[Linux] Nouvelle faille de sécurité majeure ?

René Bastian rbastian@::1
Mar 30 Sep 12:29:17 CEST 2014 

On Tue, 30 Sep 2014 11:58:26 +0200
Christophe Courtois <christophe@::1> wrote:

> Le 30/09/14 10:06, Daniel Huhardeaux a écrit :
> >>> J'avais découvert l'info sur le site du journal berlinois « die
> >>> Tageszeitung » http://www.taz.de , sorte d'équivalent allemand de
> >>> notre « Libé » ; dans leur article, ils disent sans détour que
> >>> sur ce coup, les logiciels libres en prennent un coup question
> >>> crédibilité.
> >> C'est indubitable...
> > Ah? Je rappelle que Mac OS et tous les Unix sont également touchés,
> > pourquoi vouloir pointer du doigt les logiciels libres ?
> 
> Bash est libre (du moins la version que j'ai sur ma Debian, il y 
> peut-être des implémentations non libres). Et dans ce composant 
> extrêmement répandu, on vient de découvrir une faille monstrueuse qui 
> était là depuis 20 ans, ce qui porte un coup à l'argument de la 
> transparence qui fait sortir tous les bugs. Après OpenSSL &
> Heartbleed, preuve est faite que le libre ne garantit pas une
> sécurité comme par magie.

Quelques rappels : ;)
* Une faille n'existe qu'à partir du moment où elle est découverte,
  quel que soit le degré de bienveillance ou de malveillance du
  découvreur par qui le scandale arrive.
* La transparence permet à quelques centaines d'informaticiens de
  se consacrer, pendant quelque temps, à colmater la faille (la
  non-transparence permet marketingnement de nier la faille (cf.
  industrie nucléaire))

Je n'ai jamais cru à une magie du Logiciel coopératif (LC) - mais plus
un système est concis, moins il offre de surface d'attaque. Le LC permet
de réduire les voilures inutiles (cf. une comparaison entre Bash et
Powershell).

rb

> 
> Evidemment, ça ne dédouane pas les softs propriétaires dont le casier 
> est très chargé sur ce point. Mais du point de vue marketing c'est un 
> coup dur.
> 
> > http://www.zdnet.fr/actualites/bug-shellsock-les-banques-alertees-et-de-nouveaux-correctifs-39807009.htm
> > Banques, applications propriétaires Oracle, ... que du logiciel
> > libre.
> 
> Les banques devraient être blindées depuis longtemps... en théorie.
> Oracle (comme Apple) utilise massivement du libre dans certains 
> composants, et je ne parle pas de Java. Oracle Linux est une version 
> rebadgée de RedHat. Solaris a été "ouvert" pendant 5 ans, et personne 
> n'a vu le bug. D'ailleurs, si j'ai bien compris, la version de Bash
> qui s'y trouve est la version GNU.
> 
> 
>

Plus d'informations sur la liste de diffusion linux