[Linux-bruxelles] J'aime pas les trolls sur FlashBack

Nicolas Michel be.nicolas.michel at gmail.com
Lun 16 Avr 09:34:01 CEST 2012


Je pense qu'il y a confusion du fait que l'on parle de deux choses :
- il y a le malware flashback qui est à l'origine de cette discussion.
Comme tout le monde l'a compris, il ne fonctionne que sous MacOS (c'est
dans ce sens que les gens ont répondu sur irc ubuntu-fr)
- il y a la faille de sécurité java qui est juste une porte d'entrée

Pour ce deuxième cas, je suis d'accord avec Serge:
- il faut voir si c'est spécifique à l'implémentation de java ou si c'est
une faille d'architecture (concrètement, il faut voir si openjdk/icedtea
est touché ou non par ce problème)
- dans tous les cas, nos distributions Linux sont ainsi faites que les
mises à jours se font de façon centralisées pour tous les logiciels. Et
qu'il y a un veille constante des mainteneurs des applications concernant
les problèmes de sécurités (des gens surveillent les problèmes de sécurité
à ta place). Ce n'est pas pour autant qu'on est à l'abri d'aucun oubli,
mais on est en tout cas bien mieux loti que les utilisateurs de MacOS et
Windows qui, s'ils ne prennent pas l'initiative de mettre à jour eux-même
l'ensemble de leurs applications tierces (donc hormis le coeur de
windows/MacOS), ils resteront avec leurs problèmes de sécurité. D'où les
popup qui viennent tout le temps emmerder sur ces OS pour mettre à jour
ceci, mettre à jour cela, et encore ceci car chaque application tierce gère
les mises à jour à sa façon (ou ne les gère pas) ...

Concernant Ubuntu, je parle donc bien de tout logiciel installé au moyen
d'apt-get, aptitude ou l'interface GUI et à la condition que tu as activé
les mises à jours automatique. Si tu as installé une application en la
téléchargeant depuis le net et installé manuellement, le problème est le
même que sous Windows/MacOS.

Conclusion : il faut mieux garder les versions de tes dépôts en faisant
confiance aux mainteneurs de ta distribution plutôt que d'aller installer
la version java sur le net car dans ce dernier cas, tu seras protégé pour
ce problème-ci mais tu seras responsable de te tenir au courant si une
autre faille était découverte plus tard, afin de mettre constamment java à
jour manuellement.

Nicolas

Le 13 avril 2012 17:21, Michel Kapel <michel.kapel at gmail.com> a écrit :

> Le 13 avril 2012 14:25, Serge SMEESTERS <sergesmeesters at gmail.com> a
> écrit :
> > Salut,
> >
> >
> > Attention, avant de chercher à installer tout et n'importe quoi (en
> > l'occurrence la "dernière version de Java"), vérifiez que la gestion
> > des logiciels, de leur installation et mise à jour, ne suffit pas à
> > résoudre le problème...
> >
> > Par exemple (au hasard) Ubuntu... propose l'utilisation de OpenJDK...
> >
> > OpenJDK présente-t-il la même faille de sécurité que Java Sun ?
> >
> > N'oublions pas que nous avons cette particularité, avec nos systèmes
> > GNU/Linux, de gérer ce genre de problèmes de manière centralisé et
> > "automatique", en l'occurrence avec apt, des dépôts dédiés aux mise à
> > jour de sécurité, etc.
> >
> > Donc même s'il faut rester vigilant, la première chose à envisager est
> > que le problème est bien résolu de cette manière.
> >
> > ... avant de bondir vers le site de Oracle pour télécharger la
> > dernière version de Java Sun et de tenter de l'installer "à la hache"
> > dans l’ignorance que OpenJDK est déjà installé...
> >
> >
> > Chez moi (ici), Ubuntu 11.10, après avoir effectué les dernières mise à
> jour...
> >
> >  java -version
> > ↓
> >  java version "1.6.0_23"
> >  OpenJDK Runtime Environment (IcedTea6 1.11pre)
> (6b23~pre11-0ubuntu1.11.10.2)
> >  OpenJDK 64-Bit Server VM (build 20.0-b11, mixed mode)
> >
> > Suis-je à l’abri de la faille ?
> > Je viens de poser la question sur IRC, #ubuntu-fr, et il semblerait
> > que la faille « était spécifique au build MacOSX et aux droits des
> > applications sous MacOSX » et que « le problème était plus sur
> > l'environnement dans lequel java était autorisé à tourner sous macosx
> > » ...
> > Donc voila... no stress... « en dehors des classiques "se tenir
> > informé" et "maintenir à jour" »
>
> Intéressant ... voici ce que je trouve à propos du bug dans IceTea chez
> RedHat
> https://bugzilla.redhat.com/show_bug.cgi?id=788994#c6
>
> "
> Tomas Hoger 2012-02-15 03:41:51 EST
>
> Patches were applied in following IcedTea versions:
>
> * IcedTea6 1.8.13 (based on OpenJDK6 b18)
> * IcedTea6 1.9.13 (based on OpenJDK6 b20)
> * IcedTea6 1.10.6 (based on OpenJDK6 b22)
> * IcedTea6 1.11.1 (based on OpenJDK6 b24)
> * IcedTea 2.0.1 (based on OpenJDK7 u1 + u3 security patches)
> "
>
> Donc je pense que "IcedTea6 1.11pre" n'est probablement pas à l'abri
> de ce type d'attaque.
> Cependant le malware lui-même a été écrit spécifiquement pour Mac et
> ne fonctionnera pas avec d'autres environnements, là on est d'accord.
>
> >
> >
> > À+,
> > Serge S.
> >
> Michel K.
>
> --
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>



-- 
Nicolas MICHEL
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20120416/d7b56761/attachment-0002.html>


Plus d'informations sur la liste de diffusion Linux-bruxelles