Politique de mise à jour ?

par **jjl** » 14 Sep 2004 17:52

Bonjour,

Je me pose quelques questions sur la sécurité de mon sme (6.0.1). Un certain nombre de composants commencent à dater et sont sans doute pleins de trous de sécurité documentés. Par exemple :

Si on jette un coup d'oeil dans les ChangeLog on trouve effectivement des corrections de sécurité à la pelle (normal). J'en arrive donc à mes questions: mettez-vous à jour votre sme ? si oui, comment ?
pour le kernel on a le superbe Kernel Howto, mais pour le reste, faut tout se faire à la mimine ?

Le tip-top serait des rpm a installer pour upgrader le composant voulu genre

Code: Tout sélectionner: root@sme$> rpm -ivh PatchOpensshQuiCorrigeLeMegaBufferOverflowQuiTue.rpm

J'ai cherché sur contrib.org, je n'y ai trouvé qu'un package pour initrd.
RedHat ne supporte plus la 7.3 https://rhn.redhat.com/errata/rh73-errata.html
Bref, j'y crois pas trop à cette solution miracle

Voila, voila, si vous avez des réponses ou des pistes ...
Merci
JJL

par **Landry** » 14 Sep 2004 18:05

Hello !

Ben, question sécurité justement, y'a les mecs de contribs.org (et ca c une BONNE nouvelle !! ) qui viennent de prendre la décision de commencer la SME7.0 sur base de CentOS 3.1 (fork de RHEL 3), donc 'ici ~6-10 mois on devrait avoir une SME7 completement a jour avec tous les rpms recents qui patchent tous les trous de buffers overflow de la mort qui tue. C'est en collaboration avec toute l'equipe de contribs.org qui vient apparement de se decider a prendre une direction (enfin je peux me tromper encore ...)

http://contribs.org/modules/news/article.php?storyid=30 => la news!

Bon par contre c'est vrai, d'ici la, ben wait & see, et prie pour pas avoir d'attak. :evil:

par **sibsib** » 14 Sep 2004 20:32

Salut,

Une info que je ne suis pas en mesure de vérifier : D'après pas mal de cadors SME sur contribs.org, un grand nombre de trous de sécurité ne concernet pas SME en installation standard

Qu'est ce à dire ? SME n'est pas simplement un 'fork' de RedHat 7.3, c'est une distribution orientée sécurité.
En ce sens, un certain nombre d'options ont étés prises par les concepteurs afin d'augmenter la sécurité du système.

Conséquence 1 : Une SME 6.0.1 'out of the box' serait quasiment non 'compromisable' (il est bô, celui là :-)

Conséquence 2 : Partant du constat suivant, les efforts de portage des patchs sont plutôt faibles.

Conséquence 3 : Si une SME a fortement déviée depuis l'installation standard, il vaut mieux serrer les fesses !
J'ai cru comprendre que c'était particulièrement vrai au niveau de php, d'une part et des serveurs qui autorisent des connexions 'non root' car il existe des risques référencés d'escalade de privilèges.

Pour php, il doit y avoir des choses chez http://sme.swerts-knudsen.dk/

Tiens, oui, sur la première page, il y a de quoi faire !!!

A+,
Pascal.

par **jjl** » 15 Sep 2004 11:26

Salut,

Landry a écrit:Ben, question sécurité justement, y'a les mecs de contribs.org (et ca c une BONNE nouvelle !! ) qui viennent de prendre la décision de commencer la SME7.0 sur base de CentOS 3.1 (fork de RHEL 3),

Cool c'est effectivement une bonne nouvelle. Faudra voir a l'usage la pérenité et les mises-a-jour de tout ca. Mais bon, 6-10 mois, il peux s'en passer des choses pendant ce temps...

Landry a écrit:Bon par contre c'est vrai, d'ici la, ben wait & see, et prie pour pas avoir d'attak.

Héhé, je suis pas sur de l'influence de dieu sur les pirates :lol:

alors prier ... :roll:

merci
++
JJL

par **jjl** » 15 Sep 2004 11:59

Salut,

sibsib a écrit:Conséquence 1 : Une SME 6.0.1 'out of the box' serait quasiment non 'compromisable' (il est bô, celui là
Conséquence 2 : Partant du constat suivant, les efforts de portage des patchs sont plutôt faibles.

Oui, je veux bien, m'enfin si y'a un bug dans Apache par exemple qui permet d'ouvrir un shell (comme ca au pif), je ne vois pas trop en quoi sme pourrais empecher/corriger cela sans maj d'Apache. Enfin, je suis pas un spécialiste, si je me goure tant mieux

sibsib a écrit:Conséquence 3 : Si une SME a fortement déviée depuis l'installation standard, il vaut mieux serrer les fesses !
J'ai cru comprendre que c'était particulièrement vrai au niveau de php, d'une part et des serveurs qui autorisent des connexions 'non root' car il existe des risques référencés d'escalade de privilèges.

Qu'entends tu par "des serveurs qui autorisent des connexions non root" ?
Tu veux dire qui sont executé par un user non root ? Presque tous les serveurs sont dans ce cas, et je croyais plutot que c'etait un gage de sécurité accrue.
Ou alors tu veux peut-être dire : qui ne sont pas "chrootés" ?

sibsib a écrit:Pour php, il doit y avoir des choses chez http://sme.swerts-knudsen.dk/
Tiens, oui, sur la première page, il y a de quoi faire !!!

Ah ben oui alors !! c'est récent (12/09) mais y'a tout ce que je cherchais ! Des mises a jour pour tous les services :

et tout ca en rpm !
Bref que demande le peuple ?

Merci
JJL

PS: j'ai pas de meilleur adverbe associé à compromettre

par **sibsib** » 15 Sep 2004 21:24

Salut,

Je me suis amusé aussi hier soir a 'misajouré' mon SME.

Cà c'est plutôt bien passé, sauf PHP : j'ai du faire l'opération deux fois ? Appremment, la mise à jour utilise un module php qui s'appelle pear, et ce module, bien qu'installé, n'a fonctionné qu'après un reboot.

Après, rkhunter était tout content.

Par contre phpinfo continue de m'indiquer apache 1.3.27 alors que rkhunter voit du 1.3.31 ?

D'autres avis ?

A+,
Pascal

par **sibsib** » 15 Sep 2004 21:27

jjl a écrit:Salut,

sibsib a écrit:Conséquence 3 : Si une SME a fortement déviée depuis l'installation standard, il vaut mieux serrer les fesses !
J'ai cru comprendre que c'était particulièrement vrai au niveau de php, d'une part et des serveurs qui autorisent des connexions 'non root' car il existe des risques référencés d'escalade de privilèges.

Qu'entends tu par "des serveurs qui autorisent des connexions non root" ?
Tu veux dire qui sont executé par un user non root ? Presque tous les serveurs sont dans ce cas, et je croyais plutot que c'etait un gage de sécurité accrue.
Ou alors tu veux peut-être dire : qui ne sont pas "chrootés" ?

Non, en fait, je parle de système ou des utilisateurs (pas des admins) ont un compte pour lancer un shell

Car en fait, un certain nombre d'exploits (notamment au niveau du kernel) sont des augmentations de privilèges pour un compte déjà signé sur la machi,e.
Or, en principe, ces comptes n'existent pas sur SME.

A+,
Pascal

par **Pabze** » 16 Sep 2004 09:35

Bonjour tout le monde,

En installant "yum" depuis le site de pagefault.org il y a quelques temps j'avais lancé à l'époque la commande "yum update" en shell.
Voici la liste des packages qu'il m'avait alors mis à jour :

libpcap-0.6.2-17.7.3.4.legacy.i386.rpm
mysql-devel-3.23.58-1.73.i386.rpm
screen-3.9.11-4.legacy.i386.rpm
glibc-common-2.2.5-44.i386.rpm
libxml2-2.4.19-5.legacy.i386.rpm
openssh-server-3.7.1p2-01dc.i386.rpm
tcpdump-3.6.3-17.7.3.4.legacy.i386.rpm
cvs-1.11.1p1-14.legacy.3.i386.rpm
perl-DB_File-1.75-36.1.73.i386.rpm
iptables-1.2.8-8.72.3.i386.rpm
openssl-0.9.7a-20.2.i386.rpm
dump-0.4b27-3es1.i386.rpm
mysql-server-3.23.58-1.73.i386.rpm
glibc-2.2.5-44.i386.rpm
libtool-libs-1.4.2-13.legacy.i386.rpm
openssh-3.7.1p2-01dc.i386.rpm
unzip-5.50-31.i386.rpm
rsync-2.5.7-0.7.i386.rpm
gnupg-1.0.7-13.i386.rpm
sysklogd-1.4.1-14.legacy.7x.i386.rpm
pine-4.44-19.73.0.i386.rpm
fileutils-4.1-10.4.i386.rpm
iproute-2.4.7-7.73.1.i386.rpm
mc-4.5.55-6.legacy.i386.rpm
perl-NDBM_File-1.75-36.1.73.i386.rpm
newt-0.50.35-1es01.i386.rpm
openssh-clients-3.7.1p2-01dc.i386.rpm
mysql-3.23.58-1.73.i386.rpm
setup-2.5.12-1es01.noarch.rpm
ucd-snmp-4.2.5-8.73.1.i386.rpm
stunnel-3.26-1.7.3es01.i386.rpm
perl-suidperl-5.6.1-36.1.73.i386.rpm
shadow-utils-20000902-9.7es1.i386.rpm
openssl096b-0.9.6b-16.i386.rpm
unarj-2.43-10.i386.rpm
utempter-0.5.2-6.7.x.1.legacy.i386.rpm
perl-CPAN-1.59_54-36.1.73.i386.rpm
slocate-2.7-1.7.3.legacy.i386.rpm
perl-5.6.1-36.1.73.i386.rpm
apache-1.3.27-4.i386.rpm

Et jusqu'a aujourd'hui, je touche du singe, (Un coucou à ma secretaire en passant... :wink:

) je n'ai aucun probléme à signaler... !

Chao,
PABZE

PS : Cette SME n'est pas une de mes SME en prod, donc libre à vous de faire cette manipulation !!

par **jjl** » 16 Sep 2004 14:38

sibsib a écrit:[serveurs qui autorisent des connexions 'non root']

Non, en fait, je parle de système ou des utilisateurs (pas des admins) ont un compte pour lancer un shell

Ah ok merci, maintenant je comprends :idea:

. En fait j'avais interprété "serveur" comme daemon/service, pas comme la machine en entier.

Sinon, j'ai pas encore eu le temps d'upgrader mon sme. Je fais ca ce soir ou demain et je poste mon retour d'experience.

++
JJL

par **pbordere** » 16 Sep 2004 15:16

Bonjour,

J'ai mis à jour mes rpm avec ceux figurant sur le site http://sme.swerts-knudsen.dk/downloads/Updates/6.0.1/. Je me suis limité aux rpms existants déjà sur la sme. Je n'est pas installé ceux ne faisant pas partie de l'installation de base.

Aucune difficulté - aucun problème

J'ai également installé le RootKitHunter. Je ne connaissait pas cet outil : simple et efficace...

par **jjl** » 24 Sep 2004 11:08

Bonjour,

Bon voici le pti compte rendu promis (en retard pas bcp de temps en ce moment)
Je n'ai cherché a mettre a jour que ce qui existait deja sur ma sme et que j'utilise.

Pour apache, pas de probleme, par contre, comme Pascal, phpinfo m'indique toujours Apache 1.3.27 alors qu'il est a jour. :?:

OpenSSH, encore mieux, tout est ok.

Par contre j'ai des problèmes pour PHP et openssl

Code: Tout sélectionner: # ls -l /usr/share/ssl ?r--r--rwt 24542 4277228563 2922452369 475987726 Oct 3 1923 /usr/share/ssl

Code: Tout sélectionner: # rpm -qa|grep openssl openssl-0.9.6b-35.7 --> extrait de /var/log/rkhunter.log [09:52:20] Scanning OpenSSL... [09:52:21] /usr/bin/openssl found [09:52:22] Version 0.9.6m is available in non-vulnerable group and seems to be OK!

Voila, rkhunter semble bien plus content, il ne rale plus que sur php.
la liste des rpm php 4.3.8 que j'ai essayé :

http://www.ibiblio.org/pub/linux/distri ... RPMS/i386/

http://www.dr15.cnrs.fr/Delegation/STI/ ... RedHat7.3/

http://sme.swerts-knudsen.dk/downloads/Updates/6.0.1/

Bon, si qq'un a une idée, je suis preneur

Merci
JJL

par **Muzo** » 24 Sep 2004 11:10

Coucou les copains,

euh .. vous avez lu ca ?
http://contribs.org/modules/pbboard/vie ... c00d3b928f

par **Argenlos** » 24 Sep 2004 11:25

Bonjour,

A prioris rien n'a exploser chez eux, c'est encourageant.

par **elbalboes** » 24 Sep 2004 11:27

et si on fait un bete apt-get upgrade ca devrait rouler (en ayant préalablement dl le rmp)non?

biz ciaop

par **Muzo** » 24 Sep 2004 11:32

??
Apt-get sur une SME, elle même basée sur une red hat?
apt-get c'est sur debian ca.

Politique de mise à jour ?

Politique de mise à jour ?

Qui est en ligne ?