Les serveurs Fedora: que s'est-t-il passé?
- Modifié
Si ils ont utilisé tor ou truc du genre aussi 🙁
Ya vraiment des personnes sans scrupules pour attaquer des serveurs nixiens...monde de brute ! (versez une larme avec moi)
Qu'on les castre, on mettra la video sur youtube :-D
Ya vraiment des personnes sans scrupules pour attaquer des serveurs nixiens...monde de brute ! (versez une larme avec moi)
Qu'on les castre, on mettra la video sur youtube :-D
Debian , en avait bien subit une également !
A croire qu'il y a meme des personnes qui attaque le libre :-?
je me demande pourquoi ils ont fait cela
merci pour la traduction de l'article et pour les informations
je me demande pourquoi ils ont fait cela
merci pour la traduction de l'article et pour les informations
Bonsoir,
Merci pour les infos concernant ce problème, et merci aussi pour la traduction.
Un sacré frisson à la lecture de ce passage :
Sur la version originale (merci de l'avoir indiquée 🙂) :
Vivement les futures mises à jour afin que l'intégrité des paquetages ne soient effectivement jamais menaçée.
kruger
Merci pour les infos concernant ce problème, et merci aussi pour la traduction.
Un sacré frisson à la lecture de ce passage :
J'ai failli tomber de ma chaise ! :-PDans le cadre de nos autres analyses, nous avons réalisé de nombreux contrôles des paquetages Fedora et un ensemble significatif de contrôles à la source; nous avons découvert des anomalies/défauts qui indiqueraient des pertes d'intégrité de paquetages. Ces efforts pas débouché sur la découverte de vulnérabilités au sein des paquetages fournis par Fedora.
Sur la version originale (merci de l'avoir indiquée 🙂) :
Soulagement !...and have found no discrepancies that would indicate any loss of package integrity
Vivement les futures mises à jour afin que l'intégrité des paquetages ne soient effectivement jamais menaçée.
kruger
Traduction effectivement un peu précipitée! Il faut lire: "Dans le cadre de nos autres analyses, nous avons réalisé de nombreux contrôles des paquetages Fedora et un ensemble significatif de contrôles à la source; nous n'avons découvert aucune anomalie/défaut qui indiquerait des pertes d'intégrité de paquetages. Ces efforts n'ont pas débouché sur la découverte d'autres vulnérabilités au sein des paquetages fournis par Fedora."
Voilà, c'est nettement moins confus et infiniment plus juste!
Le post d'origine est corrigé. Merci des efforts de relecture de chacun...
Voilà, c'est nettement moins confus et infiniment plus juste!
Le post d'origine est corrigé. Merci des efforts de relecture de chacun...
Merci pour les infos et le boulot de traduction herrib.
epo
epo
Salut tlm,
C'est vrais que ce genre "d'incident" fait froid dans le dos, mais perso je vois la chose comme suit :
Imaginez, un paquet (mais juste un suffit) modifié avec un code malicieux que des millions d'utilisateurs téléchargent et installent en toute confiance (ce qui est légitime d'ailleurs) et pouf...le (ou les) gars a à sa disposition des milliers de machines (desktop, serveurs, proxy...) et de là...bonjours les dégats.
Et pour pousser la paranoïa un peu plus loin 🙂 le gars super vexé du mal qu'on dit sur micro$oft pourra se venger et enfin prouver que même les GNU/Linux ne sont pas aussi parfait que ça...:hammer:
mais bon, les ignorants sont bénis, non ?
@+
C'est vrais que ce genre "d'incident" fait froid dans le dos, mais perso je vois la chose comme suit :
Imaginez, un paquet (mais juste un suffit) modifié avec un code malicieux que des millions d'utilisateurs téléchargent et installent en toute confiance (ce qui est légitime d'ailleurs) et pouf...le (ou les) gars a à sa disposition des milliers de machines (desktop, serveurs, proxy...) et de là...bonjours les dégats.
Et pour pousser la paranoïa un peu plus loin 🙂 le gars super vexé du mal qu'on dit sur micro$oft pourra se venger et enfin prouver que même les GNU/Linux ne sont pas aussi parfait que ça...:hammer:
mais bon, les ignorants sont bénis, non ?
@+
WOW! Ca fait peur!
Maintenant j'aimerai savoir pourquoi ce type d'individus fait ce genre d'acte, il n'y pas de quoi etre fier surtout sur ce genre de serveur.
>IL s'est lever un matin (oui je sais ils ne dorment pas) et a dis "j'aime pas red hat"?
>Un employé lui à dis qu'il etait bon à rien?
>Pour le plaisir d'enmerder le monde?
>Le chien du voisin la mordu (oui ils ne sortent pas), et il a remarqué qu'il(le chien) avait une casquette fedora?
Ca veux dire que si quelq'un utilise mon IP MAC ... a des fins malhonnete est ce que je peux me retrouver derrieres les barreaux ...? :-?Il peut même s'agit de l'adresse IP que brasero utilise actuellement, par un rebond masqué sur son système.
Apparement non, ils ne sont pas parvu à leur fin.Je pense que ceux qui ont attaqué les serveurs doivent etre,il faut le reconnaitre des gros boss en hacking,donc ils ont du prendre leur précaution....
Maintenant j'aimerai savoir pourquoi ce type d'individus fait ce genre d'acte, il n'y pas de quoi etre fier surtout sur ce genre de serveur.
>IL s'est lever un matin (oui je sais ils ne dorment pas) et a dis "j'aime pas red hat"?
>Un employé lui à dis qu'il etait bon à rien?
>Pour le plaisir d'enmerder le monde?
>Le chien du voisin la mordu (oui ils ne sortent pas), et il a remarqué qu'il(le chien) avait une casquette fedora?
:hammer:brasero wrote:...
>Le chien du voisin la mordu (oui ils ne sortent pas), et il a remarqué qu'il(le chien) avait une casquette fedora?
J'aimerai bien voir ça...:hammer:
C'est vrai des paquetages rpm comme des tarballs. Rien ne garantit a priori que le code qu'ils comprennent est exempt de bugs, de parties malicieuses etc ... L'installation d'un rpm se réalise avec les droits root en particulier -comme l'essentiel des tarballs- et l'installation peut corrompre certains programmes (par exemple ls ... commande bien fréquemment utilisée).
La garantie a priori réside dans:
* la signature du paquetage qui permet de prouver que ce dernier a bien été réalisé par telle entité et n'est pas altéré. La signature, pour simplifier, est une fonction tenant compte de la clé privée de celui qui édite le paquetage et du paquetage lui-même -les octets qu'il contient-. Vérifier la signature, ce que rpm / yum font, consiste à exécuter une fonction qui à partir de la signature, du paquetage et de la clé publique correspondant à la clé privé, vérifie que la signature est bien conforme;
* les programmes compris dans le paquetage et le script d'installation.
Le premier point repose sur la confiance que l'on peut accorder à tel ou tel producteur de paquetage; le second point suppose la vigilance de chacun et la relecture du code réalisée par quelques uns.
Rien ne garantit rien. Mais le niveau de sureté est appuyé sur la cohésion et la probité des Linuxiens, développeurs (qui traitent le code), producteurs de paquetages (qui composent leurs paquetages à partir de programmes éprouvés et les certifient en les signant), hébergeurs qui protègent leurs serveurs, utilisateurs qui rapportent les bugs et anomalies de comportement.
Bref, cela reste fragile.
Il reste quelques précautions élémentaires à prendre:
* au préalable, choisir un mot de passe "solide" (non tiré d'un dictionnaire par exemple) pour son compte root et son compte utilisateur (pas le même mot de passe!);
* activer uniquement les services nécessaires au système (ne pas laisser traîner ssh ou ftp par exemple);
* utiliser les dépôts "sûrs": Fedora, Livna, remi ...
* vérifier la signature des paquetages et ne pas installer n'importe quoi n'importe comment,
* activer le firewall et SELinux sur son système,
* travailler en utilisateur et non en root,
* rapporter toutes les anomalies de comportement d'un programme,
* s'informer régulièrement des corrections de bugs et mettre à jour son système en utilisant des dépôts "sûrs".
La garantie a priori réside dans:
* la signature du paquetage qui permet de prouver que ce dernier a bien été réalisé par telle entité et n'est pas altéré. La signature, pour simplifier, est une fonction tenant compte de la clé privée de celui qui édite le paquetage et du paquetage lui-même -les octets qu'il contient-. Vérifier la signature, ce que rpm / yum font, consiste à exécuter une fonction qui à partir de la signature, du paquetage et de la clé publique correspondant à la clé privé, vérifie que la signature est bien conforme;
* les programmes compris dans le paquetage et le script d'installation.
Le premier point repose sur la confiance que l'on peut accorder à tel ou tel producteur de paquetage; le second point suppose la vigilance de chacun et la relecture du code réalisée par quelques uns.
Rien ne garantit rien. Mais le niveau de sureté est appuyé sur la cohésion et la probité des Linuxiens, développeurs (qui traitent le code), producteurs de paquetages (qui composent leurs paquetages à partir de programmes éprouvés et les certifient en les signant), hébergeurs qui protègent leurs serveurs, utilisateurs qui rapportent les bugs et anomalies de comportement.
Bref, cela reste fragile.
Il reste quelques précautions élémentaires à prendre:
* au préalable, choisir un mot de passe "solide" (non tiré d'un dictionnaire par exemple) pour son compte root et son compte utilisateur (pas le même mot de passe!);
* activer uniquement les services nécessaires au système (ne pas laisser traîner ssh ou ftp par exemple);
* utiliser les dépôts "sûrs": Fedora, Livna, remi ...
* vérifier la signature des paquetages et ne pas installer n'importe quoi n'importe comment,
* activer le firewall et SELinux sur son système,
* travailler en utilisateur et non en root,
* rapporter toutes les anomalies de comportement d'un programme,
* s'informer régulièrement des corrections de bugs et mettre à jour son système en utilisant des dépôts "sûrs".
Merci pour ces explications Herrib.herrib wrote:C'est vrai des paquetages rpm comme des tarballs. Rien ne garantit a priori que le code qu'ils comprennent est exempt de bugs, de parties malicieuses etc ... L'installation d'un rpm se réalise avec les droits root en particulier -comme l'essentiel des tarballs- et l'installation peut corrompre certains programmes (par exemple ls ... commande bien fréquemment utilisée).
La garantie a priori réside dans:
* la signature du paquetage qui permet de prouver que ce dernier a bien été réalisé par telle entité et n'est pas altéré. La signature, pour simplifier, est une fonction tenant compte de la clé privée de celui qui édite le paquetage et du paquetage lui-même -les octets qu'il contient-. Vérifier la signature, ce que rpm / yum font, consiste à exécuter une fonction qui à partir de la signature, du paquetage et de la clé publique correspondant à la clé privé, vérifie que la signature est bien conforme;
* les programmes compris dans le paquetage et le script d'installation.
Le premier point repose sur la confiance que l'on peut accorder à tel ou tel producteur de paquetage; le second point suppose la vigilance de chacun et la relecture du code réalisée par quelques uns.
Rien ne garantit rien. Mais le niveau de sureté est appuyé sur la cohésion et la probité des Linuxiens, développeurs (qui traitent le code), producteurs de paquetages (qui composent leurs paquetages à partir de programmes éprouvés et les certifient en les signant), hébergeurs qui protègent leurs serveurs, utilisateurs qui rapportent les bugs et anomalies de comportement.
Bref, cela reste fragile.
Néanmoins, le but de l'intrusion (si j'ai bien compris) était de s"emparer de la passephrase qui sert justement à générer les clés privées/publiques. Donc, si le gars avait pû s'en emparer, il aurait très bien pû aussi en profiter pour injecter un code dans un paquetage et le re-signer pour qu'il (le paquetage) paraisse "propre" et d'origine.
@+
- Modifié
Merci Herrib pour la traduction 😉
Quand tu dis :
Autre question : peut-on parler de virus dans ce cas-là ?
Quand tu dis :
Après ces intrusions, je me repose la question suivante : SELinux est-il vraiment nécessaire pour un poste bureautique/familial ?* activer le firewall et SELinux sur son système,
Autre question : peut-on parler de virus dans ce cas-là ?
Après la mise à jour rien d'anormal :-p
- Modifié
J'ai pas réussie a installer Fedora 8 a cause des mises a jours de NetworkManager (au nombre de ). Bon je suis passé sur Ubuntu mais ma Fedora me manque.
Sinon c'est pitoyable car je voit aucun interet, des fanboy Ubuntu qui croivent que la victoire final est proche ?
* Dois-je faire le pas vers la 9, reprendre la 8 ou attendre la 10. C'esty pas qu'ubuntu n'est pas bien, mais Fedora est ma distribution de coeur et je prefere aidé cette distribution plutôt que celle de Caronical. (J'ai une carte nvidia et d'aprés les dires que j'avait lue a la sortie de f9, j'avait prit la décision d'attendre un peu.) Si ce messsage gene, j'éditerai et je créerait un nouveau topic, mais je pense que juste un petit ps sera mieux que créer un topic Troll.
** Merci Tiny-fedora, j'utilise la derniere version des pilotes de Nvidia, ca dois etre bon. J'espere bientôt vopus retrouver dans la rubrique erreur. Je rigole bien sure. Sinon vous pourez m'expliquer ou me diriger vers un lien pour rédiger une documentation. Je voudrait rajouter une doc pour installer un scanner et une webcam eyetoy. Le passage du site sur ez est une bonne idée car avec une forum punbb + un médiawiki et un ez ca fait beaucoup. J'ai jamais réussi a utiliser ce cms, je fait confiance a l'admin pour faire quelque chose de beau et je le felicite de son effort.
[MODO] OUI OUVRE UN AUTRE FIL.
Je ne vois pas le rapport entre tes difficultés d'installation et les déboirs des serveurs de fedora/RH.
Merci aux autres de faire également preuve d'un peu de discipline et de ne pas répondre à ce genre de post HS.
Sinon c'est pitoyable car je voit aucun interet, des fanboy Ubuntu qui croivent que la victoire final est proche ?
* Dois-je faire le pas vers la 9, reprendre la 8 ou attendre la 10. C'esty pas qu'ubuntu n'est pas bien, mais Fedora est ma distribution de coeur et je prefere aidé cette distribution plutôt que celle de Caronical. (J'ai une carte nvidia et d'aprés les dires que j'avait lue a la sortie de f9, j'avait prit la décision d'attendre un peu.) Si ce messsage gene, j'éditerai et je créerait un nouveau topic, mais je pense que juste un petit ps sera mieux que créer un topic Troll.
** Merci Tiny-fedora, j'utilise la derniere version des pilotes de Nvidia, ca dois etre bon. J'espere bientôt vopus retrouver dans la rubrique erreur. Je rigole bien sure. Sinon vous pourez m'expliquer ou me diriger vers un lien pour rédiger une documentation. Je voudrait rajouter une doc pour installer un scanner et une webcam eyetoy. Le passage du site sur ez est une bonne idée car avec une forum punbb + un médiawiki et un ez ca fait beaucoup. J'ai jamais réussi a utiliser ce cms, je fait confiance a l'admin pour faire quelque chose de beau et je le felicite de son effort.
[MODO] OUI OUVRE UN AUTRE FIL.
Je ne vois pas le rapport entre tes difficultés d'installation et les déboirs des serveurs de fedora/RH.
Merci aux autres de faire également preuve d'un peu de discipline et de ne pas répondre à ce genre de post HS.
- Modifié
Si ta carte nvidia est une geforce 5 ou au dela, c'est bon 😉 (fedora 9)
http://doc.fedora-fr.org/wiki/Carte_graphique_NVIDIA_:_installation_des_pilotes
http://doc.fedora-fr.org/wiki/Carte_graphique_NVIDIA_:_installation_des_pilotes
la vache trop fort la communautée de fedora , les méchants n on même pas eu le tempt de faire grand chose !
Je suis bien heureux d être sous fedora :-D
Je suis bien heureux d être sous fedora :-D
On ne connaît pas le but de l'intrusion et on ne peut donc préjuger de ce que les intrus cherchaient ... Les paquetages étant gérés apparemment sur l'un des système compromis, l'enquête a évalué le risque de corruption de ces paquetages. Le reste est dans le communiqué (la passphrase n'était pas sur le serveur et dès lors, la signature n'a pas pu être utilisée de façon abusive).keitazor wrote:Néanmoins, le but de l'intrusion (si j'ai bien compris) était de s"emparer de la passephrase qui sert justement à générer les clés privées/publiques. Donc, si le gars avait pû s'en emparer, il aurait très bien pû aussi en profiter pour injecter un code dans un paquetage et le re-signer pour qu'il (le paquetage) paraisse "propre" et d'origine
C'est ridicule et déplacé. Je rappelle que ce forum a pour règle de base le respect de tous et des marques. Par ailleurs, ce type de post n'apporte absolument rien à un sujet qui devrait être traité avec gravité: la sécurité des systèmes et notamment du système de gestion des paquetages.Herbivor wrote:Ça fait plaisir cette annonce :-D:lol:Tiny-Fedora wrote:@ ramon.dekker: Des employés de microsoft :hammer: :lol:
Je préférerais donc des contributions pertinentes pour aider la communauté plutôt que des railleries ne conduisant à rien si ce n'est à créer l'impression que les Fedoristes sont une secte.
SELinux apporte un contrôle supplémentaire dans la gestion des ressources d'un système, en sus des règles s'appuyant sur les droits sur les fichiers. C'est un complément utile qui peut prévenir un comportement anormal d'un programme, ce dernier tentant d'accéder à des ressources qui ne lui sont ouvertes même s'il présente les droits root.Did wrote:Quand tu dis :Après ces intrusions, je me repose la question suivante : SELinux est-il vraiment nécessaire pour un poste bureautique/familial ? Autre question : peut-on parler de virus dans ce cas-là ?* activer le firewall et SELinux sur son système,
SELinux est donc, avec un parefeu bien réglé et une gestion efficace des services (n'activer que les services strictement nécessaires; par exemple, ftp n'est pas utile sur un poste de travail, ssh se discute ...).
Peut-on parler de virus? Bof ... Un virus est communément regardé comme un programme qui est conçu pour altérer un système à l'insu de son utilisateur (des programmes qui plantent sans volonté de leurs créateurs ne sont pas réellement des virus même s'ils peuvent avoir des effets catastrophiques) et se réplique. Ici on a affaire à une intrusion dans des systèmes dont certains gèrent les paquetages que nous utilisons. Le risque serait d'altérer ces paquetages; le système yum ferait le reste ...
Bonjour,
Je débute sur fedora9 que j'ai installé sur mon ordinateur la semaine derniere, j'ai donc téléchargé le DVD iso le lundi 11 aout pour l'installer le week end qui a suivit, et je me demande si mon iso est corrompu ou pas... qu'en pensez vous ? dois-je désinstaller ce fedora et attendre la fin de la maintenance pour le re-télécharger ? ou est ce bon ?
je vous remercie d'avance
bonne journée
Je débute sur fedora9 que j'ai installé sur mon ordinateur la semaine derniere, j'ai donc téléchargé le DVD iso le lundi 11 aout pour l'installer le week end qui a suivit, et je me demande si mon iso est corrompu ou pas... qu'en pensez vous ? dois-je désinstaller ce fedora et attendre la fin de la maintenance pour le re-télécharger ? ou est ce bon ?
je vous remercie d'avance
bonne journée