Salut David,

Et comment tu gères une maj 1 fois tous les 7 jours ? Ansible full auto
calendriarisé ?
Quand je dis gérer, je parle de gérer les serveurs PROD++ des serveurs
moins PROD++ :)

Merci pour tes lumières.

David

Le sam. 7 sept. 2024 à 11:00, David Durieux <david@durieux.family> a écrit :

> Salut,
>
> bah écoute merci ;)
>
> Je met à jour mes 250 serveurs sous FreeBSD + les softs dessus 1 fois
> par semaine au minimum (des fois plus selon s'il y a des faille méga
> urgentes).
>
> En 2 ans, je n'ai eu qu'une fois un soucis sur un logiciel, donc c'est
> relativement rare.
>
> Et je préfère avoir un problème de ce genre plutôt que devoir gérer des
> catastrophes genre une faille exploitée.
>
> David
>
> On Fri, 6 Sep 2024 22:05:31 +0200
> Laurent Barme <2...@barme.fr> wrote:
>
> >
> > Le 06/09/2024 à 15:15, Paul Rolland (ポール・ロラン) a écrit :
> > …
> > > Tiens, d'ailleurs, en parlant de passoire... On est tous ici bien au
> > > courant que les bugs de secu, ca existe, et que les distributions
> > > mettent a jour (plus ou moins vite).
> > …
> >
> > Un exemple sur un cas concret : le CVE-2021-41773
> > (
> https://blog.qualys.com/vulnerabilities-threat-research/2021/10/27/apache-http-server-path-traversal-remote-code-execution-cve-2021-41773-cve-2021-42013
> )
> >
> > Dans les logs (/var/log/apache2/error.log), cela donne quelque chose
> > comme ça :
> >
> > AH00126: Invalid URI in request
> > POST/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh
> > HTTP/1.1
> >
> >
> > Il est apparu le 16/09/21 avec la 2.4.49
> > (https://www.apachelounge.com/Changelog-2.4.html).
> >
> > Il a été corrigé le 07/10/21 avec la
> > 2.4.51(https://httpd.apache.org/security/vulnerabilities_24.html)
> >
> > Les serveurs sur lesquels on applique des mises à jour quotidiennes
> > automatiques ont donc été exposés pendant 21 jours…
> >
> > Bon, faut relativiser : il est très probable que les pirates n'aient
> > pas été en mesure d'exploiter la faille dès le 16/09/21. Par contre
> > elle est toujours régulièrement tentée d'après ce que je vois encore
> > aujourd'hui comme attaques sur les serveurs que je gère.
> >
> > On est évidemment toujours plus intelligent a posteriori mais lorsque
> > les développeurs ont adapté la gestion des chemins de répertoire
> > ("The path traversal vulnerability was introduced due to the new code
> > change added for path normalization i.e., for URL paths to remove
> > unwanted or dangerous parts from the pathname,") ils auraient pu être
> > un peu proactif pour imaginer comment un pirate aurait pu exploiter
> > le risque d'un chemin dangereux et faire des tests (encore des tests,
> > toujours des tests).
> >
> > Cela dit, je ne critique pas ici le travail des développeurs ni celui
> > de l'équipe de sécurité. L'introduction involontaire d'un bug est
> > inhérent au travail d'un développeur, quelque soit le soin qu'il
> > mette à l'anticiper. Et débusquer un bug en seulement 21 jours (le
> > plus dur étant de le repérer, la correction est ensuite souvent
> > triviale) c'est déjà une belle performance.
> >
> > Cependant, je reste convaincu qu'il est préférable d'attendre que
> > d'autres prennent les risques de déployer une nouvelle évolution ;
> > merci à eux :-)
> >
> >
>
> _______________________________________________
> Liste de diffusion du %(real_name)s
> http://www.frsag.org/



-- 
David
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/

Répondre à