BlackHat attacks RedHat

Après la faille de sécurtié dans Debian, c’est au tour d’un autre grand géant de Linux ! Le 22 Août était un très mauvais jour pour Fedora et RedHat. Ils ont subi une intrusion et ils ne savent pas exactement où est le problème … ou ne disent pas encore où est la faille.

Voici deux liens qui en parlent :

• http://linuxfr.org/~patrick_g/27082.html
• http://linux.slashdot.org/article.pl?sid=08/08/22/1341247
• et l’avis CERTA http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-428/index.html

Le premier donne un récapitulatif des faits et le second est juste une alerte avec quelques liens vers le site de RedHat où on dit qu’il y a effectivement un problème.

Pour l’instant, RedHat a fait deux actions :

1. Faire un script openssh-blacklist-1.0.sh qui permet de détecter les paquets défaillants. L’intrus aurait signé sur les serveurs compromis des paquets d’OpenSSH. Le script a donc la liste des signatures des paquets compromis et regarde si l’un des paquets est sur votre système.
2. Mettre à jour les paquets d’OpenSSH (en corrigeant au passage un vieux bug concernant un cookie X11 non sécurisé, mais rien à voir avec l’histoire).

Pour l’instant, RedHat ne sait donc pas (d’après les éléments publiés) où est exactement la faille exploitée par l’intrus ! Elle a donc juste mis à jour les versions des paquets OpenSSH en croisant les doigts et en priant pour que la faille en question ne soit pas dans la nouvelle version uploadée.

C’est assez grave … vaut mieux mettre à jour son système, même si le correctif actuel est assez ridicule (à mon avis), mieux vaut ne pas tenter le diable :p

J’espère qu’on aura dans un futur proche le fin mot de cette histoire.

[1] http://www.redhat.com/security/data/openssh-blacklist.html

[1] http://www.infoworld.com/article/08/06/19/Red_Hat_Summit_panel_Who_won_OOXML_battle_1.html

Si Linux vous effraie toujours et que vous vous dîtes que c’est difficile à maîtriser pour vous, alors je vous recommande d’aller assister à Install Party (une manifestation qui conciste à accueillir des gens et leur expliquer et montrer comment marche Linux ; et surtout, apprendre à l’installer !). Pour connaître les prochaines Install Party près de chez vous, vous pouvez consulter :

• Agenda du Libre TuNisien
• Agenda du Libre, qui est l’agenda des évènements du Logiciel Libre en France

Notez aussi qu’avec la dernière version d’Ubuntu (la version Hardy Heron 8.04), on peut installer Ubuntu directement sous Windows et le désinstaller exactement comme une application normale. Vous pourrez ainsi tester aisément Linux sans vous poser de questions à propos du partitionnement des disques, etc … Pour ce faire, visitez ces liens qui parlent de Wubi (l’installeur Windows de Linux) :

• http://wubi-installer.org/, le site officiel
• http://doc.ubuntu-fr.org:81/wubi, un article très complet sur comment installer, qu’est ce qu’il faut faire, et comment s’en sortir
• http://fr.wikipedia.org/wiki/Wubi_(Ubuntu), la page Wikipedia de Wubi.

Pour plus de détails sur ce bug, vous pouvez consulter l’annonce de sécurité faite par Debian : http://lists.debian.org/debian-security-announce/2008/msg00152.html. Profitez-en pour télécharger le programme dowkd.pl pour vérifier si vous avez des clés faibles sur votre système.

Mieux vaut donc mettre à jour votre système avec les nouveaux paquets corrigés et tous les programmes qui en dépendent (comme openssh-server, openvpn). Il est important de noter que cette faille affecte toutes les autres distributions basées sur Debian (etch/lenny/sid), même Ubuntu (Toutes les versions à partir de la 7.04). N’oubliez surtout pas donc vos clés SSH (RSA/DSA), votre fichier ~/.ssh/authorized_keys, les clés de votre serveur SSH, vos certificats, etc …

Beaucoup de gens semblent vraiment en vouloir au mainteneur du paquet d’OpenSSL. Julien BLACHE veut carrément une nouvelle équipe pour ce paquet critique. Mais, avant de prendre de telles décisions, il faut remarquer qu’il y avait un bug #332498 RFH (Request For Help). Les mainteneurs avaient clairement besoin d’aide et personne (ou presque) ne s’est proposé pour les aider. Donc à qui la faute finalement ? Je ne pense pas que le mainteneur soit le seul fautif. En fait, sa seule faute, (d’après moi), c’est de ne pas avoir montré le patch qu’il avait fait à l’équipe d’OpenSSL. Je pense qu’ils auraient vu le problème et auraient averti le mainteneur.

On verra bien comment cette histoire va évoluer au sein du projet Debian. J’espère qu’il en ressortira du bien …

Update: Le patch proposé par le mainteneur a bien été discuté sur la liste de développement OpenSSL-dev. Et l’équipe d’OpenSSL n’avait pas trouvé quelques chose de louche dans le code modifié. L’équipe OpenSSL de Debian n’a donc rien à se reprocher. Le lien : http://marc.info/?l=openssl-dev&m=114651085826293&w=2

Update 2 : Décidément, cette histoire ne va pas finir. En fait, le développeur Debian aurait bien discuté la modification avec les développeurs de OpenSSL (comme vous le montre le lien dans le premier Update). Mais, il a fait la même modification à d’autres endroits du code où ca crée un problème.

Update 3 : Quelques explications sont sur cette page SSLKeys. Et les patch intéressants : patch contenant le bug et patch correcteur. Notez que le patch correcteur date du 7 mai, soit 5 jours avant l’annonce du bug !

1. Retieve the source package (orig, diff and dsc) :
   dget -x http://archive.ubuntu.com/ubuntu/pool/universe/g/gnome-do/gnome-do_0.4.0.1-0ubuntu2.dsc
2. Build the package :
   sudo cowbuilder --build gnome-do_0.4.0.1-0ubuntu2.dsc --buildresult /var/cache/pbuilder/result/lenny/gnome-do/ --basepath /var/cache/pbuilder/cows/lenny/
   (Do not trust me any time I say that’s simple First, you have to get cowbuilder installed and configured. /var/cache/pbuilder/cows/lenny/ is where I have my lenny cow image and /var/cache/pbuilder/result/lenny/gnome-do/ is where the produced .deb will be saved.)
3. Final step is to install the package :
   cd /var/cache/pbuilder/result/lenny/gnome-do/
sudo dpkg -i gnome-do_0.4.0.1-0ubuntu2_i386.deb
sudo apt-get -f install
   (The last step is needed because some dependencies of Gnome-do may be not installed.)

Finally, you get Gnome-Do in your Debian system and juste by typing <super>-space, you will get :

For lucky people, if you know where is potassium, you can get to /var/cache/pbuilder/result/lenny/gnome-do/ directly.

http://www.dogguy.org/blog/%year%/%month%/%day%/%post_name%

than

http://www.dogguy.org/blog/index.php?p=%post_id%

Then, I tried to look, using Google, what people have done to avoid this issue. One solution is to redirect every query to this /blog/index.php/%year%/%month%/%day%/%post_name% , but it didn’t work for me. Another one is to use _GET variables. This final solution seems pretty clean … but it didn’t work neither. So I tried to modify it to make it work. It wasn’t difficult and here is the result :


$HTTP["host"] =~ "www.dogguy.org" {
url.rewrite = (
"^/blog/((wp-.+)|images).*/?" => "$0",
"^/blog/(sitemap.xml)" => "$0",
"^/blog/(xmlrpc.php)" => "$0",
"^/blog/page/([0-9]+)/?$" => "/blog/index.php?paged=$1",
"^/blog/([0-9]+)/?$" => "/blog/index.php?m=$1",
"^/blog/([0-9]+)/([0-9]+)/?$" => "/blog/index.php?m=$1$2",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/?$" => "/blog/index.php?m=$1$2$3",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/?$" => "/blog/index.php?name=$4",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/feed/?$" => "/blog/index.php?name=$4&feed=rss2",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/feed/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?name=$4&feed=$5",
"^/blog/([_0-9a-zA-Z-]+)/?$" => "/blog/index.php?page_id=$1",
"^/blog/feed/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?feed=$2",
"^/blog/comments/feed/?$" => "/blog/index.php?feed=comments-rss2",
"^/blog/comments/feed/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?feed=comments-$1",
"^/blog/(.+)/([0-9]+)/[^/]+/?/trackback/?$" => "/blog/index.php?category_name=$1&p=$2&tb=1",
"^/blog/category/(.+)/?$" => "/blog/index.php?category_name=$1",
"^/blog/category/(.+)/feed/?$" => "/blog/index.php?category_name=$1&feed=rss2",
"^/blog/category/(.+)/feed/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?category_name=$1&feed=$2",
)
}


Maybe it isn’t complete enough for you … but it suits my needs completely Any suggestion to enhance this piece of code is welcome.

UPDATE: I forgot trackback ! And I use this occasion to change feeds URLs and other missing things. So here is my new set of rules :


$HTTP["host"] =~ "www.dogguy.org" {
url.rewrite = (
"^/blog/((wp-.+)|images).*/?" => "$0",
"^/blog/(sitemap.xml)" => "$0",
"^/blog/(xmlrpc.php)" => "$0",
"^/blog/page/([0-9]+)/?$" => "/blog/index.php?paged=$1",
"^/blog/([0-9]+)/?$" => "/blog/index.php?m=$1",
"^/blog/([0-9]+)/([0-9]+)/?$" => "/blog/index.php?m=$1$2",
"^/blog/([0-9]+)/([0-9]+)/page/([0-9]+)/?$" => "/blog/index.php?m=$1$2&paged=$3",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/?$" => "/blog/index.php?m=$1$2$3",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/?$" => "/blog/index.php?year=$1&monthnum=$2&day=$3&name=$4",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/trackback/?$" => "/blog/wp-trackback.php?year=$1&monthnum=$2&day=$3&name=$4",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?year=$1&monthnum=$2&day=$3&name=$4&feed=$5",
"^/blog/([_0-9a-zA-Z-]+)/?$" => "/blog/index.php?page_id=$1",
"^/blog/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?feed=$2",
"^/blog/comments/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?feed=comments-$1",
"^/blog/(.+)/([0-9]+)/[^/]+/?/trackback/?$" => "/blog/index.php?category_name=$1&p=$2&tb=1",
"^/blog/category/(.+)/page/([0-9]+)/?$" => "/blog/index.php?category_name=$1&paged=$2",
"^/blog/category/(.+)/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?category_name=$1&feed=$2",
"^/blog/category/(.+)/?$" => "/blog/index.php?category_name=$1",
)
}


Microsoft dit que Linux viole environ 235 brevets déposés par Microsoft. Le seul problème dans ce que dit M$ c’est que rien n’a été prouvé ! La communauté du libre a ouvert un site il y a quelques temps Show Us The Code pour inciter Microsoft à montrer leur code et démontrer ainsi au monde entier qu’ils ont raison mais rien n’a été fait. Ils ne veulent pas montrer leur code, même de petits bouts pour comparer ! Peut être que ce sont eux qui violent des licences en mettant du code sous licence libre dans leur code sans le redistribuer.

En attendant, j’espère que Microsoft va se calmer un peu sur ces accords avec presque tout le monde … Ils ont réussi cependant à faire signer : Novell, Linspire, Xandros et LG. Ils doivent comprendre que ce n’est pas si facile que ca de convertir des geeks en puissance !

C’est aussi une excellente occasion pour moi de voir comment évoluent différentes technologies et dans quel sens, quelles stratégies employées par Microsoft dans le domaine du Web, et les nouveaux projets développés par les partenaires qui ont souvent des idées originales.

Ils ont surtout parlé de Silverlight et .Net mais on connaissait déjà ce qu’il pouvaient faire avec cela grâce à la dénière conférence de presse sur Silverlight. Les vraies nouveautés, selon moi, sont : Popfly et Moonlight.

Popfly est le concurrent de Yahoo Pipes. C’est en fait (même si ce n’est pas évident de le voir comme cela) un aggrégateur et manipulateur de feeds interactif. Plus concrètement, vous disposez de plusieurs briques (mashups, gadgets) dans popfly ; chacun d’eux a une fonctionnalités particulière (récupérer un flux rss, récupérer des coordonnées géographiques, placer des coordonnées, mettre une liste d’éléments sur une animation). Ces briques vous permettent de construire de petits outils. Une brique se présente en 3D, vous mettez à côté une autre brique et vous pouvez les connecter et les mettre en relation. Ainsi, récupérer une brique pour lire un rss sur un site et une autre brique qui retrouve des coordonnées géographiques et lier le tout avec une brique qui interagit avec Earthmap. Imaginons que le RSS en question contient des articles qui parlent d’endroits sympathiques dans le monde alors le résultats sera une carte du monde avec des pushpins et chacun des pushpin représentera un article du RSS ; et en cliquant sur un pushpin, vous aurez l’article avec l’image dans une bulle. Après, vous pouvez inclure cet outil sur votre site. L’outil est fait spécialement pour que tout le monde puisse s’en servir sans avoir aucune connaissance en informatique. Avec juste un peu de logique (pour lier les briques), vous arriverez à faire des outils originaux en très peu de temps. Je vous conseille tout de même de regarder Yahoo! Pipes aussi, qui fait la même chose. Popfly n’est pas encore à sa version finale !

Passons maintenant pour la deuxième nouveauté : Moonlight ! Je ne sais pas comment aborder cette partie parce qu’elle est très excitante. En gros, Microsoft a fait Silverlight (une espèce de concurrent de Flash et Flex) en .NET et dit que c’est multi-platforme alors que ca ne gère que Windows et MacOS. S’ils veulent que leur truc marche partout, alors il faudra bien évidemment faire une version pour Linux qui représente une part de marché des ordinateurs de bureaux de plus en plus grande ! Mais têtus et fermés comme ils sont, ils ne le feront jamais, même sous la menace.

Miguel De Icaza désormais connu comme leader du groupe de développement de Mono (une implémentation libre sous GPL de .NET) a eu l’idée d’implémenter Silverlight en Mono … d’où le projet Moonlight

Mais le détail de la chose qui rend cette histoire complètement folle, c’est qu’il est venu au MIX pour présenter Moonlight … alors que le développement de ce truc a été lancé le 31 mai !!! En gros, en 21 jours, son équipe a pu coder partant de zéro ce projet ! Quand il a fait la démo, la salle était toute silencieuse. Les ingénieurs de Microsoft étaient applaudis après chaque démonstration, mais timidement. Mais quand Miguel a fini ses démos, il y a eu un blanc (les gens étaient en train de se dire sûrement : “Putain ! Putain ! Putain ! C’est des extraterrestres ces gens”) et puis des applaudissements à faire crever des tampons Vous pouvez d’ailleurs sur son blog où il raconte l’histoire de Moonlight, les étapes du développements, etc … Si vous êtes intéressés par faire l’impossible en 21 jours, vous savez maintenant que c’est possible et où lire comment faire

Et pour faire de cette journée une journée parfaite, j’ai réussis à approcher Miguel avec un ami. Miguel a été très sympathique, on a pu discuter avec lui quelques minutes … En ce moment, il est en train d’apprendre l’arabe J’en ai d’ailleurs profité pour l’aider à mieux prononcer Il a d’ailleurs commencé à rajouter la possibilité d’écrire en arabe dans Moonlight, mais ce n’est pas encore au point. Et j’ai pu avoir une photo avec lui

Ne soyez pas jaloux, vous aurez aussi l’occasion de le voir un jour … ou pouvez faire une photo avec moi sinon et par relation de transitivité, c’est comme si vous étiez avec lui sur la photo … OK c’est pas drôle … mais je suis super content de la photo

La réponse a été étudiée par un bloggeur et le résumé (traduction et adaptation) de ce qu’il a pu trouver est là :

1. Mettre à jour chaque programme sur l’ordinateur avec une seule opération ! En effet, la mise à jour de Windows ne concerne que le système et non pas les logiciels installés. Si on prends par exemple une distribution Linux telle que Ubuntu, alors un programme Gestionnaire des mises à jour vous permet de mettre à jour le système et tous les programmes installés sur votre ordinateur. De plus, vous pourrez utiliser ce même programme pour passer à la version supérieure de votre système. Le gestionnaire de mise à jour vous avertit aussi lorsque des mises à jours sont disponibles.
2. Mettre à jour presque tout sur l’ordinateur sans redémarrer l’ordinateur ! Sous windows, la régle est généralement simple. Si vous installez quelque chose qui a un rapport quelconque avec le système, alors vous serez obligé de redémarrer votre système. Sous Linux, la seule chose qui vous oblige à redémarrer est la mise à jour du noyau. Et même dans ce cas là, vous pourrez continuer à utiliser votre système normalement.
3. Garder mon système sécurisé sans ajouter aucun programme qui consomme mon espace disque et les ressources systèmes ! Si on veut protéger son ordinateur sous Windows, on est obligé d’installer un antivirus, un programme anti-pubs et un firewall … au minimum. Tous ces logiciels requièrent des ressources pour effectuer leur tâches programmées, leur mises à jour, de l’espace disque pour les installer et une licence pour les utiliser (oui je sais … ce n’est pas un problème ) ! Tout cela ralenti votre système et votre connexion internet. Sous linux, il y a bien entendu des équivalents à ses programmes mais honnêtement, vous n’en aurez pas besoin Car pas de virus sous Linux, pas de navigateur trufé de bugs, et pas trous de sécurité de partout.
4. Exécuter tout un système d’exploitation avec beaucoup de programmes très riches sans payer aucune licence, entièrement gratuitement et sans pirater aucun logiciel. Plus de besoin de cracks, de numéros de séries ou de CDs piratés. Tout est gratuit ! Vous respectez ainsi la loi. Vous pourrez dormir tranquillement la nuit. Rappel: les lois numériques vont bientôt changer en Tunisie et on va commencer à les appliquer. Prochainement, les logiciels piratés seront plus difficiles à se procurer et les boutiques de gravures disparaîtront.
5. Prendre les configurations des programmes là où je vais ! En effet, sous Linux, les programmes enregistrent leurs paramètres sur votre dossier de documents (un équivalent de “Mes documents” par exemple). Il vous suffira donc de copier ces dossiers d’un ordinateur à un autre pour avoir votre bureau avec les mêmes paramètres, même apparence, etc … De plus, vous pourrez faire ceci avec tous les programmes que vous installez. Mettez ces dossiers sur un clé USB, et là où vous allez copiez-les et retrouvez votre chez vous Exemple : Un équivalent à MSN sous Windows est Gaim sous Linux mais Gaim (maintenant appelé Pidgin) gère plus de protocoles. Les paramètres de Gaim seront stockés dans /home/mehdi/.gaim où “/home” est le nom de la partition des documents, “mehdi” est le nom d’utilisateur que j’utilise et “/home/mehdi” est le nom de dossier de mes documents.
6. Utiliser Internet Explorer 5, 5.5, 6 et 7 sur le même ordinateur et la même session ! Pour ce faire, un projet nommé IEs4Linux vous permet d’installer les versions que vous voulez d’IE sur votre système de façon très simple. Ceci est très utile pour un développeur web pour tester la version de son site web sous différents navigateurs. En plus, étant sous Linux, on ne craint plus les failles d’IE, ni les virus.
7. Comprendre tout ce qui se passe sur l’ordinateur avec précisions : Utilisez Windows est comme utiliser une boite noire. Vous ne pourrez jamais comprendre ce qui s’y passe ! Alors que Linux est open-source ! Généralement, en cherchant sur internet une erreur, on tombe sur une page qui l’explique ou propose une solution au problème. Vous pourrez aussi voir le code source de chaque programme que vous utilisez, ce qui vous permettra de devenir expert et proposer des corrections ou des améliorations.
8. Personnaliser chaque aspect de votre bureau : Sous Windows, à part les thèmes par défaut proposés, on peut installer des programmes qui peuvent changer l’interface générale ou acheter des extras de Microsoft. Sous Linux, vous n’aurez pas à faire cela ! Votre contrôlez votre session, et pas l’inverse ! Un petit aperçu des choses que vous pourrez faire est présenté dans l’article qui par des effets graphiques sous Linux. Mais il y a tant d’autres choses aussi que vous pourrez personnaliser.
9. Bénéficier des compétitions entre les différents projets : Généralement, il y a plusieurs programmes libres qui font la même chose (mais différemment). Ces projets sont en compétition et chacun veut avoir le meilleur projet avec les meilleures fonctionnalités. En tant qu’utilisateur, vous allez être le premier à en bénéficier car les fonctionnalités rajoutés et les bugs corrigés vous permettront d’être plus efficace ou plus créatif ou … Dans le monde des logiciels fermés, on ne trouve pas beaucoup de programmes qui font la même chose. Par exemple, il n’y a pas beaucoup de suites bureautiques et c’est “Microsoft Office” généralement qui est utilisé. Les développeurs de ce projet n’auront donc pas beaucoup de pressions ou d’ambition à améliorer leur projet à part l’argent. Alors que sous Linux, on veut égaler (si ce n’est pas le cas) le logiciel propriétaire, le dépasser et être le meilleur parmi les logiciels libres ! Ceci influence tous les projets en partant des programmes critiques du système jusqu’à la petite fonctionnalité qui gère les boutons multimédias.
10. Exécuter des centaines (et plus) de programmes qui n’existent que pour Linux ! On peut en citer beaucoup : Beryl, K3B, Gnumeric, Bluefish, Amarok, MythTV …
11. Apprécier la valeur d’un logiciel libre : Même si vous ne contribuez pas à l’amélioration des logiciels libres, même si vous utilisez des logiciels non-libres, il y aura un équilibre entre les deux parce qu’ils représentent une alternative sérieuse. Vous pourrez aussi participer ou créer votre propre logiciel libre. Vous pourrez apprendre comment on fait telle ou telle chose en regardant directement dans le code source.

Voilà ! J’éspère que ce post sera profitable pour beaucoup d’entre vous ! Dans la version originale, l’auteur parle de son expérience personnelle avec Linux au-delà des différents points évoqués précédemment.

La solution miracle s’appelle IndeView qui veut dire : Independent Presentation Viewer ! Ce petit programme qui s’installe sur n’importe quelle plateforme (Linux, MacOS, Windows). Et permet de génerer, à partir d’une présentation faite avec OpenOffice.org Impress ou KOffice, un CD (compatible avec les 3 plateformes principales bien sûr) sur lequel on aura la présentation et l’application qui permettera de le visionner Voici le concept expliqué en image :

Plus de problèmes de compatibilités, plus besoin de programmes pour visualiser le document … Tout est dans le CD ! Et pour couronner le tout, IndeView est open-source et publié sous licence LGPL.