Marc SCHAEFER wrote: > ``Eclaircissement'' de Theo de Raadt (co-auteur de OpenSSH). > R�sum�: > - il ne veut toujours pas nous d�crire le probl�me. > - il critique ceux qui veulent conna�tre les d�tails. > - il force tout le monde � mettre � jour � une nouvelle version > pas termin�e, peu test�e, et contenant au moins deux bugs. > - une nouvelle version qui ne corrige pas la vuln�rabilit�, mais > l'att�nue (comment? dans quelle mesure? pourquoi?), ou du moins > on doit lui faire confiance pour �a. > - il ne donne m�me pas des informations plus compl�tes aux > distributions. > en bref, il applique la maxime `security through obscurity'. > Donc ma recommandation reste: > - arr�tez SSH sur vos serveurs (et clients): /etc/init.d/ssh stop > - sur les serveurs sur lesquels vous devez pouvoir faire de la > maintenance � distance, utilisez les r�gles de firewalling pour > n'autoriser qu'une machine � adresse fixe � y acc�der > - si vous avez du temps � perdre, installez la version > corrig�e-mais-pas-compl�tement-et-qui-casse-des-trucs sur une > machine de test et testez-la compl�tement avant de la mettre en > oeuvre et de casser votre seule m�thode d'acc�s � votre serveur > distant. > Une alternative est de firewaller � l'entr�e de votre r�seau le port 22, > en attendant mieux.
Mes 2 centimes additionnels... Je lis les listes openbsd, etc. Vendredi: apache httpd vulnerability (64 bits only ?) Lundi: apache httpd vulnerability avec cracker program, concerne aussi les 32 bits et Openbsd. Test, pas de trou, le child httpd segfaulte, pas trop grave. en 2 H, avant de filer � un rdv � Berne, update de TOUS les serveurs apache sous mon contr�le, et retest, OK. Mardi: de diverses sources, (et merci Marc pour ton r�sum� security) probl�me sshd. Update selon les erratas openbsd, privilege separation de TOUS les serveurs en production, chez moi et mes clients. Contr�le, etc... Je pr�f�re ma m�thode, j'ai vu des sysadmins se tirer dans le pied en modifiant les r�gles de firewall � distance :) Je fais tjrs confiance au team OpenBSD, avez-vous vu une liste d�taill�e � la CVS des changements journaliers du code kernel, etc. dans des syst�mes autres que *BSD (comme Linux p.ex. ...). Un remote root exploit chaque 5 ans c'est un peu mieux que Linux je crois, et en plus on est averti � l'avance. Je me rappelle qu'il n'y a pas si longtemps, un <= au lieu de < donnait un local root exploit, alors un patch de 5 lignes... (le r�cent de apache fait ~10 lignes je crois) Bonne journ�e � tous, patchez et laissez le FUD retomber un peu. -- Mathias Schmocker SMAT Engineering Sarl Tel. +41 22 800 3400 Bvd Georges-Favon 20 Fax. +41 22 800 3401 P.O. Box mailto:[EMAIL PROTECTED] CH-1211 Geneva 11 http://www.smat.ch/ Switzerland Please visit http://www.OpenBSD.org/ the FREE Multiplatform Ultra-Secure Operating System P.S. envoy� a linux-leman-admin, linux-leman m'a "bounc�"
