing ou bien finalement il n'y a que lui qui bosse sur son noyau ?

Comme disait Zul, à défaut d'être constructif vous avez au moins l'avantage de faire rire.

Être responsable sur forum qui se veut professionnel impliquerait logiquement de ne pas lâcher des trolls à tout va mais pas pour tout le monde apparrament

[ogaby]

http://eparis.livejournal.com/606.html


Apparemment, la faille concerne d'abord les systèmes avec SELinux activé, ce qui n'est pas le cas de toutes les distributions (Debian par exemple ?). Dans le cas contraire il faut en plus avoir accès à un programme privilégié "suid" (comme pulseaudio).

Ceci dit ça fait désordre, une belle faille dans un système qui renforce la sécurité

Comme quoi, les surcouches de sécurité, c'est compliqué (cf l'UAC sous Windows)

Ben là je ne sais pas trop si selinux est bien en cause. Sous Debian (sid), l'exploit ne marche pas et selinux est bien activé.

J'ai fait des recherches sur selinux et il y a souvent cette explication comme quoi ça fait plus de mal que de bien... Par contre, il n'y a pas d'exemples concrets.

Je vais essayer les différents réglages de selinux avec cet exploit pour voir si ça change quelque chose.