On December 2nd at approximately 03:45 UTC, one of the servers that makes up
the rsync.gentoo.org rotation was compromised via a remote exploit.  At this
point, we are still performing forensic analysis.  However, the compromised
system had both an IDS and a file integrity checker installed and we have a
very detailed forensic trail of what happened once the box was breached, so we
are reasonably confident that the portage tree stored on that box was
unaffected.  The attacker appears to have installed a rootkit and
modified/deleted some files to cover their tracks, but left the server
otherwise untouched.
 
The box was in a compromised state for approximately one hour before it was
discovered and shut down.  During this time, approximately 20 users
synchronized against the portage mirror stored on this box.  The method used
to gain access to the box remotely is still under investigation.  We will
release more details once we have ascertained the cause of the remote exploit.

Oula, quelle est la source, stp ?

Mailing officiel envoyé à tous les inscrits sur le site gentoo.

merci, je regarde

From: Kurt Lieber <klieber@gentoo.org>
Received: from smtp.gentoo.org (smtp.gentoo.org [128.193.0.39])
Subject: GLSA: rsync.gentoo.org rotation server compromised (200312-01)
 
 
 

Le mail complet :
 

Les temps sont dur
 
Le bon coté de la chose: les admins des gros serveurs Linux/truc du monde libre vont redoubler d'effort pour eviter ce genre de chose

Mouaip mais ça craint carrément pour l'image du logiciel libre.
Par exemple aujourd'hui mon boss a envoyé ce lien à toute la boite :
 
http://www.silicon.fr/click.asp?ID=3193&news=187
 
Vu la façon dont c'est rédigé, ça dégoute pas mal du logiciel libre

'fin, la bonne nouvelle, c'est que les serveurs des vraies distros n'ont pas été touchées, y a que les distros de bouffons qui se sont pris des attaques.

Si mais elles ne s'en sont pas encore rendu comptes

Sûr que cela n'est pas rédigé en tte objectivité. Sinon, quid de Microsoft et de son intention de vérifier la sécurité GNU/Linux, y aurait il un rapport ?

c'est quoi une distribution de bouffon ?

 
C'est quoi l'intérêt de ton commentaire ? t'utilise une LFS et tu veut le faire savoir ?

C'est ca de mettre ses serveurs en 2.6-test11-mm1
 
Sinon, la news de silicon.fr elle est pas terrible : je vois pas ce que le troll M$/Nux vient faire là.

Aucun intéret, il a cru que l'on était vendredi.

c'est justement pour mieux le tester

 
Bein justement, depuis la -test6 la faille du kernel est corrigée, donc tous ceux qui mettent à jour leur kernel et suivent la branche 2.6 sont protégés depuis longtemps

1 bon point alors  

On sait pas si c'est la même faille
 
... même si c'est qd même probable

 
Slack par exemple

 
debian et gentoo. Pour les premiers, ils sont tellement occupé a patcher les vieilles versions de tout les programmes existant qu'ils ne font meme pas attention a ce qui sort(la mdk n'est pas vulnérable par exemple) et la gentoo, la plupart de leurs scripts de compilations sont tellement pourris que ça doit etre un bordel pour s'y retrouver alors si en plus faut faire attention a la sécurité, c'est trop leur demander.

 
* plonk *

tain Gentoo ils font vraiment tout comme Debian ces copieurs

[citation=369258,1][nom]MC a écrit[/nom]
 
Slack par exemple
[/citation ]

Plus serieusement, sans être dramatique pour l'image de Linux notamment en termes de sécurité, découvrir ptrace et brk a si peu d'intervalle (trois versions mineures du noyau) et surtout, n'avoir prévenu personne alors que la faille a été corrigée dans les pré-versions 2.4.23 et 2.6.0-test7 est plutôt anormal. A lépoque, ptrace n'avait pas mené à la compromission de serveurs de distribs, très représentatifs des produits qu'ils proposent : en s'attaquant à Debian, on s'attaque tout de même à un symbole de l'Open Source, et la cible n'a pas été choisie au hasard. En ce qui concerne Gentoo, les admins devaient être sur le pied de guerre avec l'expérience Debian, et il s'agit sans doute d'une action moins préméditée.
 
Lorsque la faille ptrace était dévoilée, un patch a tout de suite circulé, les sites de news spécialisés on relayé l'info et la plupart des systèmes sensibles ont pu être protégés à temps. On ne commence à parler de la faille brk, pourtant tout aussi critique pour les serveurs exposés, que maintenant que les quatre serveurs Debian aient été hackés, et que les exploits se distribuent sans doute. Une des grandes qualités de l'Open Source, c'est sa réactivité : dès qu'une faille est détectée, elle est mise en évidence sur les sites spécialisés et est annoncée publiquement, alors que la faille brk semble n'avoir été connue que d'un petit cercle d'initiés puisque même les admins Debian n'ont pas tout de suite évoqué ce problème, pensant même à la faille ptrace.
 
Cet incident regrettable aurait pu et dû être évité ...

brk c'est pas une faille qui a été corrigée si j'ai bien suivi .. mais un bug conduisant a une faille .. qd ils ont corrigés, il ne savaient pas que ct une faile, et n'ont donc pas alerter ...
Disosn qu'ils ont modifié la fonction, et que maintenant, c'est plus une faille, mais ne l'ont pas modifiée pour qu'il n'y ai plus de faille ...

Arretons linux et passons à OpenBSD.

Et bing, une nouvelle faille dans le noyau FreeBSD qui vient de tomber. C'est la fête...

Alors autant pour moi ... je suis juste un peu aigri du fait que les activités de Debian soient arrêtées à cause d'un *tain de hack
S'ils voulaient s'amuser, c'est pas sur une distro Open Source qu'il fallait tirer ... ce qui me laisse penser que l'attaque ait été préméditée. Après tout, un mec qui se donne la peine d'écrire un exploit pour un bug déjà détecté et va attaquer une communauté Open Source a quelque chose derrière la tête ...

hollé

 
J'ai pas remarqué de difference  par rapport a normalement. Quand on vois que xfree 4.4 devrait sortir le 15 décembre alors que celui de la sid n'est qu'en 4.2, on se demande parfois si elle n'est pas morte depuis longtemps cette distro.

ptin sont fort ces hackers quand meme

y a les 4.3 en experimental, de quoi tu te plains
 
en plus ne pas avoir remarqué de différence sur les updates de la sid c'est un signe certain de mauvaise foi

Aller... Au revoir