Trou dans SSH 3.0.0

Posté par  (site web personnel, Mastodon) . Modéré par Fabien Penso.
Étiquettes :
0
22
juil.
2001
Sécurité
Une nouvelle sur Slashdot avec une amusante pointe d'ironie, alors je me permets de la traduire directement.
"SSH communication Security Corp a annoncé hier sur Bugtraq que leur version commerciale de SSH 3.0.0 a un trou de sécurité. Techniquement ce n'est pas un accès root direct, mais pouvoir avoir un accès "adm", "daemon", ou "sys" n'est pas très bon quand même.
Etrangement, pas d'annonce sur leur site web. Si vous utilisez la version à $99 ou à $475, mettez à jour en version 3.0.1 maintenant car le trou est très simple à utiliser (...)
Si vous utilisez OpenSSH ou d'autres programmes pour lesquels vous n'avez pas payé, aucune inquietude à avoir."

Aller plus loin

  • # Pfff heureusement que j'ai pas payé pour ca

    Posté par  . Évalué à -1.

    hop -1
    • [^] # Re: Pfff heureusement que j'ai pas payé pour ca

      Posté par  . Évalué à 0.

      Faut voir, mais là 600fr pour un shell distant c'est vraiment du vol.

      Seul un monopole peut justifier de tel prix.
      • [^] # Re: Pfff heureusement que j'ai pas payé pour ca

        Posté par  . Évalué à 1.

        s/justifier/expliquer/
        • [^] # Re: Pfff heureusement que j'ai pas payé pour ca

          Posté par  . Évalué à 1.

          Je dirais même plus:
          s/expliquer/engendrer
          • [^] # La raison est simple

            Posté par  . Évalué à 5.

            L'explication reste simple. Le marché sur lequel ces produits sont vendus ne récompense aucunement la qualité.

            En effet, les logiciels sont vendus avec une licence, celle-ci exclut souvent la moindre garantie de fonctionnement. En pratique, cela signifie que si le produit que vous utilisez, et que vous avez cher payé, ne fonctionne pas, vous ne pouvez pas vous retourner contre son distributeur et ou concepteur.

            Si la base de données sur laquelle repose toute la vie de votre entreprise, par exemple Access, cesse de fonctionner ou corrompt les données irrémédiablement et que vous finissez en faillite, tant pis pour vous. C'est pourquoi certaines entreprises qui assurent le fonctionnement de leurs logiciels remportent bien souvent les marchés importants (IBM par exemple, ou Oracle qui peut garantir et/ou rembourser les pertes de données ou périodes de non-fonctionnement dans certains contrats).

            L'anti-virus que vous achetez pour Windows, ou bien un parefeu ou encore, nous avons ici l'exemple d'un SSH commerciaux, n'ont pas besoin de garantir leur fonctionnement. Quel que soit le prix que vous payez, aucune garantie. A partir du moment où on réalise un produit commercial, ce qui compte c'est le marketing, ce que les gens pensent en majorité. Pourquoi dépenser d'importantes sommes d'argent à réaliser des audits de code alors qu'il suffit de dépenser en marketing, publicité et de courtiser adroitement vos clients, par le biais des FONCTIONNALITES ? Aucune raison.

            Les développeurs d'OpenBSD qui prennent en charge OpenSSH réalisent un audit de code et traitent avec soin leur code. Bien sûr, aussi bien OpenSSH que OpenBSD peuvent avoir des problèmes de sécurité ou de fonctionnement, cela fait partie des conséquences du développement de logiciels aussi importants, mais comme le produit n'est pas vendu commercialement et ne subit pas cette clause de non-garantie que l'on rencontre partout, leur intérêt est simplement de réaliser le meilleur code possible et d'en être fiers.

            Tant que le marché du logiciel ne punira pas le manque de qualité des logiciels, et tant que ces derniers ne prendront pas en charge un minima les conséquences d'erreurs de développement, les produits commerciaux sont condamnés à se distinguer de la concurrance par l'ajout de fonctionnalités (exemple typique : Microsoft sans aucun jugement quand à leur qualité, qui annonce que l'audit coûte trop cher.. A se demander comment les développeurs d'OpenBSD font) tandis que les logiciels libres ne recherchent pas, mais sont développés dans une optique de qualité, car les développeurs en sont souvent les premiers utilisateurs. Il est alors facile sous ce point de vue de comprendre le succès de géants comme IBM et de quelques autres dans des niches comme les bases de données ou les systèmes à "continuité de service" qui en plus d'ajouter des fonctionnalités (l'optique commerciale) étudient leur code pour que les sociétés d'assurance acceptent de prendre en charge les failles de leurs logiciels.. L'offre d'IBM par exemple réussit souvent non pas parce qu'ils offrent matériel et logiciel, mais parce qu'ils offrent certaines garanties que l'on ne trouve pas ailleurs... (je cite IBM en exemple, il y a d'autres exemple de Sun à quelques autres acteurs mineurs)

            --
            Gilbert Fernandes
            Rédacteur Login:
            • [^] # Re: La raison est simple

              Posté par  . Évalué à 2.

              Il y a aussi un autre phénomène qui entre en jeu:
              Les entreprises ne sont pas encore habituées à l'idée des logiciels libres et/ou gratuits. La maintenance réalisée par la communautée les intrigue (dépasse ?). Les décideurs en place aujourd'hui ont souvent trop baigné dans l'univers commercial des logiciels (ca risque de changer petit à petit ...)
              Tout ca pour dire que convaincre son employeur d'installer un BSD ou Linux comme serveur d'impression c'est facile. Lui prouver que les performances en tant que serveur HTTP sont la c'est faisable avec un test ... mais démontrer la pertinance de la solution en termes de sécurité c'est quasiment impossible. Le décideur à esprit ouvert qui aura intégré Linux dans son entreprise ne PEUT PAS se permettre de mettre OpenSSH ou Netfilter pour assurer la sécurité ...
              Attendons encore 5/10 ans. Les décideurs seront des gens plus familiers des logiciels libres et le mouvement fera son chemin. Les logiciels propriétaires seront alors obligé d'assurer la qualité en plus des fonctionnalités pour supporter la comparaison.

              PLuG
              • [^] # Re: La raison est simple

                Posté par  . Évalué à 0.

                le linux mag reste assez critique sur openssh
                a lire !!!
                en ts cas bon numero que n regrete pas d'avoir acheté..
                • [^] # Re: Je me lève et je confirme !!!

                  Posté par  . Évalué à 1.


                  D'autant plus que l'auteur de l'article qui parle de SSH connait son sujet : ce n'est ni plus ni moins que l'auteur de SSF, l'adaptation francaise de SSH. Ce dernier en connait donc un rayon sur la version commerciale de SSH, mais aussi sur OpenSSH dont il met en évidence certaines lacunes (en particulier, la prise en charge du chiffrement par une librairie externe au projet).


                  L'article du HS de LinuxMag est très intéressant car il montre les avantages et les défauts de SSH, sans prendre parti pour une solution particulière. Tout le monde en prend pour son grade. Bravo.


                  Pour ceux qui n'ont pas encore acheté le HS en question, je n'aurai qu'une chose à dire : précipitez-vous ! Un seul reproche : il semble avoir été relu très (trop ?) rapidement, pas mal de fottes d'horteaugraffe sont présentes dans les articles. Mais cela n'empèche pas de comprendre (sauf quand, dans un article, l'auteur parle de clef publique à la place de clef privée...). Vous savez ce qu'il vous reste à faire...

  • # and once again...

    Posté par  . Évalué à 0.

    ...BSD wins!
    "FreeBSD, NetBSD and OpenBSD are not affected at all"

    sans parler de OpenSSH..
    • [^] # Re: and once again...

      Posté par  . Évalué à 2.

      Bien qu'utilisant moi-même OpenBSD au boulot depuis que Vandeputte m'en aura parlé lors de la dernière Apple Expo, je ne sais pas si l'on peut dire que BSD en sortira toujours vainqueur ;-)

      Disons que pour moi, chaque faille est une faille de moins exploitable, donc ce n'est pas une si mauvaise chose. Nous savons tous que, Linux ou BSD, les problèmes nous affectant sont généralement corrigés rapidement, en quelques heures alors qu'il faut des semaines et parfois plus à des acteurs commerciaux pour réagir. Linux et BSD ne sont pas Internet : Internet a été partiellement bâti sur ces systèmes libres et leur philosophie :-)

      Mais ce que je voulais souligner avant tout c'est que SSH comme entité commerciale n'a pas et ne peut pas avoir pour objet le développement d'un code audité et vérifié, car si leur logiciel échoue, leur activité ne sera pas affectée. On pourrait penser que la mauvaise image de marque qui en résulterait serait préjudiciable, mais Microsoft est la preuve vivante que plus vous placez d'argent en marketing, plus les gens vous suivent. Ensuite il suffit de racheter un code peu ou prou correct développé par une petite boîte pour l'incorporer à son produit et en réhausser la qualité... Avec le résultat que l'on connaît. SSH par son activité commerciale se rendra vite compte que le marketing importe plus que la réelle qualité de leur produit et ils n'ont aucune chance face à OpenSSH.

      Même si un jour SSH devient partiellement meilleur qu'OpenSSH, je continuerait avec OpenSSH. C'est comme avec les logiciels libres. Je sais bien que pour certaines choses, Windows semble donner de meilleurs résultats (les jeux par exemple) mais je reste sur des logiciels libres. Car tout cela est bien plus que de l'informatique, il s'agit de penser librement et de n'employer que des logiciels libres. Je préfére rester sur OpenSSH ou Linux même si aujourd'hui je dois galérer pour des choses disponibles sous Windows car les logiciels libres ne sont qu'une part et qu'il est question de la liberté même de choix. Les choses ne peuvent plus évoluer que dans notre sens, car nous allons remplacer cette génération gâvée de "propriétaire" peu à peu, d'abord dans les domaines techniques par les ingénieurs et techniciens, puis dans les milieux décisionnels.

      Je n'utilise plus pour travailler que des systèmes libres et je ne reviendrais plus en arrière. Et si je quitte Posse un jour, jamais ne n'opterait pour un emploi où je n'aurais plus la liberté que j'ai acquise.
    • [^] # Troll Detected

      Posté par  . Évalué à -1.

      .
      • [^] # Re: Troll Detected

        Posté par  . Évalué à -1.

        Anonymous coward with no bollocks detected.
        Flush asshole with no guts on toilets..

        Flouhshhhhhhhhhh !
  • # Bande de feignasse...

    Posté par  . Évalué à -1.

    Ouai, ben sa fait 24h k'il y'a pas eu de news, il se passe rien le dimanche ? ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.