Une faille touchant potentiellement toutes les distributions Linux vient d’être découverte. Elle exploite un programme installé par défaut sur les systèmes.
12 ans que le code est open source, sans que le faille ne soit détectée.
Et l’open source est censé être une garantie de sécurité ?
La bonne blague.
(Pop corn waiting)
5 « J'aime »
Et comment se fait il que tu ne l’aies pas vu depuis ?
2 « J'aime »
Par ce que je comptais sur toi 
Absolument, tant qu’il y aura du code, il y aura des failles.
Mais preuve est faite (openssl y est passé avant) que l’open source, malheureusement, n’aura pas démontré sa capacité à prémunir le code de l’existence de failles.
Il a d’autres avantages et inconvénients, mais certainement pas celui de l’immunité.
2 « J'aime »
Je crois que t’as strictement rien compris au sujet. Surtout avec une faille de ce type
Aucun code n’est immune, personne de sensé n’a jamais affirmé cela, ca aide à découvrir et auditionner le code contre les failles et donc est intrinsèquement plus sécurisé qu’un code fermé où beaucoup moins de gens peuvent le faire.
En attendant c’est en train d’etre patché. Il est possible de faire la meme chose sur Windows depuis des décennies (possible sans une seule ligne de code), et pourtant Microsoft n’a jamais patché la faille. Tant mieux, c’est comme ca que j’installe mes programmes au taff
3 « J'aime »
L’open source n’a jamais donné une garantie de sécurité mais une garantie de pouvoir se prémunir tout de suite des failles découvertes, chose que le logiciel propriétaire ne permet pas de faire car on est à la merci du bon vouloir de l’éditeur.
1 « J'aime »
Tous les OS sont vulnérable et Linux ne peux pas faire exception. Le fait qu’on trouve les failles montre aussi que des spécialiste les cherchent ce qui est plutôt une bonne nouvelle. Vu la complexité des OS actuels je serait un peu inquiet si on en trouvait jamais.
Le fait que le logiciel soit open source n’est en aucun cas une assurance de qualité ni de sécurité mais quand même il permet à beaucoup plus de monde d’auditer un code et aussi de chercher une solution à ce type de problèmes. Pour du code propriétaire et fermé il faut faire confiance à la firme éditrice et à un nombre réduit de codeurs qui ne sont pas à l’abri d’induire d’autres failles en patchant et comme personne ne peut aller vérifier il faudra attendre la prochaine alerte pour réagir.
Ce n’est que l’avis d’un utilisateur un peu éclairé mais je peux me tromper.
1 « J'aime »
Tous les OS ont des failles, c’est pas le souci. Le problème c’est quand elles sont exploités. Ici ce n’est pas encore le cas, et comme l’info est remonté, ça sera vite corrigé avant l’exploitation, c’est même déjà le cas chez certaines distro
Ce n’est pas tant le fait d’avoir des failles mais le temps nécessaire entre la découverte et la mise à disposition du correctif. Et là, les différents OS du marché ne sont pas égaux face à l’exercice.
En fait, ce sont les distribs racine GNU/Linux qui sont les plus réactives. Puis viennent les distribs basées sur les distribs racine puis nos amis RedHat, puis les autres.
En observant ce phénomène, on se rend mieux compte de l’importance d’un antivirus pour des OS à mises à jour paresseuses.
Entre ça et log4js, ça commence à devenir inquiétant. Surtout que le logiciel libre est sensé être plus sécurisé car le code source est vérifiable par tous…
Même pas peur.
Il faut avoir un accès physique à la machine.
2 « J'aime »
Rien, absolument rien, ne permet d’affirmer qu’une faille non rendu publique n’est pas exploitée.
Corriger 12 ans plus tard, quand elle est rendue publique, pardon… mais ca me fait bien marrer.
1 « J'aime »
Le proprietaire, a plein de soucies egalement.
C’est marrant des qu’on est un peu lucide sur les limites de l’open source, tout de suite on essai de dévier la conversation sur un autre sujet.
En quoi c’est un troll?
Où est la déviation ? Il s’agit juste de rappeler les faits. Personne n’a jamais dit que l’open source n’avait jamais de faille/bug. L’avantage de l’open source réside dans le fait que le code peut être audité indépendamment et patché plus rapidement.
La faille était d’ailleurs déjà corrigée chez moi… CQFD.
1 « J'aime »
A partir du moment où une faille est exploitée et non publique, quelque soit l’OS et/ou les antivirus : non connue, non publique … ça passe !
L’important est d’avoir le correctif le plus vite possible … et au niveau des utilisateurs, le seul levier laissé à notre disposition est le choix de l’OS qu’on met sur nos machines.
Tu la joues facile à se moquer sans être capable de faire mieux. Si tu trouves que ce n’est pas sérieux, prends le clavier et montre nous que tu es très fort …
1 « J'aime »
Je constate, que l’open source ne permet pas de se prémunire de failles, c’est un fait établit.
(voir article ci-dessus)
Jamais je n’ai écrit autre chose sur l’open source.
Donc ne venez pas me parler de rapidité de patch, ce n’est pas du tout le meme sujet.
Ne venez pas me parlez des logiciels proprietaires, qui ne clament pas etre plus sur de ce seul fait.
C’est toi qui dit que l’open source est plus sûr … tout en tombant de l’armoire que ce n’est pas le cas.
Pierre Desproges avait 2 mots pour ça : à la fois psychotique et névrosé.
1 « J'aime »
Je constate, que l’open source ne permet pas de se prémunire de failles, c’est un fait établit.
à part toi personne n’a affirmé le contraire. Tu ne fais qu’enfoncer une porte ouverte.