Nouvelles hebdomadaires Debian - 14 mars 2001
Nous avons le plaisir de vous présenter la 8e DWN de l'année, la lettre d'information hebdomadaire de la communauté Debian.
Depuis des années, nous savons que le moyen par lequel Debian propose les paquets et les publications aux utilisateurs souffre d'un cruel manque de sécurité. Il n'y avait aucune manière de savoir si les paquets que vous veniez de télécharger avaient vraiment été construits par un développeur Debian ou faisaient vraiment partie d'une publication de Debian. Cela est en train de changer rapidement, et les utilisateurs auront bientôt deux moyens complémentaires de vérifier qu'ils sont en train d'installer les paquets légitimes. Cette semaine, un correctif a été envoyé à la liste debian-dpkg. Celui-ci permettrait à dpkg de pouvoir vérifier la signature des paquets Debian. Ces signatures sont incluses dans une nouvelle section du paquet, et des utilitaires sont en train d'être introduits pour ajouter et vérifier ces signatures. Cette méthode de signature des paquets est similaire aux techniques utilisées depuis longtemps dans le monde des rpm, et représente un ajout non négligeable à dpkg, mais son utilité ne doit pas être surestimée.
Les paquets signés, lorsqu'ils sont seuls, laissent toujours plusieurs ouvertures à une attaque. Quelques choses malicieuses peuvent être faites au fichier Packages ou en forçant apt à télécharger un ancien paquet non sécurisé. Éviter ces attaques demande un autre niveau de sécurité : la signature des publications. Des fichiers Release.gpg sont en train de faire leur apparition dans l'archive, et apt sera bientôt capable de vérifier ces signatures au moment de la mise à niveau d'un système. En conclusion, aucune de ces méthodes ne garantit de sécurité absolue, mais celles-ci vont rendre les attaques beaucoup plus difficiles pour les pirates. Ces deux types de signature seront peut-être complètement supportés au moment de la parution de Woody.
Les préparations pour une mise à jour de la version stable sont en cours. Cette publication sera la version 2.2r3. Comme pour toutes les parutions mineures importantes, les paquets avec des problèmes de sécurité, des questions de droits d'auteur ou des bogues très graves sont de bons candidats à la mise à jour dans cette publication. Les mises à jour pour la compatibilité avec le noyau 2.4 sont également acceptées, comme tous les paquets nécessaires ont déjà été intégrés. Martin Schulze coordonne cette nouvelle parution, et la liste des paquets modifiés est disponible sur le web.
Les élections du chef de projet sont en cours, après quelques faux départs. Les développeurs peuvent obtenir un bulletin et l'envoyer par courriel signé. Les votes s'achèveront le 28.
Une autre chasse aux bogues est prévue pour ce week-end. Il reste près de 350 bogues critiques pour la parution après la dernière séance, et ils doivent tous être corrigés avant la publication de Woody. Tous ceux qui ont du temps ce week-end sont donc invités à aider et à corriger un bogue ou deux.
Il y a des semaines où les corrections de sécurité sont sans fin pour Debian. Cette semaine en faisait partie. Certaines de ces alertes concernent des problèmes qui avaient été corrigés plus tôt mais qui n'avaient pas été annoncés. Il y a cependant un tas de nouvelles corrections :
- plusieurs bogues mineurs dans le paquet stable de proftpd pouvaient entraîner des problèmes mineurs de sécurité ;
- un dépassement de tampon exploitable à distance dans analog pouvait être utilisé via l'interface CGI ;
- plusieurs dépassements de tampon dans ePerl ont été découverts et permettaient l'exploitation à distance du superutilisateur pour certaines configurations ;
- une attaque par déni de service a été trouvée dans man2html et pouvait entraîner l'utilisation de la totalité de la mémoire ;
- une exploitation locale dans midnight commander ;
- toutes les bibliothèques de remplacement de xam (nextaw, xaw3d et xaw95) ont été mises à jour pour corriger quelques failles de sécurité qui avaient été trouvées plus tôt et corrigées directement dans xam ;
- une faille de sécurité de fichier temporaire a été corrigée dans sgml-tools ;
- deux trous de sécurité permettant l'exploitation à distance du superutilisateur ont été corrigés dans la version stable de glibc (veuillez noter que la rustine a cassé ldd pour les binaires « suid », donc une mise à jour devrait normalement être publiée pour le corriger) ;
- un dépassement de tampon exploitable à distance dans la version stable de slrn ;
- joe lit de manière non sécurisée le fichier .joerc qui est dans le répertoire courant, donc cela est exploitable localement si joe est lancé depuis des répertoires comme /tmp/ ;
- un dépassement de tampon exploitable à distance dans gnuserv et xemacs ;
- Plusieurs exploitations à distance dans Zope ;
- un dépassement de tampon dans mailx qui pouvait donner localement l'accès au groupe mail.
Nous remercions chaleureusement l'équipe en charge de la sécurité pour le travail de cette semaine.
Pour recevoir cette gazette chaque semaine dans votre boîte à lettres, abonnez-vous à la liste de diffusion debian-news pour la version anglaise ou à la liste de diffusion debian-news-french pour la version française.
Les dernières parutions de cette gazette sont disponibles.
Ce numéro de la Debian Weekly News a été édité par Joey Hess.
Il a été traduit par Thomas Huriaux.