Pourquoi Apple n'a toujours pas mis à jour Bind

Christophe Laporte |
En fin de semaine dernière, nous relevions qu'Apple n'avait toujours pas mis à jour son logiciel en charge du DNS (lire :Apple tarde à mettre à jour BIND). Désactivé par défaut sous Mac OS X, il est par contre fréquemment utilisé par les utilisateurs de Mac OS X Server. Ces derniers donc sont à la merci de la "fameuse" faille laquelle permet à des utilisateurs malintentionnés d'écrire de fausses données dans la cache d’un serveur DNS.

Pour la gestion du DNS, Apple utilise BIND, qui est dans son domaine le logiciel le plus utilisé. Développé en open source, BIND a été l'un des premiers à être patché afin de prendre en compte cette menace. Toutefois, les différentes versions corrigées pourraient dans certains cas être instables et souffrir de problèmes de performances sur les serveurs à fort trafic. Visiblement, c'est pour cela qu'Apple n'a pas encore publié de correctif.
Tags
avatar josephsardin | 

Bien fait pour nous !

avatar Nicky Larson | 

toujours les bonnes excuses quand il s'agit d'apple ...

avatar nona | 

De toutes façons, BIND, c'est nul puisque c'est en open-source. D'ailleurs, ces fainéants de developpeurs du libre ne se donnent même pas la peine d'effectuer un portage correct pour Notre Plate-Forme. J'ai peur qu'il faille donc se tourner vers des alternatives propriétaires dont l'intégration avec Notre OS est nettement plus aboutie.

nona

PS: Bon alors, c'est quand que j'ai le droit à ma tribune, moi?

avatar Eurylaime | 

Non mais sans rire... oO

avatar Bilbo | 

Ah ben oui.

Tout le monde sait que les DNS qui tournent sous Linux sont tous des serveurs à faible charge. C'est pour ça que les administrateur des serveurs Linux ont pris le risque de faire la mise à jour.

C'est tellement gros que j'ai des doutes. Sur quelles sources vous basez-vous pour dire "Visiblement, c'est pour cela qu'Apple n'a pas encore publié de correctif." ?

À+

avatar magicstick | 

blah blah blah blah blah blah Apple blah blah blah blah Meilleur systeme du monde blah blah blah blah pas nous c'est les autres blah blah blah blah nous c'est mieux blah blah blah blah blah Bouh microsoft beeeeuurrrkk blah blah blah blah blah blah

Donc en fait, clairement, je rejoins assez Nicky Larson..

avatar Flibust007 | 

@ magicstick

Bien dit + 1

avatar yellowiscool | 

Vaut mieux que le serveur crash à cause d'un problème de performances, qu'à cause d'une faille de sécurité exploitée.

L'excuse ne tient pas.

avatar treizep | 

De toute façon ils ont pas le temps de faire quoi que ce soit pour Mac OS X ils sont trop occupés à corriger les bugs de iJoujou et MobileCrash.

Faut pas leur en vouloir, ils ont eu quelque changements de priorités ces derniers temps (oui c'est ironique).

avatar kotek | 

Bôa, on s'en fout de tout ça. Ce qui compte, c'est qu'à la rentrée, je vais pouvoir m'acheter mon nouveau Macbook avec écran tactile qui réagit à la voix avec un push meilleur qu'Exchange et qui laissera la concurrence à des années lumières derrière en terme de tout !!

avatar Hak | 

Humm c'est plein de troll ici ou quoi? Mais la question que je me pose, c'est, est ce que vous vous relisez? Franchement....

Apple ne valide pas des corrections de codes si elles apportent plus de problème qu'elles ne règlent. Si elle le ferait, les même trolls vriendraient nous dire qu'apple se fous de ces clients et ne controle pas la qualité de ses produits. Vous voulez quoi à la fin?

Je préfère qu'Apple décide de retarder un patch pour controle de qualité et pour être sûr que les corrections n'apportent pas des autres problèmes tout aussi graves pour un serveur en déploiement.

La seule critique que je ferais à Apple sur cette histoire, c'est que dans une situation où un patch n'est pas possible rapidement pour cause de qualité du code, Apple doit communiquer d'avantage sur la question.

avatar Eurylaime | 

Le contrôle qualité sur Mac OS X Server, on le cherche à la loupe. Il suffit de voir la 10.5.0.

Quand on voit que NetworkInstaller.app et HeadlessStartup (entre autres) ne fonctionnent correctement qu'à partir de la 10.5.4...

Et après on nous parle d'assurance qualité.

avatar magicstick | 

C'est vrai que ça serait une première pour Apple de sortir un patch qui pourrait, éventuellement, dans certains cas, peut-être, causer des soucis hypothétiques, pour fixer un problème bien réel et vraiment critique comme on a en pas vu beaucoup depuis quelques temps.

Hak, on veut juste que parfois Apple arrete de nous prendre pour des cons. Mais en même temps, leur comm marche plutôt pas mal visiblement alors je comprends qu'ils continuent....

Et a propos de se relire...

avatar Wolf | 

Bind ca ne sert pas à grand chose, hormis sur OSX Server, et encore, pour cela il faut gérer soit même ses DNS.
Quand c'est une petite PME/I elle à son serveur OSX pour partager de fichiers, sinon les plus gros n'utilisent pas la gestin DNS via OSX. Ca ramène donc à deux pelé et trois tondus ...

avatar oomu | 

bind sur os x server n'est vraiment pas si important.

et cessez de paniquer, l'empoisonnement de cache dns est une vielle histoire et vous n'en êtes pas mort non ? ni apple, ni linux ni microsoft. Cela ne concernait pas simplement que bind mais le protocole dns en lui même.

Bind est un logiciel plus vaste qu'on pourrait le croire, et personnellement, je n'ai pas encore patché mon propre serveur (un linux) à mon travail. Nous utilisons une version de bind que nous avons passablement adapté à notre cadre et nous ne sautons pas sur la dernière version rapidement.

avatar florent | 

Me suis fait griller la politesse par wolf, mais en effet, BIND sous OS X Server n'est que très peu utilisé en version "publique". La plus part du temps c'est pour héberger un domaine en intranet.

avatar Hindifarai | 

Une source à ce "Visiblement, c'est pour cela qu'Apple n'a pas encore publié de correctif." aurait été appréciable.
Si c'est une justification donnée par Apple elle m'a bien fait rire, dans le cas contraire ils gardent leur ligne conductrice : tous leurs efforts vont vers les nouveaux clients et les fioritures mais tout ce qui est sécurité et sav des anciens clients...on laisse tomber.
Les entreprises ayant réellement besoin d'un Bind patché auront les moyens de mettre quelques dev sur le boulot et même peut-être sur l'amélioration des perfs...donc je ne comprends toujours pas pourquoi ne pas proposer le patch même s'il n'est pas parfait.
Apple semble de plus en plus laxiste sur la sécurité, si on met celà en parallèle avec snow leopard le constat est d'autant plus bizare.

avatar thierry61 | 

Ben.. relis les trois posts précédents : la situation est plus nuancée qu'il n'y parait de prime abord.

avatar fantomx6 | 

BIND merde alors !!!

Ces quoi ces cris de pucelles effarouchées ???

Faudrait vous décider, hein.

D'après certain, s'il y avait eu plus de contrôle qualité Leopard 10.5.0 aurait été moins buggé

OU

font chier Apple avec leur contrôle qualité y z'on pas mis Bind à jour

C'est quoi la bonne politique pour vous ???

Combien des aigris critiqueur qui parlent ici sont, DANS LA VRAIE VIE, impactés par cette faille ?

+10 à oomu comme d'hab.

avatar Hindifarai | 

Personnellement je suis impacté dans ma vie professionnelle depuis cette faille, d'autant plus depuis que des exploits sont dispos un peu partout sur internet. Donc oui tous mes serveurs DNS sont patchés et non ce ne sont pas des osx server suite à un choix serieux de système d'exploitation il y a quelques années et toujours d'actualité aujourd'hui.
Si mac osx server a été vendu comme une solution serieuse en matière d'os server il DOIT mettre à disposition ce patch...dans le cas contraire c'est un os lambda et en rien serveur.

J'imagine très bien les responsables de RHEL tenir le même discours...ils auraient déja 50 pétitions sur le dos, pour Apple rien n'est dit c'est un choix comme un autre :D .

avatar pacou | 

Pourrions nous avoir un article objectif sur ce sujet?

BIND est censé gérer les dns en convertissant une adresse ip en nom compréhensible si j'ai bien compris.

Mais quel est le problème? Comment cela peut impacter les systèmes? etc...

Bref, un topo SVP que l'on puisse avoir autre chose qu'une nouvelle : on veut de l'information, de la vraie, de la "qui nous aide à comprendre le contexte et ses répercutions".

Merci.

Sinon, je suis assez d'accord : sans l'information demandée à l'instant, le trop convenu pro Apple n'est pas de rigueur SI il n'est pas vérifié/vérifiable (j'allais dire "very fiable").

avatar Hindifarai | 

@pacou

Un serveur DNS pour simplifier reçoit une demande de ta part par exemple avec "www.macg.co", il traduit cette demande en faisant la correspondance entre ce nom de deomaine macg.co et une adresse IP(ensemble de chiffres pour simplifier).
Ce serveur DNS qui est une grosse application à un système de "cache" où il conserve certaines correspondance nom de domaine/ip.
Une faille récente permet à une personne male intentionnée de faire du "dns acche poisoning", autrement dit cette personne peut modifier cette partie cache.
Cela permet de faire du "spoofing" à grande échelle. L'attaquant peut rediriger une requete vers un de ses sites perso alors que tu penseras que ça va vers ta banque, ton navigateur ne verra pas la différence et le serveur DNS ne se rendra pas compte qu'il fait une opération fausse.

Cette faille provient entre autre de la mauvaise gestion de nombre aléatoire pour les ports de BIND. Une correction est disponible sous forme de patch mais l'efficacité en terme de temps de calcul est amoindrie, Apple se base sur ce dernier fait pour justifier la non disponibilité de patch à priori. Ce que certains trouvent normal et d'autres ridicules. (les énormes DNS tournant sur openBSD et utilisant BIND sont patchés mais Apple a des systèmes demandant plus de rapidité que ces derniers visiblement)

Maintenant il faut tenir compte du fait que les principaux DNS mondiaux et les DNS de vos FAI ne tournent pas sur mac osx server et la probabilité que cette non disponibilité de patch sur cette machine vous impacte est extrêmement faible.

NB : La situation est vulgarisée volontairement, je n'ai pas voulu faire de sensationnel avec l'exemple décrit plus haut bien que ce soit une illustration à l'extrême.

avatar Wolf | 

Hindifarai Au passage tu peut rajouter qu'il existe des DNS primaires et secondaires etc ..
Sinon tu peut rajouter aussi que OSX Server est un excellent server pour peu que tu l'utilise pour ce qu'il est vendu, à savoir un serveur de fichier avec des "options" supplémentaires, donc le mail etc. dans tous les cas et pour 1 a 50 utilisateurs ca marche d'enfer.

avatar Frenchie | 

Hindifarai, si je traduis correctement ton "dns acche poisoning", ça veut dire que tu as mal au crâne suite à un empoisonnement ?

avatar Un Vrai Con | 

"bind sur os x server n'est vraiment pas si important.

et cessez de paniquer, l'empoisonnement de cache dns est une vielle histoire et vous n'en êtes pas mort non ? ni apple, ni linux ni microsoft. Cela ne concernait pas simplement que bind mais le protocole dns en lui même.

Bind est un logiciel plus vaste qu'on pourrait le croire, et personnellement, je n'ai pas encore patché mon propre serveur (un linux) à mon travail. Nous utilisons une version de bind que nous avons passablement adapté à notre cadre et nous ne sautons pas sur la dernière version rapidement."

On comprends que tu n'as encore rien fait, vu que tu passe ton temps à en écrire des tonnes sur ce blog.
Passe donc un peu plus de temps à ton travail, et laisse tomber les "pignolades" pour ados boutonneux qui se la joue.

Pages

CONNEXION UTILISATEUR