[gull] L'horreur ...Graves problèmes de sécurité dans x.org
Marc SCHAEFER
schaefer at alphanet.ch
Sat May 27 19:20:28 CEST 2006
On Sat, May 27, 2006 at 07:04:43PM +0200, Gilberto Girardello wrote:
> http://linuxfr.org/2006/05/15/20813.html
> Je crois que je vais ré-installer un OS/2 !
Ne pas paniquer trop vite.
1. je ne mets pas de X sur mes serveurs
2. sur les stations de travail où je mets X11, je n'utilise pas de
pilotes propriétaires ou de support DRI kernel, sauf cas
exceptionnel.
Il est clair que pour des applications avancées ou lors de choix de
matériel malheureux, il faut des pilotes propriétaires ou du support
accélération dans le kernel.
Mais ces applications ne sont en général pas critiques, comme home video
ou autres.
Il est aussi évident que *tout logiciel propriétaire* est une _menace_
pour la sécurité -- ce qui ne veut pas dire que du logiciel libre est
toujours sûr à 100%, au contraire (cf PHP).
L'attaque présentée est, d'après ce que j'ai lu rapidement, un
`priviledge escalation': un utilisateur non privilégié peut faire
exécuter n'importe quel code à la machine via le serveur X, si des
pilotes propriétaires et/ou accélérés sont existant.
Vouloir sécuriser le poste de travail est quelque chose de très
difficile, car toute sécurisation s'oppose bien souvent à la facilité
d'installation, d'utilisation, etc, voire au fait que le matériel est
parfois mal documenté, les pilotes propriétaires, voire change chaque
semaine (Dell).
Mais avant de crier au loup pour des problèmes *potentiels* comme décrits
dans le lien ci-dessus, on peut commencer par:
- mettre à jour ses systèmes
- limiter les logiciels installés au minimum, en particulier aucun
non supportés par sa distribution
- ne pas déployer de logiciel propriétaire à quelque niveau que cela
soit (en particulier jamais de pilotes kernel propriétaires!)
on aura déjà beaucoup moins d'ennuis (de sécurité, de fiabilité, etc)
que les `autres'.
Quand seules les attaques décrites dans l'article ci-dessous seront
opérantes, on sera dans un monde bien plus sûr.
More information about the gull
mailing list