Hello, > - il ne veut toujours pas nous d�crire le probl�me. > - il critique ceux qui veulent conna�tre les d�tails. > - il ne donne m�me pas des informations plus compl�tes aux > distributions. > en bref, il applique la maxime `security through obscurity'.
�a peut �tre compr�hensif si le trou de s�curit� est tellement gros que n'importe qui avec de minuscules connaissances en informatique serait capable d'en profiter. Il est vrais que d'un autre c�t� il se prive de main d'oeuvre pour l'aider � corriger le bug rapidement mais bon si c'est vraiment le trou de s�curit� du mill�naire, ... On verra bien ce que �a donnera une fois que la version corrig�e sera sortie. J'ai vu qu'il annonce la version corrig�e pour lundi. > - il force tout le monde � mettre � jour � une nouvelle version > pas termin�e, peu test�e, et contenant au moins deux bugs. > > - une nouvelle version qui ne corrige pas la vuln�rabilit�, mais > l'att�nue (comment? dans quelle mesure? pourquoi?), ou du moins > on doit lui faire confiance pour �a. C'est vrais que c'est passablement stupide de �a part � mon go�t, surtout que j'ai lu passablement de mise en garde sur des sites web et que suivant lesquels ont avait l'impression que �a r�solvait compl�tement le probl�me et donc si des gens lisent les mauvais articles ils ont l'impression d'avoir fais leur travail d'admin syst�me et que leur machine est s�curis�e, ... > Une alternative est de firewaller � l'entr�e de votre r�seau le port 22, > en attendant mieux. C'est ce qu'on as fait chez Nimag au niveau du routeur c'est efficace pour emp�cher des attaques depuis l'ext�rieur mais pas de l'int�rieur. On a r�ouvert le port 22 pour les gens qui nous ont transmis leur IP fixe (en esp�rant que eux aussi ont fait le n�cessaire pour prot�ger leur machine, ...) > PS: la seule raison qui me fera peut-�tre changer d'opinion sur > Theo de Raadt sera si le fix ne POUVAIT PAS ETRE DEVELOPPE > sur une version pr�c�dente de OpenSSH. Si c'est un fix de > 5 lignes, je vais gueuler bien fort. Si c'est le cas il se mettra �norm�ment de personnes � dos, ... A+ Blaise Drayer -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se d�sabonner aussi.
