Le 17/04/2012 17:48, Laurent Fousse a écrit :
> Bonjour,
>
> On Tue, Apr 17, 2012 at 08:18, Anael<anael@???> wrote:
>> L'installation via un paquet est toujours la solution la plus simple pour
>> effectuer les mises à jour d'un logiciel.
>> Mais quel en est le prix d'un point de vue sécurité ? (je pense
>> particulièrement aux packages phpmyadmin de debian...)
> Pour Debian on bénéficie du support de sécurité pour les paquets dans
> stable (et dans une certaine mesure, dans testing aussi).
> Donc s'il y a un « prix », ou plutôt un compromis, il est au niveau de
> la version des logiciels et pas au niveau de la sécurité.
>
> Laurent.
Démonstration par l'exemple :
CVE-2011-2508
-> phpMyAdmin : corrigée le 02/07/2011
http://www.phpmyadmin.net/home_page/security/PMASA-2011-8.php
-> Debian : corrigée le 26/07/2011
http://packages.debian.org/changelogs/pool/main/p/phpmyadmin/phpmyadmin_3.3.7-7/changelog
24 jours de vulnérabilités sur internet.
Je ne vais pas épiloguer sur les exploit automatisés qui sont effectués
couramment sur internet aujourd'hui.
24 jours de compromis de sécurité.
Attention à ne pas "mal lire" mes propos : je ne jette pas la pierre aux
contributeurs Debian, loin de là !
Je souhaite juste sensibiliser les personnes installant tout via des
paquets : l'administration d'un serveur public est un métier, pas juste
une perte de temps.
La sécurisation / limitation d'adresses IP autorisées pour certaines
applications sensibles, ... ne sont pas que des mots vains dans le cas
des applications web.
Je rejoins entièrement Laurent sur le compromis (également) sur la
version des logiciels.
Bonne soirée,
Anael
