Conversation
precedente ou
suivante
Debian sécurisée?
Envoyé par:
maddoudou22
Salut,
J'aimerai que quelqu'un puisse éclairer ma lanterne sur le point suivant:
On peut voir sur de nombreux sites que Debian est réputée pour être très stable du fait qu'elle n'utilise que les versions les plus stables des applications tournant sous GNU/Linux, donc pas toujours les plus récentes.
J'ai d'ailleurs remarqué lors d'un 'apt-get update/upgrade' sur une Debian 3.0 (fait sur '[ftp.us.debian.org] stable main' puis '[security.debian.org] stable/updates main') que la version de BIND installée est la 8.3.3 alors que celle que j'ai sur RedHat est la 9.2.1. Bon, peut-être que celle-ci est moins stable que la 8.3.3, je n'ai pas été vérifié. Par contre, en faisant un tour sur le site '[www.isc.org]; j'ai remarqué que la 8.3.3 avait pus de failles que la 9.2.1 (ou même que la 8.3.4).
J'en viens donc au fait: Debian privilégie t-elle plus la stabilité à la sécurité en proposant des versions de services antérieurs ? Sur beaucoup de sites on voit qu'il vaut mieux utiliser les dernières versions et les derniers patchs du point de vue sécurité...
Merci pour ceux qui pourront me répondre.
Damien
J'aimerai que quelqu'un puisse éclairer ma lanterne sur le point suivant:
On peut voir sur de nombreux sites que Debian est réputée pour être très stable du fait qu'elle n'utilise que les versions les plus stables des applications tournant sous GNU/Linux, donc pas toujours les plus récentes.
J'ai d'ailleurs remarqué lors d'un 'apt-get update/upgrade' sur une Debian 3.0 (fait sur '[ftp.us.debian.org] stable main' puis '[security.debian.org] stable/updates main') que la version de BIND installée est la 8.3.3 alors que celle que j'ai sur RedHat est la 9.2.1. Bon, peut-être que celle-ci est moins stable que la 8.3.3, je n'ai pas été vérifié. Par contre, en faisant un tour sur le site '[www.isc.org]; j'ai remarqué que la 8.3.3 avait pus de failles que la 9.2.1 (ou même que la 8.3.4).
J'en viens donc au fait: Debian privilégie t-elle plus la stabilité à la sécurité en proposant des versions de services antérieurs ? Sur beaucoup de sites on voit qu'il vaut mieux utiliser les dernières versions et les derniers patchs du point de vue sécurité...
Merci pour ceux qui pourront me répondre.
Damien
Poste le Thursday 27 November 2003 11:23:12
Re: Debian sécurisée?
Envoyé par:
greywolf
les packages debian sont retravaillés par l'équipe sécurité:
Le projet Common Vulnerabilities and Exposures (CVE) a identifié les vulnérabilités suivantes :
CAN-2002-1219 : Un dépassement de tampon dans BIND 8 versions 8.3.3 et antérieures permet à un attaquant distant d'exécuter du code arbitraire via une certaine réponse DNS du serveur contenant des enregistrements de ressources de type SIG. Ce dépassement de tampon peut être exploité pour obtenir accès à la machine visée sous l'identité faisant fonctionner BIND, généralement root ;
CAN-2002-1220 : BIND 8 versions 8.3.x jusqu'à 8.3.3 permet à un attaquant distant de causer un déni de service (terminaison due à une erreur des assertions) via une requête pour un sous-domaine qui n'existe pas, avec un enregistrement de ressources de type OPT et un paquet de données UDP chargé ;
CAN-2002-1221 : BIND 8 versions 8.x jusqu'à 8.3.3 permet à un attaquant distant de causer un déni de service (plantage) via des enregistrements de ressources de type SIG avec un délai avant expiration invalide, qui sont enlevés de la base de données interne de BIND et ensuite cause une déréférence vers NULL.
Ces problèmes sont corrigés dans la version 8.3.3-2.0woody1 pour l'actuelle distribution stable (Woody), dans la version 8.2.3-0.potato.3 pour l'ancienne distribution stable (Potato) et dans la version 8.3.3-3 pour la distribution instable (Sid).
et tu peux voir dans le dernier lien que tu as donné que la version de bind 8.3.3 "classique" est vulnérable à DoS1 et SigRec, failles corrigées dans les paquets spécifiques debian.
Le projet Common Vulnerabilities and Exposures (CVE) a identifié les vulnérabilités suivantes :
CAN-2002-1219 : Un dépassement de tampon dans BIND 8 versions 8.3.3 et antérieures permet à un attaquant distant d'exécuter du code arbitraire via une certaine réponse DNS du serveur contenant des enregistrements de ressources de type SIG. Ce dépassement de tampon peut être exploité pour obtenir accès à la machine visée sous l'identité faisant fonctionner BIND, généralement root ;
CAN-2002-1220 : BIND 8 versions 8.3.x jusqu'à 8.3.3 permet à un attaquant distant de causer un déni de service (terminaison due à une erreur des assertions) via une requête pour un sous-domaine qui n'existe pas, avec un enregistrement de ressources de type OPT et un paquet de données UDP chargé ;
CAN-2002-1221 : BIND 8 versions 8.x jusqu'à 8.3.3 permet à un attaquant distant de causer un déni de service (plantage) via des enregistrements de ressources de type SIG avec un délai avant expiration invalide, qui sont enlevés de la base de données interne de BIND et ensuite cause une déréférence vers NULL.
Ces problèmes sont corrigés dans la version 8.3.3-2.0woody1 pour l'actuelle distribution stable (Woody), dans la version 8.2.3-0.potato.3 pour l'ancienne distribution stable (Potato) et dans la version 8.3.3-3 pour la distribution instable (Sid).
et tu peux voir dans le dernier lien que tu as donné que la version de bind 8.3.3 "classique" est vulnérable à DoS1 et SigRec, failles corrigées dans les paquets spécifiques debian.
Poste le Thursday 27 November 2003 12:04:16
Ce forum !
Debian sécurisée?
Aide sur les distributions Debian, Ubuntu et leurs dérivées : Mepis, Mint, Knoppix, Kubuntu, Lubuntu, Xandros
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons