Une présentation (lors d'Eurosec 2003) sur le sujet soulève également quelques questions intéressantes sur le sujet (full-disclosure vs vendor only, quand patcher, etc).
Aller plus loin
- Le cycle de vie d'une vulnérabilité (0 clic)
- Hacker says he leaked info on Unix flaw (0 clic)
- Leaked (3 clics)
# Re: Encore des fuites de vulnérabilités ?
Posté par Olivier . Évalué à 10.
Dans les deux camps on trouve des arguments valables et selon moi la solution "idéale" se trouve quelque part entre les deux points de vue.
De toute manière, il est important de se tenir informé de ce qu'il se passe ... sur les sites hébergeant des listes de discussions ainsi qu'en étant abonné aux mailing-listes des principaux fournisseurs informatiques et logiciels.
Ensuite, libre à chacun d'examiner ce qu'il faut faire (analyse de la faille, impact sur l'architecture informatique de l'entreprise, implémentation éventuelle, ...)
[^] # Re: Encore des fuites de vulnérabilités ?
Posté par feth . Évalué à 10.
[^] # Re: Encore des fuites de vulnérabilités ?
Posté par encre (site web personnel) . Évalué à 9.
[^] # Re: Encore des fuites de vulnérabilités ?
Posté par Jul (site web personnel) . Évalué à -7.
et quelle est censée etre l'éthique du CERT ?
# Pourquoi ne pas tout dire ?
Posté par snurpsss . Évalué à 10.
Au contraire , rendre la faille publique dés le debut , outre une effet de panique (limité il me semble aux niveaux des admins / informaticien serieux ) , bcq d autre personnes chercheront a corrigé le problème , tout comme bcq chercheront a l utiliser , cependant , les admins etant mis au courant , ils n auront qu a arreter le service indesirable ou l appli buggée .
Ces temps si on vois bcq de news qui declarent " prob de securité dans SuperProg , le patch est déja disponible " . C est quoi ca ? nous faire croire que le patch est sortis aussi vite que le bug a ete trouvé ? Non , c est simplement l annonce au "petit peuple" de l informatique (désolé je ne suis pas programmeur" . De plus je signalerai aux defenseurs de la methode d attendre le patch pour rendre publique une faille que a l interieur meme des cercles plus ou moins fermés des developpeur sur un projet ( on parle de LL ) , il y en a surement qui ne sont la que pour les news afferant a un nouveau bug dans sendmail , ssh , ou le kernel.
Pour moi , je trouverai bien de prévénir tout le monde, meme mr lambda qd une faille est trouvé , que ce soit dans le noyau , ssh , ou xbill (iloveit) .
Une des idées véhiculées par les LL n est elle pas l égalité ?
enfin c mon humble avis
[^] # Re: Pourquoi ne pas tout dire ?
Posté par KDO . Évalué à 7.
Une faile concernant un logiciel libre ne devrait être annoncée ou pas QUE selon le bon vouloir du découvreur. Tout autre concept comportant une obligation quelconque est dejà du faschisme intellectuel (au mieux) de l'imposture (au pire).
LIBRE = Je fais ce que je veux du logiciel et de ses failles et je respecte même encore plus le concept LL en diffusant l'information (le concept de base du LL hein ...).
Dans la série 'Con comme une poule qui trouve un couteau' c'était les questions existencielles de 'Les geeks découvrent les dessous du LL' .
Je me met -10 d'entrée aller @++
[^] # Re: Pourquoi ne pas tout dire ?
Posté par DaFrog . Évalué à 3.
> commun , combien sur ces 100 utiliseront cette faille que l un d'eux aura mis a jour afin
> pirater ou faire toute autres choses malvaillantes
euh... aucun?
D'abord parce que c'est Mal(TM) et que les developpeurs de LL sont des gens Bien(TM).
Mais surtout car si tu as passe des heures/jours/mois à developper un projet LL, je pense que tu n'a vraiment pas intérêt a lui nuire en exploitant une de ses failles.
> Au contraire , rendre la faille publique dés le debut , outre une effet de panique (limité il
> me semble aux niveaux des admins / informaticien serieux ) , bcq d autre personnes
> chercheront a corrigé le problème , tout comme bcq chercheront a l utiliser , cependant
> les admins etant mis au courant , ils n auront qu a arreter le service indesirable ou l
> appli buggée
Tiens, il y a une faille dans le noyau Linux, je vais arreter l'appli buggée... euh... ah ben c'est dommage...
Pouvoir maintenir une qualité de service certaine à ses utilisateurs nécessite de patcher au plus vite et de ne pas arreter quoi que ce soit (en tout cas autant que possible).
Je prefere prendre le risque d'un developpeur mal intentionné qui exploiterait une faille non-publique (chance quasi nulle) au risque d'un script-kiddie utilisant un exploit dispo sur le net, avant que j'aie les moyens de patcher...
Je ne dis pas qu'il faut attendre systématiquement un patch (on attendrait toujours Microsoft par exemple), mais au moins laisser un temps aux developpeurs bien intentionnés de mettre à jour leur LL (c'est juste le respect du à leur travail) avant de rendre publique une faille.
Mes deux Eurocents,
DaFrog.
[^] # Re: Pourquoi ne pas tout dire ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 2.
http://www.debian.org/News/weekly/2003/07/(...)
« Supprimer mICQ de Debian ? Martin Loschwitz a proposé de supprimer complètement mICQ de Debian car l'auteur amont a placé un « easter egg » (surprise cachée) dommageable et obscur dans le code, déjouant les tests du responsable du paquet. Anthony Towns a demandé à tous les responsables de relire les modifications amont avant d'empaqueter le code, Branden Robinson lit déjà toutes les lignes des correctifs qui sont appliqués à ses paquets XFree86. Rüdiger Kuhlmann a, par la suite, indiqué que les problèmes avaient été résolus et que l'« easter egg » a été supprimé. Martin Loschwitz a également envoyé une mise à jour. »
D'ailleurs Brassens l'a dit, qu'on soit développeur de LL ou pas, quand on est con...
[^] # Re: Pourquoi ne pas tout dire ?
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
# Re: Encore des fuites de vulnérabilités ?
Posté par hideo . Évalué à 3.
shmigget writes "The Register is reporting that Microsoft is throwing in the towel as far as NT 4 is concerned on the latest security flaw to affect Windows 2000, XP, and NT 4. They quote Microsoft as saying 'The architectural limitations of Windows NT 4.0 do not support the changes that would be required to remove this vulnerability.'" There still is a workaround for NT 4.0. Instead of patching the problem, it's advised to firewall off port 135 on an affected machine.
< http://slashdot.org/article.pl?sid=03/03/27/1930256(...) >
b111 abandonne ses machines, c'est tout dire.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.