Apple tarde à mettre à jour BIND
Il y a deux semaines, la presse généraliste s'inquiétait de la faille de sécurité relative au DNS qui pouvait "mettre en péril" Internet si rien n'était fait rapidement (lire : Le jour où le Net s'écroulera).
De nombreux constructeurs ont déjà réagi en mettant en ligne un correctif. D'autres sont à la traîne, à commencer par Apple qui n'a toujours pas mis à jour BIND, le logiciel open source qu'elle utilise comme serveur DNS. Ce dernier a d'ores et déjà été patché, la balle est dans le camp d'Apple.
Techniquement, les utilisateurs de Mac OS X sont affectés par le problème, mais dans 99 % des cas, celui-ci est désactivé. Cela est moins vrai avec les ordinateurs sous Mac OS X Server, dont le DNS (et pour cause) est fréquemment activé.
La situation commence à devenir pressante, les détails de la faille ayant été publiés accidentellement par la société Matasano. L'occasion était trop belle pour les hackers qui se sont empressés de diffuser des bouts de code permettant de l'exploiter facilement. Concrètement, la faille permet d'écrire de fausses données dans la cache d’un serveur DNS, et potentiellement d'aiguillonner l'internaute vers des sites malicieux.
De nombreux constructeurs ont déjà réagi en mettant en ligne un correctif. D'autres sont à la traîne, à commencer par Apple qui n'a toujours pas mis à jour BIND, le logiciel open source qu'elle utilise comme serveur DNS. Ce dernier a d'ores et déjà été patché, la balle est dans le camp d'Apple.
Techniquement, les utilisateurs de Mac OS X sont affectés par le problème, mais dans 99 % des cas, celui-ci est désactivé. Cela est moins vrai avec les ordinateurs sous Mac OS X Server, dont le DNS (et pour cause) est fréquemment activé.
La situation commence à devenir pressante, les détails de la faille ayant été publiés accidentellement par la société Matasano. L'occasion était trop belle pour les hackers qui se sont empressés de diffuser des bouts de code permettant de l'exploiter facilement. Concrètement, la faille permet d'écrire de fausses données dans la cache d’un serveur DNS, et potentiellement d'aiguillonner l'internaute vers des sites malicieux.
on est peut être sur un clone malicieux de macgé.... aaaarghhhh
au secours Alvaro !
Seule solution, ne plus venir sur MacGé jusqu'à la publication du correctif !
au revoir....
arghhh!!!
Justement tient, chez Free, coupure totale d'internet (juste web et POP; car TV et phone fonctionnaient) entre minuit et 3 heures du mat. "Panne générale sur les serveurs DNS" confirmée par un opérateur Free.
Z'auraient pas mis à jour leurs DNS servers chez Free en rapport à ça?
Bon je suis parano...mais ça me rassure de pouvoir retourner sur me.com ;-)
Moi j'étais étonné de ne pas voir de maj de sécurité, depuis cette info. M'est avis qu'ils devraient vitre réagir, parce que si jamais qq un exploite la faille, ça risque de faire une très mauvaise pub à Apple.
Va falloir que j'arrête le [i]bind[/i] de mon PowerBook ... En même temps, le PB est son seul client, à ce DNS ...
"d'aiguiller", pas "d'aiguillonner"... :-)
Concernant Free, j'ai eu une panne bizarre de 24h (ni internet ni multiposte, mais tél. ok) il y a quelques jours : et comme d'habitude pas un mot d'information, rien...
Ah, une petite info quand même : depuis que le temps d'attente du support est gratuit, et bien... on n'attend plus :-)
M'enfin, ils ont fini par me dire (au bout de 20mn payantes de reconfigurations diverses) que ça devait venir du Mac... alors que rien à voir, ça c'est remis à fonctionner sans rien faire le lendemain !
Et après on nous sort que Mac OS X Server c'est le pied en entreprise ... mwhahahahahaha.
Pas foutu de corriger cette faille rapidement alors que même le grand méchant microsoft l'a fait.
Ca donne une idée du sérieux d'Apple dans le monde des entreprises ...
à Nicky Larson --> entièrement d'accord. CA CRAINT, tout simplement.
[quote]Techniquement, les utilisateurs de Mac OS X sont affectés par le problème, mais dans 99 % des cas, celui-ci est désactivé.[/quote]
Il faudrait savoir: soit les utilisateurs sont affectés par le problème, soit il ne le sont pas; il aurait fallu dire "potentiellement concernés". De plus, votre phrase signifie que c'est le problème qui est désactivé, alors que je pense que c'est plutôt le BIND.
Rien de personnel, Christophe, mais les mots ont un sens (on ouvre alors un dictionnaire de temps en temps), et il est bon de se relire, voire surtout de se [b]faire relire[/b].
Quel rapport avec une prétendue faille cette coupure "panne des serveurs DNS". C'est dans 99,99999999 % des cas ces serveurs qui sont en panne quand vous n'avez plus d'Internet. Pas besoin d'un virus ! Et ça date pas d'hier !
Entièrement d'accord, Apple abuse sur ce coup, d'autant plus qu'en interne leur serveurs eux sont déjà patché...
Ca donne envie de migrer les serveurs pro de GNU/Linux vers OSX il n'y a pas à dire! Mais ne vous en faîtes pas Apple vous aime et bosse en ne pensant qu'à vous, un nouvel osx server sortira peut-être dans un an ne tournant que sur les futures toutes nouvelles archi intel...vraiment pas de quoi vous énerver qui a besoin des nouvelles fonctionnalités de BIND? :D
Désolé pour tous ces sarcasmes mais je vient de subire le deuxième plantage materiel de mon ibook sujet à une pétition sur internet mais non reconnu par Apple. Le fait de voir mon objet de travail à 1300€ devenir simple presse-papier a tendance à m'énerver légèrement.
Je pars m'acheter un Dell et y installer GNU/Linux en vous souhaitant bien du bonheur avec Apple qui a bien trop changé depuis quelques années.
Savez-vous quelles sont les versions de BIND vulnérables ?
Je gère 2 serveurs DNS publics sous Mac OS X Server, l'un est une version 9.3.4-P1 (Panther) et l'autre 9.4.1-P1 (Leopard), alors suis un peu préoccupé en matière de sécurité.
@KeepAlive
Versions affected:
BIND 9.0 (all versions)
BIND 9.1 (all versions)
BIND 9.2.0, 9.2.1, 9.2.2, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8
BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4
BIND 9.4.0, 9.4.1
BIND 9.5.0a1, 9.5.0a2, 9.5.0a3, 9.5.0a4, 9.5.0a5
Not vulnerable: BIND 9.2.8-P1, BIND 9.3.4-P1, BIND 9.4.1-P1 or BIND 9.5.0a6
Tu peux donc dormir sur tes deux oreilles. Les deux serveurs DNS que tu gères doivent juste avoir des performances légèrement réduites par rapport aux versions faillibles. Les betas en développement améliorent ces dîtes performances, il faut juste espérer qu'elles passent rapidement en stable ou ne serais-ce que RC.
@Hindifarai: merci me voilà rassuré. En fait le "P1" fait référence au numéro du patch qui corrige de manière non-optimisée mais dans l'urgence le bug, en attendant une prochaine version stable :-)
@peterbaby
Ils sont peut être sous OS X Serveur.
Oups !
Heu... pardon.... Gloups !