[Linux] Nouvelle faille de sécurité majeure ?

[Christophe Courtois]

Le 30/09/14 10:06, Daniel Huhardeaux a écrit :
>>> J'avais découvert l'info sur le site du journal berlinois « die
>>> Tageszeitung » http://www.taz.de , sorte d'équivalent allemand de
>>> notre « Libé » ; dans leur article, ils disent sans détour que sur ce
>>> coup, les logiciels libres en prennent un coup question crédibilité.
>> C'est indubitable...
> Ah? Je rappelle que Mac OS et tous les Unix sont également touchés,
> pourquoi vouloir pointer du doigt les logiciels libres ?

Bash est libre (du moins la version que j'ai sur ma Debian, il y 
peut-être des implémentations non libres). Et dans ce composant 
extrêmement répandu, on vient de découvrir une faille monstrueuse qui 
était là depuis 20 ans, ce qui porte un coup à l'argument de la 
transparence qui fait sortir tous les bugs. Après OpenSSL & Heartbleed, 
preuve est faite que le libre ne garantit pas une sécurité comme par magie.

Evidemment, ça ne dédouane pas les softs propriétaires dont le casier 
est très chargé sur ce point. Mais du point de vue marketing c'est un 
coup dur.

> http://www.zdnet.fr/actualites/bug-shellsock-les-banques-alertees-et-de-nouveaux-correctifs-39807009.htm
> Banques, applications propriétaires Oracle, ... que du logiciel libre.

Les banques devraient être blindées depuis longtemps... en théorie.
Oracle (comme Apple) utilise massivement du libre dans certains 
composants, et je ne parle pas de Java. Oracle Linux est une version 
rebadgée de RedHat. Solaris a été "ouvert" pendant 5 ans, et personne 
n'a vu le bug. D'ailleurs, si j'ai bien compris, la version de Bash qui 
s'y trouve est la version GNU.



-- 
Christophe Courtois
http://coindeweb.net/