Hello,
 
   de retour du SSTIC (www.sstic.org), je suis plus que jamais éffrayé par la dangerosité du monde qui nous entoure
 
   je me demandais s'il éxiste un système d'inventorisation des softs installés sur les machines Unix/Linux/MS, qui, bien sur, indiquerait précisément la version installée (et eventuellement niveau de patch) et pour parfaire le boulot, serait capable d'interroger des bases de vulnérabilité pour présenter à l'admin (fainéant) une liste des applis/os à patcher ?
 
   sinon j'ai bien imaginé un systeme (simple et pas cher) mais c'est jamais la peine de réinventer la roue

sous freebsd passer uniquement par les ports / pkg officiels et utiliser pkg_info ?
 
Enfin tout systeme de pkg te fait ca je ne vois pas ce ue tu cherches

 
oui mais appremment, il aimerait bien que le soft soit independant de l'OS et puisse en gérer plusieurs...

petit papa noel... quand tu descendras du ciel...

Ben fait, je cherche une solution de "gros fainéant" : Une vue centrale de tous mes systemes (tous OS), avec une infos quasi temps-reel.
 
C'est bien uniquement de l'information que je recherche : Quels server/workstation contiennent des applis vulnérables ? mais pas un systeme d'automatisation de déploiement (tel SUS).

 
dis toi que si ce logiciel existait, on aurait plus de boulot !!! alors ne surtout pas le chercher ni le créer !!!

Mouais, je suis pas convaincu
Il y a tellement de taf dans le domaine de la sécu, que même si tout était automatisé, on manquerait encore de temps. Et puis il ne s'agit que de l'automatisation d'une activité laborieuse et gourmande en temps...
 
Bon, voilà ce que je pensais (au cas où ça n'éxiste pas déjà) :
 
- Plusieurs scripts (un par OS) qui scanne la machine (HD) et qui génére une liste de TOUS les éxécutables présents, ainsi que TOUTES les librairies, et surtout la version de chaque exe/dll. Ce script enverrai via http (car simple à mettre en oeuvre) la liste générée à une base de données.
- Une base de "signature" qui ferait correspondre un liste d'exe/dll à une application complete (ou plutot à la version d'une application)
- Une base de vulnérabilité (en faite, une replique des bases disponnibles)
- Un moteur de recoupement qui, à partir des autres bases, génererait une liste des applications présentes sur les machines, et une liste des machines vulnérables.
 
Honnetement, je pense que le systeme n'est pas parfait, mais il ferait gagner pas mal de temps aux gens peu rigoureux ou qui ne connaisent pas tout leur parc (car c'est souvent impossible au delà d'un certain nombre de machines). En plus, il est, je pense assez simple à réaliser et à mettre en oeuvre.
 
Edit : correction de syntaxe  

je sais que ce soft n'est pas libre, mais TrackBird ?
 
http://www.sbedirect.com/-/logicie [...] 3968683d8b
 
après tout dépend si tu cherches une solution "payante" ou non

Effectivement, ça à l'air d'etre sympa mais :
- ça fait plus que ce dont j'aurais besoin
- ça m'a l'air orienté workstation, j'ai peur que la base d'applicatif ne couvre pas les serveurs
- il ne supporte pas encore Linux
- il faut encore ajouter la gestion des patchs
 
Bref : c'est pas fait pour, mais c'est quand meme jouable.... j'ai demandé une version d'éval.

S'il y en a que ça interesse, j'ai résumé l'idée ici : http://www.galipeur.com/sah si vous avez des idées/commentaires, ils sont les bienvenus

Une série de script bash (ou python, perl, ...) pourrait faire l'affaire non ?

Tout à fait, je parle dans le résumé, d'application, mais il peut très bien s'agir de script interpretés. Il faut juste faire en sorte dque le format de données et la commnications soient universels pour permettre le support de plusieurs OS.

Python me semble le langage le plus portable.

Le soucis avec un script Python / Perl ou autre, c'est qu'il faudra déployer, en plus de l'agent, l'interpreteur, ce qui risque d'etre trop lourd.

py2exe est ton ami, mais ca risque de faire un programme lourd.

Les amis, même en temps de crise on peut croire au Père Noël ...  
 
Presque 5 ans après ce post, Secunia sort un logiciel qui rempli exactement cette fonction : CSI (Corporate Software Inspection).  
 
J'ai eut l'occasion de le tester (la procédure de test est en peu lourde avec prise de rendez-vous par un commercial, en anglais et le logiciel est super bridé : 1 jour pour une machine sur le réseau).
 
Les résultats sont tout simplement bluffant, le logiciel trouve tous les softs, même ceux qui ne sont pas installé (exemple, l'utilitaire sous forme de .exe que vous avez copié sur une clé USB), vous donne la liste des vulnérabilités connues pour chaque logiciel et, cerise sur le gateau : le lien vers le correctif.
 
Bon, leur tarifs ne sont pas donnés (vraiment pas, mais je ne peux pas vous les dévoiler) mais pour une entreprise de taille moyenne à grande, je pense que le jeu en vaut largement la chandelle vu les ressource nécessaire pour suivre l'actualité des failles et faire le rapprochement avec un inventaire du parc souvent incomplet.
 
Le site de ce produit : http://secunia.com/vulnerability_scanning/corporate/

Aucun intérêt pour Linux puisque les failes sont patchées par la distribution...

si tu veux connaitre une liste matériel de tes machines, il faut installer une sonde:
 
OCSinventory rempli bien ce rôle. elle envoie les info au serveur de façon aléatoire (pour éviter de surcharger le serveur si c'est envoyé a heure fixe))
 
En 2e lieu, c'est sonde permet aussi d'inventorier les logiciels installé dessus. (sous windows du moins).
Enfin, elle permet de déployer des soft/correctif et peut etre interrogé a distance si nécessaire.
 
Coté serveur, ca fonctionne avec un serveur LAMP et ocs est consultable via une interface web.
 
Pour ce qui est de la base de vulnerabilité etc... je ne me suis pas penché sur ce probleme avec ocs.
Cette application est open source et bien souvent couplé à glpi.
 
 
Ca ne correspond pas tout à fait a tes besoins, mais ce peut être une source d'inspiration.

Le post initial date de 2004, au passage.

snipe foo
 
question à  snipe foo en passant   : est-ce moins cher qu'un microsoft center +wsus ? (cela dit, si j'ai bien compris, CSI est multiplateforme ?)

MacFennec : OCSinventory/GLPI je connais, j'utilise, c'est bien mais ça ne répond qu'à une toute petite partie des besoins. De plus, OCS se base uniquement sur la liste des programmes installé et non la liste des programmes présents sur la machine, ce qui bien souvent différent. Il n'y a pas, à ma connaissance, de possibilité de coupler GLPI à une base de vulnérabilité.
 
Pour le tarif, c'est plus cher System Center Essentials.
 
Mais du coté des fonctionnalités, on est bien loin de ce genre de soft. CSI trouve tous les exe/dll vulnerables et propose un lien vers leur mise à jour, et ce, peu importe l'éditeur.
 
Exemple sur ma machine (un Windows, bouh). Si je regarde GLPI, j'ai Flash Player 10. Si je regarde l'Ajout-suppression de programme, j'ai Flash Player 10. Mais si je regarde dans CSI, je vois qu'une version vulnérable de Flash Player 9 est encore en service dans le dossier des programmes téléchargés d'IE.
 

Merci de tes précisions.