BlackHat attacks RedHat

Après la faille de sécurtié dans Debian, c’est au tour d’un autre grand géant de Linux ! Le 22 Août était un très mauvais jour pour Fedora et RedHat. Ils ont subi une intrusion et ils ne savent pas exactement où est le problème … ou ne disent pas encore où est la faille.

Voici deux liens qui en parlent :

• http://linuxfr.org/~patrick_g/27082.html
• http://linux.slashdot.org/article.pl?sid=08/08/22/1341247
• et l’avis CERTA http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-428/index.html

Le premier donne un récapitulatif des faits et le second est juste une alerte avec quelques liens vers le site de RedHat où on dit qu’il y a effectivement un problème.

Pour l’instant, RedHat a fait deux actions :

1. Faire un script openssh-blacklist-1.0.sh qui permet de détecter les paquets défaillants. L’intrus aurait signé sur les serveurs compromis des paquets d’OpenSSH. Le script a donc la liste des signatures des paquets compromis et regarde si l’un des paquets est sur votre système.
2. Mettre à jour les paquets d’OpenSSH (en corrigeant au passage un vieux bug concernant un cookie X11 non sécurisé, mais rien à voir avec l’histoire).

Pour l’instant, RedHat ne sait donc pas (d’après les éléments publiés) où est exactement la faille exploitée par l’intrus ! Elle a donc juste mis à jour les versions des paquets OpenSSH en croisant les doigts et en priant pour que la faille en question ne soit pas dans la nouvelle version uploadée.

C’est assez grave … vaut mieux mettre à jour son système, même si le correctif actuel est assez ridicule (à mon avis), mieux vaut ne pas tenter le diable :p

J’espère qu’on aura dans un futur proche le fin mot de cette histoire.

[1] http://www.redhat.com/security/data/openssh-blacklist.html

Pour plus de détails sur ce bug, vous pouvez consulter l’annonce de sécurité faite par Debian : http://lists.debian.org/debian-security-announce/2008/msg00152.html. Profitez-en pour télécharger le programme dowkd.pl pour vérifier si vous avez des clés faibles sur votre système.

Mieux vaut donc mettre à jour votre système avec les nouveaux paquets corrigés et tous les programmes qui en dépendent (comme openssh-server, openvpn). Il est important de noter que cette faille affecte toutes les autres distributions basées sur Debian (etch/lenny/sid), même Ubuntu (Toutes les versions à partir de la 7.04). N’oubliez surtout pas donc vos clés SSH (RSA/DSA), votre fichier ~/.ssh/authorized_keys, les clés de votre serveur SSH, vos certificats, etc …

Beaucoup de gens semblent vraiment en vouloir au mainteneur du paquet d’OpenSSL. Julien BLACHE veut carrément une nouvelle équipe pour ce paquet critique. Mais, avant de prendre de telles décisions, il faut remarquer qu’il y avait un bug #332498 RFH (Request For Help). Les mainteneurs avaient clairement besoin d’aide et personne (ou presque) ne s’est proposé pour les aider. Donc à qui la faute finalement ? Je ne pense pas que le mainteneur soit le seul fautif. En fait, sa seule faute, (d’après moi), c’est de ne pas avoir montré le patch qu’il avait fait à l’équipe d’OpenSSL. Je pense qu’ils auraient vu le problème et auraient averti le mainteneur.

On verra bien comment cette histoire va évoluer au sein du projet Debian. J’espère qu’il en ressortira du bien …

Update: Le patch proposé par le mainteneur a bien été discuté sur la liste de développement OpenSSL-dev. Et l’équipe d’OpenSSL n’avait pas trouvé quelques chose de louche dans le code modifié. L’équipe OpenSSL de Debian n’a donc rien à se reprocher. Le lien : http://marc.info/?l=openssl-dev&m=114651085826293&w=2

Update 2 : Décidément, cette histoire ne va pas finir. En fait, le développeur Debian aurait bien discuté la modification avec les développeurs de OpenSSL (comme vous le montre le lien dans le premier Update). Mais, il a fait la même modification à d’autres endroits du code où ca crée un problème.

Update 3 : Quelques explications sont sur cette page SSLKeys. Et les patch intéressants : patch contenant le bug et patch correcteur. Notez que le patch correcteur date du 7 mai, soit 5 jours avant l’annonce du bug !

1. Retieve the source package (orig, diff and dsc) :
   dget -x http://archive.ubuntu.com/ubuntu/pool/universe/g/gnome-do/gnome-do_0.4.0.1-0ubuntu2.dsc
2. Build the package :
   sudo cowbuilder --build gnome-do_0.4.0.1-0ubuntu2.dsc --buildresult /var/cache/pbuilder/result/lenny/gnome-do/ --basepath /var/cache/pbuilder/cows/lenny/
   (Do not trust me any time I say that’s simple First, you have to get cowbuilder installed and configured. /var/cache/pbuilder/cows/lenny/ is where I have my lenny cow image and /var/cache/pbuilder/result/lenny/gnome-do/ is where the produced .deb will be saved.)
3. Final step is to install the package :
   cd /var/cache/pbuilder/result/lenny/gnome-do/
sudo dpkg -i gnome-do_0.4.0.1-0ubuntu2_i386.deb
sudo apt-get -f install
   (The last step is needed because some dependencies of Gnome-do may be not installed.)

Finally, you get Gnome-Do in your Debian system and juste by typing <super>-space, you will get :

For lucky people, if you know where is potassium, you can get to /var/cache/pbuilder/result/lenny/gnome-do/ directly.

http://www.dogguy.org/blog/%year%/%month%/%day%/%post_name%

than

http://www.dogguy.org/blog/index.php?p=%post_id%

Then, I tried to look, using Google, what people have done to avoid this issue. One solution is to redirect every query to this /blog/index.php/%year%/%month%/%day%/%post_name% , but it didn’t work for me. Another one is to use _GET variables. This final solution seems pretty clean … but it didn’t work neither. So I tried to modify it to make it work. It wasn’t difficult and here is the result :


$HTTP["host"] =~ "www.dogguy.org" {
url.rewrite = (
"^/blog/((wp-.+)|images).*/?" => "$0",
"^/blog/(sitemap.xml)" => "$0",
"^/blog/(xmlrpc.php)" => "$0",
"^/blog/page/([0-9]+)/?$" => "/blog/index.php?paged=$1",
"^/blog/([0-9]+)/?$" => "/blog/index.php?m=$1",
"^/blog/([0-9]+)/([0-9]+)/?$" => "/blog/index.php?m=$1$2",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/?$" => "/blog/index.php?m=$1$2$3",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/?$" => "/blog/index.php?name=$4",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/feed/?$" => "/blog/index.php?name=$4&feed=rss2",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/feed/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?name=$4&feed=$5",
"^/blog/([_0-9a-zA-Z-]+)/?$" => "/blog/index.php?page_id=$1",
"^/blog/feed/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?feed=$2",
"^/blog/comments/feed/?$" => "/blog/index.php?feed=comments-rss2",
"^/blog/comments/feed/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?feed=comments-$1",
"^/blog/(.+)/([0-9]+)/[^/]+/?/trackback/?$" => "/blog/index.php?category_name=$1&p=$2&tb=1",
"^/blog/category/(.+)/?$" => "/blog/index.php?category_name=$1",
"^/blog/category/(.+)/feed/?$" => "/blog/index.php?category_name=$1&feed=rss2",
"^/blog/category/(.+)/feed/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?category_name=$1&feed=$2",
)
}


Maybe it isn’t complete enough for you … but it suits my needs completely Any suggestion to enhance this piece of code is welcome.

UPDATE: I forgot trackback ! And I use this occasion to change feeds URLs and other missing things. So here is my new set of rules :


$HTTP["host"] =~ "www.dogguy.org" {
url.rewrite = (
"^/blog/((wp-.+)|images).*/?" => "$0",
"^/blog/(sitemap.xml)" => "$0",
"^/blog/(xmlrpc.php)" => "$0",
"^/blog/page/([0-9]+)/?$" => "/blog/index.php?paged=$1",
"^/blog/([0-9]+)/?$" => "/blog/index.php?m=$1",
"^/blog/([0-9]+)/([0-9]+)/?$" => "/blog/index.php?m=$1$2",
"^/blog/([0-9]+)/([0-9]+)/page/([0-9]+)/?$" => "/blog/index.php?m=$1$2&paged=$3",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/?$" => "/blog/index.php?m=$1$2$3",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/?$" => "/blog/index.php?year=$1&monthnum=$2&day=$3&name=$4",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/trackback/?$" => "/blog/wp-trackback.php?year=$1&monthnum=$2&day=$3&name=$4",
"^/blog/([0-9]+)/([0-9]+)/([0-9]+)/([_0-9a-zA-Z-]+)/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?year=$1&monthnum=$2&day=$3&name=$4&feed=$5",
"^/blog/([_0-9a-zA-Z-]+)/?$" => "/blog/index.php?page_id=$1",
"^/blog/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?feed=$2",
"^/blog/comments/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?feed=comments-$1",
"^/blog/(.+)/([0-9]+)/[^/]+/?/trackback/?$" => "/blog/index.php?category_name=$1&p=$2&tb=1",
"^/blog/category/(.+)/page/([0-9]+)/?$" => "/blog/index.php?category_name=$1&paged=$2",
"^/blog/category/(.+)/(feed|rdf|rss|rss2|atom)/?$" => "/blog/index.php?category_name=$1&feed=$2",
"^/blog/category/(.+)/?$" => "/blog/index.php?category_name=$1",
)
}


Microsoft dit que Linux viole environ 235 brevets déposés par Microsoft. Le seul problème dans ce que dit M$ c’est que rien n’a été prouvé ! La communauté du libre a ouvert un site il y a quelques temps Show Us The Code pour inciter Microsoft à montrer leur code et démontrer ainsi au monde entier qu’ils ont raison mais rien n’a été fait. Ils ne veulent pas montrer leur code, même de petits bouts pour comparer ! Peut être que ce sont eux qui violent des licences en mettant du code sous licence libre dans leur code sans le redistribuer.

En attendant, j’espère que Microsoft va se calmer un peu sur ces accords avec presque tout le monde … Ils ont réussi cependant à faire signer : Novell, Linspire, Xandros et LG. Ils doivent comprendre que ce n’est pas si facile que ca de convertir des geeks en puissance !

C’est aussi une excellente occasion pour moi de voir comment évoluent différentes technologies et dans quel sens, quelles stratégies employées par Microsoft dans le domaine du Web, et les nouveaux projets développés par les partenaires qui ont souvent des idées originales.

Ils ont surtout parlé de Silverlight et .Net mais on connaissait déjà ce qu’il pouvaient faire avec cela grâce à la dénière conférence de presse sur Silverlight. Les vraies nouveautés, selon moi, sont : Popfly et Moonlight.

Popfly est le concurrent de Yahoo Pipes. C’est en fait (même si ce n’est pas évident de le voir comme cela) un aggrégateur et manipulateur de feeds interactif. Plus concrètement, vous disposez de plusieurs briques (mashups, gadgets) dans popfly ; chacun d’eux a une fonctionnalités particulière (récupérer un flux rss, récupérer des coordonnées géographiques, placer des coordonnées, mettre une liste d’éléments sur une animation). Ces briques vous permettent de construire de petits outils. Une brique se présente en 3D, vous mettez à côté une autre brique et vous pouvez les connecter et les mettre en relation. Ainsi, récupérer une brique pour lire un rss sur un site et une autre brique qui retrouve des coordonnées géographiques et lier le tout avec une brique qui interagit avec Earthmap. Imaginons que le RSS en question contient des articles qui parlent d’endroits sympathiques dans le monde alors le résultats sera une carte du monde avec des pushpins et chacun des pushpin représentera un article du RSS ; et en cliquant sur un pushpin, vous aurez l’article avec l’image dans une bulle. Après, vous pouvez inclure cet outil sur votre site. L’outil est fait spécialement pour que tout le monde puisse s’en servir sans avoir aucune connaissance en informatique. Avec juste un peu de logique (pour lier les briques), vous arriverez à faire des outils originaux en très peu de temps. Je vous conseille tout de même de regarder Yahoo! Pipes aussi, qui fait la même chose. Popfly n’est pas encore à sa version finale !

Passons maintenant pour la deuxième nouveauté : Moonlight ! Je ne sais pas comment aborder cette partie parce qu’elle est très excitante. En gros, Microsoft a fait Silverlight (une espèce de concurrent de Flash et Flex) en .NET et dit que c’est multi-platforme alors que ca ne gère que Windows et MacOS. S’ils veulent que leur truc marche partout, alors il faudra bien évidemment faire une version pour Linux qui représente une part de marché des ordinateurs de bureaux de plus en plus grande ! Mais têtus et fermés comme ils sont, ils ne le feront jamais, même sous la menace.

Miguel De Icaza désormais connu comme leader du groupe de développement de Mono (une implémentation libre sous GPL de .NET) a eu l’idée d’implémenter Silverlight en Mono … d’où le projet Moonlight

Mais le détail de la chose qui rend cette histoire complètement folle, c’est qu’il est venu au MIX pour présenter Moonlight … alors que le développement de ce truc a été lancé le 31 mai !!! En gros, en 21 jours, son équipe a pu coder partant de zéro ce projet ! Quand il a fait la démo, la salle était toute silencieuse. Les ingénieurs de Microsoft étaient applaudis après chaque démonstration, mais timidement. Mais quand Miguel a fini ses démos, il y a eu un blanc (les gens étaient en train de se dire sûrement : “Putain ! Putain ! Putain ! C’est des extraterrestres ces gens”) et puis des applaudissements à faire crever des tampons Vous pouvez d’ailleurs sur son blog où il raconte l’histoire de Moonlight, les étapes du développements, etc … Si vous êtes intéressés par faire l’impossible en 21 jours, vous savez maintenant que c’est possible et où lire comment faire

Et pour faire de cette journée une journée parfaite, j’ai réussis à approcher Miguel avec un ami. Miguel a été très sympathique, on a pu discuter avec lui quelques minutes … En ce moment, il est en train d’apprendre l’arabe J’en ai d’ailleurs profité pour l’aider à mieux prononcer Il a d’ailleurs commencé à rajouter la possibilité d’écrire en arabe dans Moonlight, mais ce n’est pas encore au point. Et j’ai pu avoir une photo avec lui

Ne soyez pas jaloux, vous aurez aussi l’occasion de le voir un jour … ou pouvez faire une photo avec moi sinon et par relation de transitivité, c’est comme si vous étiez avec lui sur la photo … OK c’est pas drôle … mais je suis super content de la photo

• Laissez la bête tourner toute seule sans rien lui demander, il se peut qu’elle se plante toute seule
• Essayez de naviguer sur internet ! Et là :
  1. Il se peut que ca plante ! C’était évident
  2. Ou bien que l’affichage soit catastrophique. Bien entendu, l’affichage n’est pas le même suivant le système installé : sous MacOS, les sites semblent s’afficher convenablement (enfin, comme ce qu’il faisait avant )

Bref … Apple nous aura cette fois-ci comblé avec ce programme très utile. Mais attention, une société aussi grande qu’Apple ne s’arrête pas en si bon chemin ! Apple propose aussi des benchmark pour montrer que son produit est beaucoup plus rapide que les autres navigateurs web qui se trouvent sur le marché :

• Performances en HTML : Jusqu’à 1.7 fois plus rapide que Firefox 2 et 2.1 fois plus que Internet Explorer
• Performances en JavaScript : Jusqu’à 1.9 fois plus rapide que Firefox 2 et 2.8 fois plus que Internet Explorer

Apple précise bien aussi que ces chiffres là sont vérifiés sur toues les plate-formes supportées. Déjà, il faudrait que le programme en question marche sur “toutes” les plate-formes pour pouvoir discuter ce point là : dès le démarrage, Safari plante sur WinXP ! On n’a même pas le temps de faire des tests !

En résumé, Apple sait comment montrer que MacOS est mieux que Windows : simplement en disant : “Oh tiens ! Ca marche chez nous mais pas chez vous …” … et ne savent toujours pas faire de benchmarks honnêtes : ca me rappelle quand ils ont sorti le bi-G5 et quand ils ont dit “Notre bi-G5 est l’ordinateur le plus rapide au monde !” … C’est à mourir de rire Déjà s’ils voulaient vraiment dire “ordinateur” alors clairement non (on prends n’importe quel supercalculateur :p). Et s’ils comparent au niveau processeur, alors un bi-AMD Opteron explosera bien volontiers un bi-G5 sans aucun problème Mais bon, leur vente du bi-G5 marche bien alors ils espèrent que ca marchera aussi pour Safari. Ils oublient que le bi-G5, bien que ce ne soit pas le plus rapide, marchait au moins sans planter

Ah Safari … toute une aventure

La conférence a commencé avec une première partie sur le Web 2.0 (présentée par Mr Marc Jalabert) où l’idée principale qu’on devait garder en tête est “Stratégie plateforme Software + Services” … Microsfot veut tirer profit de chaque brique des clients, serveurs et les services. Le projet XBOX Live en est un exemple où le client bénéficie d’une expérience utilisateur optimale et où on peut accéder à différents services tels que : télécharger des jeux, jouer à plusieurs, etc. Ensuite, on nous présenté un exemple d’un site pour montrer ce que l’on peut faire en combinant les différentes briques précédemment évoquées. Le site GuideTélé.com était l’exemple en question où Mr Dick Lantim nous explique les différents points forts et l’originalité du site.

La 2ème partie commence, et là on attaque le vif du sujet : Microsoft Silverlight ! Qu’est que c’est ? Silverlight est tout simplement un Flash killer, c’est la réponse de Microsoft pour Adobe pour lui montrer que elle aussi peut faire des choses bien Donc c’est censé être multi-plateforme pour du développement web et qui nous permet de faire de jolies animations (Les mots les plus importants sont les derniers ) Plusieurs points sont mis en avant pour montrer les avantages de ce produit :

• C’est un simple plugin qu’on installe (comme flash)
• multi-navigateur
• multi-plateforme
• permet de créer des RIA (Rich Internet/Interactive Application)

Tout cela pour dire … “on ne veut pas que flash soit le seul sur le marché !”.
On dit multi-plateforme mais on nous montre que MacOS, Windows XP et Windows Visata ! Le support Linux n’est même pas mentionné … On nous dit que le projet Mono va tenter une implémentation de Silverlight, mais cette initiative n’est encouragée ni par Novell, ni par Microsoft ! Bref, Linux n’est pas à l’ordre du jour … et ce n’est pas demain qu’on verra du Silverlight sur Linux.

Entre la version 1.0 et 1.1 de Silverlight, il y a eu l’intégration de .NET et le plugin est passé de 2 Mo à 4 Mo. Ce n’est pas un point très important mais je devais le mentionner parce que j’ai trouvé que la différence était énorme ! Mr Marc Jalabert continue la présentation et il commence à parler des performances de cet outil et là petit lapsus Il dit : “On peut s’attendre à un gain de performance de 1000 par rapport à JavaScript”. Il faut dire que JavaScript a été concu pour faire du JIT (Just In Time), donc quand on dit que c’est 1000 fois plus rapide que du JavaScript alors c’est très très rapide par rapport au C, et dans ce cas là je ne vois pas du tout pourquoi on se casse la tête à faire du C ? … Bref, on pourrait se dire “Ah mais il s’est trompé ! Il parle du JavaScript qu’on trouve dans Firefox”, mais là aussi un facteur de 1000 est très exagéré ! Il faut aussi comparer à la version 3 de Firefox qui sortira bientôt et qui a beaucoup optimisé l’interprétation du JavaScript ! En résumé, c’était un très bon argument de vente mais complètement utopique J’imagine bien la déception du client à l’essai du produit se rendant compte de la vitesse réelle de la “chose”.

Dernière partie de cette conférence, une présentation de la suite Expression Studio. Honnêtement, là je dois dire que les outils était bien faits et bien pensés. On nous a surtout montré l’outil Blend qui servait essentiellement à manipuler des vidéos. Les possibilités de cet outil semblaient larges, mais Blend souffre apparemment d’une certaine lenteur. Il a mis 30 secondes pour mettre 2 effets sur une petite vidéo de 30 secondes.

Juste après la présentation, commence la traditionnelle séance de questions. Là les présentateurs Microsoft répondent gentiment aux questions (parfois de façon trop officielle ), ils expliquent des détails techniques. Rien de très passionnant pour l’instant. Jusqu’au moment où l’un d’eux parle d’AST. Quelqu’un pose la question pour savoir ce que c’est et là ils disent “Euh … oh … non c’est trop compliqué …. mais c’est un arbre en gros !”. Donc je voulais apporter cette petite précision qui pourrait leur servir lors d’une prochaine conférence. un AST est un arbre qui permet de décrire la structure d’un programme et elle veut dire : Arbre Syntaxique Abstrait … et non pas typé comme j’ai pu entendre dans la salle ! AST étant l’appellation anglaise qui veut dire : Abstarct Syntax Tree.

Pour finir cet article, on doit dire un mot à propos d’Adobe Flex qui est le concurrent direct de Microsoft Silverlight. Récemment, Adobe a mis sous licence open-source Flex. Alors la question est très simple : Microsoft envisage-t-elle de publier sous licence open source Silverlight ? Bien entendu, ca sera dans un futur pas très proche. Mais comment cela se passera-t-il ? En ce qui concerne Linux, si elle veut faire imposer son produit, envisage-t-elle de faire un plug-in sérieux pour Linux ? (on peut toujours rêver)

L’année prochaine le produit Silverlight sera disponible et l’outil Flex sera utilisé à plus grande échelle. On verra comment ces deux outils évolueront dans le temps et dans quel sens. En attendant, on est bien content d’avoir du Flash 9 qui tourne sous Linux sans trop de mal Et rendez-vous le 21 Juin pour MIX’07 à Paris

La solution miracle s’appelle IndeView qui veut dire : Independent Presentation Viewer ! Ce petit programme qui s’installe sur n’importe quelle plateforme (Linux, MacOS, Windows). Et permet de génerer, à partir d’une présentation faite avec OpenOffice.org Impress ou KOffice, un CD (compatible avec les 3 plateformes principales bien sûr) sur lequel on aura la présentation et l’application qui permettera de le visionner Voici le concept expliqué en image :

Plus de problèmes de compatibilités, plus besoin de programmes pour visualiser le document … Tout est dans le CD ! Et pour couronner le tout, IndeView est open-source et publié sous licence LGPL.