[gull] piratage serveur Debian

[Marc SCHAEFER]

On Thu, Dec 18, 2003 at 07:45:00PM +0100, Jean-Bruno Luginbühl wrote:
> Je rebondi, pour poser LA question, ou en est l'audit. Que donne-t-il pour
> le moment?

La méthode utilisée pour le piratage a été découverte. D'autres sites
ont été compromis comme p.ex. gentoo et Savannah (FSF). La plupart des
distributions ont maintenant mis à disposition les fixes pour le serveur
anonyme rsync (attaque distante root) et le kernel (attaque locale
root).

Tous les comptes des développeurs Debian ont été bloqués, ils doivent
obtenir un nouveau via une interface utilisant leur signature
électronique.

> Les mirroirs sont-ils aussi compromis?

Les miroirs ont été vérifiés et ne sont pas compromis (pour stable).
Pour les autres branches, je n'ai pas eu de confirmation sinon que
des vérifications ont été effectuées.

> Cela fait tout de même un certaint temps maintenant, je sais que cela prend
> du temps, surtout pour être bien sûr.

Apparemment, le problème actuel est surtout que www.debian.org n'est
plus sur la machine originale: certains liens sont cassés. Je n'ai
plus vu d'annonces de suivi mais j'ai eu assez peu de temps ces temps.

On dirait que bugs refonctionne depuis assez longtemps, les miroirs
aussi, et même les uploads pour unstable/testing et bien sûr security.
Il y a même eu un point-release de woody (3.0r2) dans l'intervalle.

Par contre packages.debian.org (l'engin de recherche) semble en panne
depuis très longtemps (> 3 semaines).

Il y a plus de détails notamment sur:
   http://www.debian.org/News/weekly/2003/50/

Il est intéressant de voir que la communauté du libre prend au sérieux
les conséquences d'un piratage (réinstallation, audit, comparaison
depuis les dernières sauvegardes). Par contre il faut constater que
la réponse au désastre a pris/prend vraiment beaucoup de temps.

Ce qui montre les limites d'une infrastructure réseau répartie (limites
qui parfois peuvent se changer en avantages par rapport à une
solution trop centralisée).