Salut David, Et comment tu gères une maj 1 fois tous les 7 jours ? Ansible full auto calendriarisé ? Quand je dis gérer, je parle de gérer les serveurs PROD++ des serveurs moins PROD++ :)
Merci pour tes lumières. David Le sam. 7 sept. 2024 à 11:00, David Durieux <david@durieux.family> a écrit : > Salut, > > bah écoute merci ;) > > Je met à jour mes 250 serveurs sous FreeBSD + les softs dessus 1 fois > par semaine au minimum (des fois plus selon s'il y a des faille méga > urgentes). > > En 2 ans, je n'ai eu qu'une fois un soucis sur un logiciel, donc c'est > relativement rare. > > Et je préfère avoir un problème de ce genre plutôt que devoir gérer des > catastrophes genre une faille exploitée. > > David > > On Fri, 6 Sep 2024 22:05:31 +0200 > Laurent Barme <2...@barme.fr> wrote: > > > > > Le 06/09/2024 à 15:15, Paul Rolland (ポール・ロラン) a écrit : > > … > > > Tiens, d'ailleurs, en parlant de passoire... On est tous ici bien au > > > courant que les bugs de secu, ca existe, et que les distributions > > > mettent a jour (plus ou moins vite). > > … > > > > Un exemple sur un cas concret : le CVE-2021-41773 > > ( > https://blog.qualys.com/vulnerabilities-threat-research/2021/10/27/apache-http-server-path-traversal-remote-code-execution-cve-2021-41773-cve-2021-42013 > ) > > > > Dans les logs (/var/log/apache2/error.log), cela donne quelque chose > > comme ça : > > > > AH00126: Invalid URI in request > > POST/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh > > HTTP/1.1 > > > > > > Il est apparu le 16/09/21 avec la 2.4.49 > > (https://www.apachelounge.com/Changelog-2.4.html). > > > > Il a été corrigé le 07/10/21 avec la > > 2.4.51(https://httpd.apache.org/security/vulnerabilities_24.html) > > > > Les serveurs sur lesquels on applique des mises à jour quotidiennes > > automatiques ont donc été exposés pendant 21 jours… > > > > Bon, faut relativiser : il est très probable que les pirates n'aient > > pas été en mesure d'exploiter la faille dès le 16/09/21. Par contre > > elle est toujours régulièrement tentée d'après ce que je vois encore > > aujourd'hui comme attaques sur les serveurs que je gère. > > > > On est évidemment toujours plus intelligent a posteriori mais lorsque > > les développeurs ont adapté la gestion des chemins de répertoire > > ("The path traversal vulnerability was introduced due to the new code > > change added for path normalization i.e., for URL paths to remove > > unwanted or dangerous parts from the pathname,") ils auraient pu être > > un peu proactif pour imaginer comment un pirate aurait pu exploiter > > le risque d'un chemin dangereux et faire des tests (encore des tests, > > toujours des tests). > > > > Cela dit, je ne critique pas ici le travail des développeurs ni celui > > de l'équipe de sécurité. L'introduction involontaire d'un bug est > > inhérent au travail d'un développeur, quelque soit le soin qu'il > > mette à l'anticiper. Et débusquer un bug en seulement 21 jours (le > > plus dur étant de le repérer, la correction est ensuite souvent > > triviale) c'est déjà une belle performance. > > > > Cependant, je reste convaincu qu'il est préférable d'attendre que > > d'autres prennent les risques de déployer une nouvelle évolution ; > > merci à eux :-) > > > > > > _______________________________________________ > Liste de diffusion du %(real_name)s > http://www.frsag.org/ -- David
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
