[gull] L'horreur ...Graves problèmes de sécurité dans x.org

[Marc SCHAEFER]

On Sat, May 27, 2006 at 07:04:43PM +0200, Gilberto Girardello wrote:
> http://linuxfr.org/2006/05/15/20813.html
> Je crois que je vais ré-installer un OS/2 !

Ne pas paniquer trop vite.

   1. je ne mets pas de X sur mes serveurs

   2. sur les stations de travail où je mets X11, je n'utilise pas de
      pilotes propriétaires ou de support DRI kernel, sauf cas
      exceptionnel.

Il est clair que pour des applications avancées ou lors de choix de
matériel malheureux, il faut des pilotes propriétaires ou du support
accélération dans le kernel.

Mais ces applications ne sont en général pas critiques, comme home video
ou autres.

Il est aussi évident que *tout logiciel propriétaire* est une _menace_
pour la sécurité -- ce qui ne veut pas dire que du logiciel libre est
toujours sûr à 100%, au contraire (cf PHP).

L'attaque présentée est, d'après ce que j'ai lu rapidement, un
`priviledge escalation': un utilisateur non privilégié peut faire
exécuter n'importe quel code à la machine via le serveur X, si des
pilotes propriétaires et/ou accélérés sont existant.

Vouloir sécuriser le poste de travail est quelque chose de très
difficile, car toute sécurisation s'oppose bien souvent à la facilité
d'installation, d'utilisation, etc, voire au fait que le matériel est
parfois mal documenté, les pilotes propriétaires, voire change chaque
semaine (Dell).

Mais avant de crier au loup pour des problèmes *potentiels* comme décrits
dans le lien ci-dessus, on peut commencer par:

   - mettre à jour ses systèmes

   - limiter les logiciels installés au minimum, en particulier aucun
     non supportés par sa distribution

   - ne pas déployer de logiciel propriétaire à quelque niveau que cela
     soit (en particulier jamais de pilotes kernel propriétaires!)

on aura déjà beaucoup moins d'ennuis (de sécurité, de fiabilité, etc)
que les `autres'.

Quand seules les attaques décrites dans l'article ci-dessous seront
opérantes, on sera dans un monde bien plus sûr.