Salut David,

Et comment tu gères une maj 1 fois tous les 7 jours ? Ansible full auto calendriarisé ?
Quand je dis gérer, je parle de gérer les serveurs PROD++ des serveurs moins PROD++ :)

Merci pour tes lumières.

David

Le sam. 7 sept. 2024 à 11:00, David Durieux <david@durieux.family> a écrit :
Salut,

bah écoute merci ;)

Je met à jour mes 250 serveurs sous FreeBSD + les softs dessus 1 fois
par semaine au minimum (des fois plus selon s'il y a des faille méga
urgentes).

En 2 ans, je n'ai eu qu'une fois un soucis sur un logiciel, donc c'est
relativement rare.

Et je préfère avoir un problème de ce genre plutôt que devoir gérer des
catastrophes genre une faille exploitée.

David

On Fri, 6 Sep 2024 22:05:31 +0200
Laurent Barme <2551@barme.fr> wrote:

>
> Le 06/09/2024 à 15:15, Paul Rolland (ポール・ロラン) a écrit :
> …
> > Tiens, d'ailleurs, en parlant de passoire... On est tous ici bien au
> > courant que les bugs de secu, ca existe, et que les distributions
> > mettent a jour (plus ou moins vite).
> …
>
> Un exemple sur un cas concret : le CVE-2021-41773
> (https://blog.qualys.com/vulnerabilities-threat-research/2021/10/27/apache-http-server-path-traversal-remote-code-execution-cve-2021-41773-cve-2021-42013)
>
> Dans les logs (/var/log/apache2/error.log), cela donne quelque chose
> comme ça :
>
> AH00126: Invalid URI in request
> POST/cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh
> HTTP/1.1
>
>
> Il est apparu le 16/09/21 avec la 2.4.49
> (https://www.apachelounge.com/Changelog-2.4.html).
>
> Il a été corrigé le 07/10/21 avec la
> 2.4.51(https://httpd.apache.org/security/vulnerabilities_24.html)
>
> Les serveurs sur lesquels on applique des mises à jour quotidiennes
> automatiques ont donc été exposés pendant 21 jours…
>
> Bon, faut relativiser : il est très probable que les pirates n'aient
> pas été en mesure d'exploiter la faille dès le 16/09/21. Par contre
> elle est toujours régulièrement tentée d'après ce que je vois encore
> aujourd'hui comme attaques sur les serveurs que je gère.
>
> On est évidemment toujours plus intelligent a posteriori mais lorsque
> les développeurs ont adapté la gestion des chemins de répertoire
> ("The path traversal vulnerability was introduced due to the new code
> change added for path normalization i.e., for URL paths to remove
> unwanted or dangerous parts from the pathname,") ils auraient pu être
> un peu proactif pour imaginer comment un pirate aurait pu exploiter
> le risque d'un chemin dangereux et faire des tests (encore des tests,
> toujours des tests).
>
> Cela dit, je ne critique pas ici le travail des développeurs ni celui
> de l'équipe de sécurité. L'introduction involontaire d'un bug est
> inhérent au travail d'un développeur, quelque soit le soin qu'il
> mette à l'anticiper. Et débusquer un bug en seulement 21 jours (le
> plus dur étant de le repérer, la correction est ensuite souvent
> triviale) c'est déjà une belle performance.
>
> Cependant, je reste convaincu qu'il est préférable d'attendre que
> d'autres prennent les risques de déployer une nouvelle évolution ;
> merci à eux :-)
>
>

_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/


--
David