Failles de sécurité

À propos des failles de sécurité

Tous les logiciels ont des bogues. Parfois, un bogue peut être exploité, pour autoriser, par exemple, des utilisateurs à obtenir des privilèges spéciaux (peut-être ceux d'un shell root ou simplement l'accès ou la faculté de supprimer les fichiers d'autres utilisateurs), ou pour permettre à un site distant de faire planter une application (un déni de service) ou de voler des données. On appelle ces bogues des failles de sécurité.

L'endroit majeur où les failles sont répertoriées est cve.mitre.org. Malheureusement, de nombreux numéros de failles (CVE-yyyy-nnnn) ne sont, à l'origine, identifiées que comme « réservées », quand les distributions commencent à faire des corrections. De plus, certaines failles s'appliquent à des combinaisons particulières d'options de configure, ou ne s'appliquent qu'à d'anciennes versions des paquets qui ont été mis à jour depuis longtemps dans BLFS.

BLFS est différent d'une distribution — il n'y a pas d'équipe BLFS de sécurité et les rédacteurs n'ont connaissance des failles qu'après leur publication. Parfois, un paquet ayant une faille ne sera pas mis à jour dans le livre pendant longtemps. Les problèmes peuvent être enregistrés dans le système de suivi, ce qui pourrait accélérer leur résolution.

La façon normale dont BLFS corrige une faille de sécurité est, dans l'idéal, de mettre à jour le livre vers une nouvelle version corrigée du paquet. Parfois, cela arrive avant même que la faille ne soit publique, donc il n'est pas certain que la mise à jour soit indiquée comme corrigeant une faille dans l'historique des changements. De même, il se peut qu'une commande sed ou un correctif issu d'une distribution soit adapté.

Tout ça pour dire que vous êtes responsable de votre propre sécurité et de l'évaluation de l'impact potentiel des problèmes.

Les rédacteurs publient maintenant des notes de sécurité pour les paquets de BLFS (et LFS) qui se trouvent sur la page des notes de sécurité de BLFS et notent la sévérité en fonction des rapports en amont ou de ce qui se trouve sur nvd.nist.gov s'il y a plus de détails.

Pour suivre ce qui est découvert au fur et à mesure, il se peut que vous souhaitiez suivre les annonces de sécurité d'une ou plusieurs distributions. Par exemple, debian a debian security. Les liens Fedora sur la sécurité se trouvent surle wiki Fedora. Les détails des annonces de sécurité de Linux par Gentoo sont évoqués sur Gentoo security. Et enfin les archives des annonces de sécurité de Slackware se trouvent sur Slackware security.

La source anglophone la plus généraliste se trouve peut-être sur the Full Disclosure Mailing List, mais merci de lire le commentaire sur cette page. Si vous utilisez d'autres langues, il se peut que vous préfériez d'autres sites comme heise.de (allemand) ou cert.hr (Croate). Ils ne sont pas spécifiques à Linux. Une mise à jour quotidienne existe sur lwn.net pour les abonnés (accès libre aux données après 2 semaines), mais leur base de données de failles sur lwn.net/Alerts est sans restrictions).

Pour certains paquets, s'inscrire sur leurs listes 'announce' apportera des nouvelles actualisées sur les versions récentes.

Notes utilisateur : https://wiki.linuxfromscratch.org/blfs/wiki/vulnerabilities