Faille SSH

• # Re: Faille SSH

  Posté par pasBill pasGates le 17 décembre 2002 à 10:05. Évalué à 0.

  

  La bonne nouvelle est que OpenSSH n'est pas touché par cette faille. Une preuve de plus de la qualité des logiciels libres ?
  
  
  Ca depend, faudrait aussi compter les failles qui ont touche OpenSSH et qui n'ont pas touche les autres implementations.
  
  Et honnetement, vu le nombre de fois que j'ai entendu parler de OpenSSH l'annee passee, je suis pas sur qu'il sorte gagnant.

  • [^] # Re: Faille SSH

    Posté par rootix le 17 décembre 2002 à 10:43. Évalué à 10.

    

    FAUX, ça veut rien dire du tout.
    On pourrait très bien ne rien dire sur les failles de Windows et faire tout un plat à la moindre faille sour Linux, ce n'est pas pour autant qu'il faille en déduire que Linux est moins solide.
    Le fait qu'on parle plus des failles de OpenSSH quand il y en a, est dans le simple but d'informer et de mettre à jour rapidement.
    
    Attention à bien rester dernier juge de ses lectures.
    Les journalistes windosiens prennent du plaisir à casser Linux à la moindre bourde. Toujours relativiser.

    • [^] # Re: Faille SSH

      Posté par Vincent (site web personnel) le 17 décembre 2002 à 17:59. Évalué à 4.

      

      Les journalistes linuxien prennent AUSSI du plaisir à casser Windows à la moindre bourde. Toujours relativiser.

    • [^] # Re: Faille SSH

      Posté par pasBill pasGates le 17 décembre 2002 à 21:41. Évalué à 4.

      

      Tu t'excites pour rien.
      
      Je vois un gars qui sur une faille voit que OpenSSH n'est pas vulnerable alors que XY l'est, et hop il nous sort la phrase habituelle: "Une preuve de plus de la qualité des logiciels libres ? "
      
      Moi je ne fais que lui dire de regarder les autres bugs de securite et de tirer ses conclusions sur l'ensemble.

      • [^] # Re: Faille SSH

        Posté par Olivier Meunier (site web personnel) le 18 décembre 2002 à 08:05. Évalué à 0.

        

        Le point d'intérogation à la fin de ma phrase avait *vraiment* pour but de poser une question, pas de juger de la qualité ou non de OpenSSH.
        
        Si j'avais voulu être afirmatif, j'aurais omis le point d'intérogation et là aurait mérité une critique justifiée.

        • [^] # Re: Faille SSH

          Posté par pasBill pasGates le 18 décembre 2002 à 08:12. Évalué à -1.

          

          C'est vrai, et c'est pour ca que je suis reste mesure dans ma reponse.
          
          Quand il s'agit de rembarrer quelqu'un qui raconte une connerie, je suis d'habitude bcp plus cynique.

          • [^] # Re: Faille SSH

            Posté par okhin le 18 décembre 2002 à 09:49. Évalué à 1.

            

            ca c'est vrai
            
            [oki je sors...-1]

  • [^] # Re: Faille SSH

    Posté par Xavier Poinsard le 17 décembre 2002 à 10:48. Évalué à 8.

    

    Tu as raison, la force du logiciel libre c'est la correction rapide des failles et la disponibilité des correctifs.

    • [^] # Re: Faille SSH

      Posté par Pierre Tramo (site web personnel) le 17 décembre 2002 à 11:40. Évalué à 6.

      

      Et aussi le fait qu'il n'y ait pas un section qui choisi quelle sont les failles a corriger

    • [^] # Re: Faille SSH

      Posté par Herve Lebrie le 17 décembre 2002 à 12:23. Évalué à 3.

      

      Et que sur un logiciel libre il n'y a pas de secrets commerciaux, la transparence et un des atouts majeurs du LL.

    • [^] # Re: Faille SSH

      Posté par Jean-Pierre Schwickerath (site web personnel) le 17 décembre 2002 à 19:17. Évalué à 2.

      

      Tu as raison, la force du logiciel libre c'est la correction rapide des failles et la disponibilité des correctifs.
      
      Encore faut-il que les administrateurs appliquent les correctifs.
      On dit souvent que 1/3 des versions à risques sont patchées lorsque la faille est découverte, 1/3 est patché lorsque un exploit est découvert et 1/3 restent incorrigés... C'est bien triste :-(

      • [^] # Re: Faille SSH

        Posté par Xavier Poinsard le 18 décembre 2002 à 13:04. Évalué à 1.

        

        Sur ce point je pense que la seule différence se fait sur les outils de mise à jour automatique.

• # Re: Faille SSH

  Posté par Milo le 17 décembre 2002 à 10:45. Évalué à 6.

  

  Je ne suis pas sur de tous comprendre, dans le cas d'un client putty qui se connecte sur un serveur openssh "trusty" un risque existe ou pas ?
  j'intuite que non ou plutot que le risque est faible mais ce n'est pas très clair ...
  
  sinon pour répondre à PBPG : on parle ici des failles découvertes, pas de toutes celles potentiellment cachées dans le code secret des applis propriétaires. Ne parlons pas de la rapidité de correction des trous et des choix liés au classement de la sévérité des problèmes (http://www.osopinion.com/perl/story/20251.html(...)) ...
  
  Il est probable que openssh convergera plus vite vers un état exempt de problème sévère. Dans ce modèle on peut penser que un maximum de failles sont découvertes au début du cycle de vie du logiciel. Ceci raccourci le temps de maturation du projet pour aboutir plus rapidement à un état fiable du produit (cf openbsd ) .

  • [^] # Re: Faille SSH

    Posté par Raphaël SurcouF le 17 décembre 2002 à 12:53. Évalué à 1.

    

    Moi, j'intuite que sous Windows, il va falloir soit se tourner vers Mindtem, soit se tourner vers OpenSSH via cygwin32... et donc
    installer GNUWin32 partout où on est forcé d'avoir un poste sous Windows...

    • [^] # Re: Faille SSH

      Posté par zeiram le 17 décembre 2002 à 13:11. Évalué à 4.

      

      La lecture du rapport de Rapid7 (les découvreurs de la faille) indique que la version 0.53b (la dernière en date) de PuTTY n'est pas vulnérable. D'ailleurs, cette version est sortie pour corriger quelques problèmes de sécurité. Et elle date d'il y a quand même un mois déjà.
      
      Conclusion : sous Windows, on peut très bien continuer à travailler avec PuTTY (contrairement à ce que laisse supposer le rapport du CERT).
      
      

      Zeiram

    • [^] # Re: Faille SSH

      Posté par Moby-Dik le 17 décembre 2002 à 13:21. Évalué à 2.

      

      Non seulement PuTTY est un excellent logiciel, mais en plus c'est un logiciel libre (sous licence MIT, compatible avec la GPL) ! D'autre part les développeurs ont l'air sérieux.

  • [^] # Re: Faille SSH

    Posté par pasBill pasGates le 17 décembre 2002 à 21:39. Évalué à 0.

    

    Bah bien sur.
    
    Le truc est que ce que tu dis serait vrai si les gens qui avaient decouvert les failles rendues public l'avaient fait en lisant le code source plutot qu'en essayant en "black box", et que je sache ce n'etait pas forcement le cas.
    
    Sinon quand a ce qui est de converger vers un soft sans trous de securite, tu iras expliquer ca a sendmail, bind et wu_ftpd, a premiere vue eux n'ont pas encore fini de converger.

  • [^] # Re: Faille SSH

    Posté par Paul Andre le 18 décembre 2002 à 12:21. Évalué à 1.

    

    Ceci raccourci le temps de maturation du projet pour aboutir plus rapidement à un état fiable du produit (cf openbsd ) .
    
    c'est vrai le développement d'OpenBSD à été fulgurant :
    
    (1978) 1BSD ... 4.3BSD -fork-> (1990) BSD Net/2 -renomage-> (1991) NetBSD -fork-> (1995) OpenBSD
    
    soit à la louche 25 ans.
    
    (d'apres l'excellent www.levenez.com)

• # Re: Faille SSH

  Posté par outs le 17 décembre 2002 à 11:41. Évalué à 2.

  

  Cool on vas pouvoir tester ca pour le concour de la new juste en dessous ! :)

• # Re: Faille SSH

  Posté par Gruik Man le 17 décembre 2002 à 14:14. Évalué à 2.

  

  Hé bien!
  
  J'vais repasser à Telnet, moi ^^

  • [^] # Re: Faille SSH

    Posté par Lol Zimmerli (site web personnel, Mastodon) le 18 décembre 2002 à 12:02. Évalué à 2.

    

    Bah, il reste toujours le protocole du rfc 1149, au pire. (Gardez-donc votre pain sec, ça peut servir!)

    La gelée de coings est une chose à ne pas avaler de travers.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.