Pourquoi Apple n'a toujours pas mis à jour Bind

Christophe Laporte |
En fin de semaine dernière, nous relevions qu'Apple n'avait toujours pas mis à jour son logiciel en charge du DNS (lire :Apple tarde à mettre à jour BIND). Désactivé par défaut sous Mac OS X, il est par contre fréquemment utilisé par les utilisateurs de Mac OS X Server. Ces derniers donc sont à la merci de la "fameuse" faille laquelle permet à des utilisateurs malintentionnés d'écrire de fausses données dans la cache d’un serveur DNS.

Pour la gestion du DNS, Apple utilise BIND, qui est dans son domaine le logiciel le plus utilisé. Développé en open source, BIND a été l'un des premiers à être patché afin de prendre en compte cette menace. Toutefois, les différentes versions corrigées pourraient dans certains cas être instables et souffrir de problèmes de performances sur les serveurs à fort trafic. Visiblement, c'est pour cela qu'Apple n'a pas encore publié de correctif.

Tags
avatar josephsardin | 

Bien fait pour nous !

avatar Nicky Larson | 

toujours les bonnes excuses quand il s'agit d'apple ...

avatar nona | 

De toutes façons, BIND, c'est nul puisque c'est en open-source. D'ailleurs, ces fainéants de developpeurs du libre ne se donnent même pas la peine d'effectuer un portage correct pour Notre Plate-Forme. J'ai peur qu'il faille donc se tourner vers des alternatives propriétaires dont l'intégration avec Notre OS est nettement plus aboutie.

nona

PS: Bon alors, c'est quand que j'ai le droit à ma tribune, moi?

avatar Eurylaime | 

Non mais sans rire... oO

avatar Bilbo | 

Ah ben oui.

Tout le monde sait que les DNS qui tournent sous Linux sont tous des serveurs à faible charge. C'est pour ça que les administrateur des serveurs Linux ont pris le risque de faire la mise à jour.

C'est tellement gros que j'ai des doutes. Sur quelles sources vous basez-vous pour dire "Visiblement, c'est pour cela qu'Apple n'a pas encore publié de correctif." ?

À+

avatar magicstick | 

blah blah blah blah blah blah Apple blah blah blah blah Meilleur systeme du monde blah blah blah blah pas nous c'est les autres blah blah blah blah nous c'est mieux blah blah blah blah blah Bouh microsoft beeeeuurrrkk blah blah blah blah blah blah

Donc en fait, clairement, je rejoins assez Nicky Larson..

avatar Flibust007 | 

@ magicstick

Bien dit + 1

avatar yellowiscool | 

Vaut mieux que le serveur crash à cause d'un problème de performances, qu'à cause d'une faille de sécurité exploitée.

L'excuse ne tient pas.

avatar treizep | 

De toute façon ils ont pas le temps de faire quoi que ce soit pour Mac OS X ils sont trop occupés à corriger les bugs de iJoujou et MobileCrash.

Faut pas leur en vouloir, ils ont eu quelque changements de priorités ces derniers temps (oui c'est ironique).

avatar kotek | 

Bôa, on s'en fout de tout ça. Ce qui compte, c'est qu'à la rentrée, je vais pouvoir m'acheter mon nouveau Macbook avec écran tactile qui réagit à la voix avec un push meilleur qu'Exchange et qui laissera la concurrence à des années lumières derrière en terme de tout !!

avatar Hak | 

Humm c'est plein de troll ici ou quoi? Mais la question que je me pose, c'est, est ce que vous vous relisez? Franchement....

Apple ne valide pas des corrections de codes si elles apportent plus de problème qu'elles ne règlent. Si elle le ferait, les même trolls vriendraient nous dire qu'apple se fous de ces clients et ne controle pas la qualité de ses produits. Vous voulez quoi à la fin?

Je préfère qu'Apple décide de retarder un patch pour controle de qualité et pour être sûr que les corrections n'apportent pas des autres problèmes tout aussi graves pour un serveur en déploiement.

La seule critique que je ferais à Apple sur cette histoire, c'est que dans une situation où un patch n'est pas possible rapidement pour cause de qualité du code, Apple doit communiquer d'avantage sur la question.

avatar Eurylaime | 

Le contrôle qualité sur Mac OS X Server, on le cherche à la loupe. Il suffit de voir la 10.5.0.

Quand on voit que NetworkInstaller.app et HeadlessStartup (entre autres) ne fonctionnent correctement qu'à partir de la 10.5.4...

Et après on nous parle d'assurance qualité.

avatar magicstick | 

C'est vrai que ça serait une première pour Apple de sortir un patch qui pourrait, éventuellement, dans certains cas, peut-être, causer des soucis hypothétiques, pour fixer un problème bien réel et vraiment critique comme on a en pas vu beaucoup depuis quelques temps.

Hak, on veut juste que parfois Apple arrete de nous prendre pour des cons. Mais en même temps, leur comm marche plutôt pas mal visiblement alors je comprends qu'ils continuent....

Et a propos de se relire...

avatar Wolf | 

Bind ca ne sert pas à grand chose, hormis sur OSX Server, et encore, pour cela il faut gérer soit même ses DNS.
Quand c'est une petite PME/I elle à son serveur OSX pour partager de fichiers, sinon les plus gros n'utilisent pas la gestin DNS via OSX. Ca ramène donc à deux pelé et trois tondus ...

avatar oomu | 

bind sur os x server n'est vraiment pas si important.

et cessez de paniquer, l'empoisonnement de cache dns est une vielle histoire et vous n'en êtes pas mort non ? ni apple, ni linux ni microsoft. Cela ne concernait pas simplement que bind mais le protocole dns en lui même.

Bind est un logiciel plus vaste qu'on pourrait le croire, et personnellement, je n'ai pas encore patché mon propre serveur (un linux) à mon travail. Nous utilisons une version de bind que nous avons passablement adapté à notre cadre et nous ne sautons pas sur la dernière version rapidement.

avatar florent | 

Me suis fait griller la politesse par wolf, mais en effet, BIND sous OS X Server n'est que très peu utilisé en version "publique". La plus part du temps c'est pour héberger un domaine en intranet.

avatar Hindifarai | 

Une source à ce "Visiblement, c'est pour cela qu'Apple n'a pas encore publié de correctif." aurait été appréciable.
Si c'est une justification donnée par Apple elle m'a bien fait rire, dans le cas contraire ils gardent leur ligne conductrice : tous leurs efforts vont vers les nouveaux clients et les fioritures mais tout ce qui est sécurité et sav des anciens clients...on laisse tomber.
Les entreprises ayant réellement besoin d'un Bind patché auront les moyens de mettre quelques dev sur le boulot et même peut-être sur l'amélioration des perfs...donc je ne comprends toujours pas pourquoi ne pas proposer le patch même s'il n'est pas parfait.
Apple semble de plus en plus laxiste sur la sécurité, si on met celà en parallèle avec snow leopard le constat est d'autant plus bizare.

avatar thierry61 | 

Ben.. relis les trois posts précédents : la situation est plus nuancée qu'il n'y parait de prime abord.

avatar fantomx6 | 

BIND merde alors !!!

Ces quoi ces cris de pucelles effarouchées ???

Faudrait vous décider, hein.

D'après certain, s'il y avait eu plus de contrôle qualité Leopard 10.5.0 aurait été moins buggé

OU

font chier Apple avec leur contrôle qualité y z'on pas mis Bind à jour

C'est quoi la bonne politique pour vous ???

Combien des aigris critiqueur qui parlent ici sont, DANS LA VRAIE VIE, impactés par cette faille ?

+10 à oomu comme d'hab.

avatar Hindifarai | 

Personnellement je suis impacté dans ma vie professionnelle depuis cette faille, d'autant plus depuis que des exploits sont dispos un peu partout sur internet. Donc oui tous mes serveurs DNS sont patchés et non ce ne sont pas des osx server suite à un choix serieux de système d'exploitation il y a quelques années et toujours d'actualité aujourd'hui.
Si mac osx server a été vendu comme une solution serieuse en matière d'os server il DOIT mettre à disposition ce patch...dans le cas contraire c'est un os lambda et en rien serveur.

J'imagine très bien les responsables de RHEL tenir le même discours...ils auraient déja 50 pétitions sur le dos, pour Apple rien n'est dit c'est un choix comme un autre :D .

avatar pacou | 

Pourrions nous avoir un article objectif sur ce sujet?

BIND est censé gérer les dns en convertissant une adresse ip en nom compréhensible si j'ai bien compris.

Mais quel est le problème? Comment cela peut impacter les systèmes? etc...

Bref, un topo SVP que l'on puisse avoir autre chose qu'une nouvelle : on veut de l'information, de la vraie, de la "qui nous aide à comprendre le contexte et ses répercutions".

Merci.

Sinon, je suis assez d'accord : sans l'information demandée à l'instant, le trop convenu pro Apple n'est pas de rigueur SI il n'est pas vérifié/vérifiable (j'allais dire "very fiable").

avatar Hindifarai | 

@pacou

Un serveur DNS pour simplifier reçoit une demande de ta part par exemple avec "www.macg.co", il traduit cette demande en faisant la correspondance entre ce nom de deomaine macg.co et une adresse IP(ensemble de chiffres pour simplifier).
Ce serveur DNS qui est une grosse application à un système de "cache" où il conserve certaines correspondance nom de domaine/ip.
Une faille récente permet à une personne male intentionnée de faire du "dns acche poisoning", autrement dit cette personne peut modifier cette partie cache.
Cela permet de faire du "spoofing" à grande échelle. L'attaquant peut rediriger une requete vers un de ses sites perso alors que tu penseras que ça va vers ta banque, ton navigateur ne verra pas la différence et le serveur DNS ne se rendra pas compte qu'il fait une opération fausse.

Cette faille provient entre autre de la mauvaise gestion de nombre aléatoire pour les ports de BIND. Une correction est disponible sous forme de patch mais l'efficacité en terme de temps de calcul est amoindrie, Apple se base sur ce dernier fait pour justifier la non disponibilité de patch à priori. Ce que certains trouvent normal et d'autres ridicules. (les énormes DNS tournant sur openBSD et utilisant BIND sont patchés mais Apple a des systèmes demandant plus de rapidité que ces derniers visiblement)

Maintenant il faut tenir compte du fait que les principaux DNS mondiaux et les DNS de vos FAI ne tournent pas sur mac osx server et la probabilité que cette non disponibilité de patch sur cette machine vous impacte est extrêmement faible.

NB : La situation est vulgarisée volontairement, je n'ai pas voulu faire de sensationnel avec l'exemple décrit plus haut bien que ce soit une illustration à l'extrême.

avatar Wolf | 

Hindifarai Au passage tu peut rajouter qu'il existe des DNS primaires et secondaires etc ..
Sinon tu peut rajouter aussi que OSX Server est un excellent server pour peu que tu l'utilise pour ce qu'il est vendu, à savoir un serveur de fichier avec des "options" supplémentaires, donc le mail etc. dans tous les cas et pour 1 a 50 utilisateurs ca marche d'enfer.

avatar Frenchie | 

Hindifarai, si je traduis correctement ton "dns acche poisoning", ça veut dire que tu as mal au crâne suite à un empoisonnement ?

avatar Un Vrai Con | 

"bind sur os x server n'est vraiment pas si important.

et cessez de paniquer, l'empoisonnement de cache dns est une vielle histoire et vous n'en êtes pas mort non ? ni apple, ni linux ni microsoft. Cela ne concernait pas simplement que bind mais le protocole dns en lui même.

Bind est un logiciel plus vaste qu'on pourrait le croire, et personnellement, je n'ai pas encore patché mon propre serveur (un linux) à mon travail. Nous utilisons une version de bind que nous avons passablement adapté à notre cadre et nous ne sautons pas sur la dernière version rapidement."

On comprends que tu n'as encore rien fait, vu que tu passe ton temps à en écrire des tonnes sur ce blog.
Passe donc un peu plus de temps à ton travail, et laisse tomber les "pignolades" pour ados boutonneux qui se la joue.

avatar Hindifarai | 

@wolf
"Hindifarai Au passage tu peut rajouter qu'il existe des DNS primaires et secondaires etc .."
J'ai du mal à voir ce que tu veux dire, cette remarque étant hors sujet. Si tu insinues subtilement que j'ai donné trop de détail je n'ai donné que le strict minimum et j'ai même simplifié à outrance amenant quelques imprécisions sans importances ici.

Il faut également arrêter avec le discours sur le fait que la faille provient du protocole DNS, c'est en partie vrai mais quelques daemons DNS n'étaient pas touchés par cette nouvelle faille simplement parce que leur politique de gestion de nombres aléatoires dans leurs algos sont serieux. La desinformation est pénible à force.
Cette faille est critique, quelle que soit la taille du réseau. Que certains ne veuillent pas mettre à jour c'est leur choix, grand bien leur fasse, mais les OS orientés serveur se doivent d'avoir un correctif mis à disposition s'ils veulent avoir une image un minimum sérieuse. Sachant que le patch était dispo le jour de l'annonce c'est tout simplement allucinant de la part d'Apple. Ce n'est pas pour le temps que ça prends à être corrigé et être mis à disposition. Si un seul développeur avait été mis sur le coup depuis cette date le correctif aurait été dispo depuis longtemps...ils doivent tous bosser sur le géniallissime os de l'iphone, quand on voit le prix d'un xserve et le prix d'un iphone...mince j'aurais du regarder le nombre de machines en circulation et l'orientation publicitaire du moment suis-je bête!

avatar pacou | 

@Hindifarai

Merci

avatar thierry61 | 

Allez, pour remettre de l'huile sur le feu :
cette histoire assez rigolote que je viens de voir :

http://www.macworld.com/article/134758/2008/07/dnsattack.html

avatar atomusk | 

Serieux les mecs changez rien ! Vous etes les meilleurs !

On a une faille de sécu qui permet de modifier les DNS du serveur DNS de la boite et par exemple (un proof of concept a déjà été publié) modifier l'URL des mises à jour de tous les macs de la boite et chaque mac va pouvoir gentillement pomper sa petite update (sans certificat s'il vous plait !) et va se l'installer avec les droits admin !

C'est bon ça, tous les macs de la boite verrolés parce que Apple veux pas que le serveur DNS rame ! Et vous trouvez ça normal ? Non franchement changez rien !

bien sur les clients de OSX serveur sont tellement peu nombreux que Steve pourrait leur passer un coup de fil personnellement pour leur dire "Faites gaffe avec le DNS", mais non ! Autant rien dire et laisser couler ! c'est tellement plus pro !

Et apres on se surprend de voir les pdm désastreuses de OSX serveur :p

avatar atomusk | 

Allez je poste la source pendant que j'y suis :
http://readlist.com/lists/lists.netsys.com/full-disclosure/8/44613.html

avatar MrSoul | 

De toute façon, utiliser des services critique de haute sécurité comme le DNS, les mails et les services sécurisé sur OS X est particulièrement débile, OS X, c'est bien pour ceux qui veullent monter un petit truc interne facilement...

avatar pacou | 

@MrSoul

Bien que je ne fasse pas partie des utilisateurs de Mac OS X Server, je ne vois pas ce qu'apporte votre réponse.

Vous jetez un avis personnel, sans explication, sans justification. Cet avis n'a pour but que de jeter le discrédit sur une solution informatique.

Hormis cet apparemment "pas si grave problème que ça" mais problème majeur tout de même compte tenu du doute qu'il jette, il me semble pourtant évident à lire les spécifications du serveur (je ne parle pas ici de l'interface graphique, qui a elle aussi son intérêt, mais bien de ce qu'il y a dessous) que les outils logiciels utilisés par Apple sont les mêmes que ceux que l'on trouve dans toutes les distro Linux que vous tous semblez porter aux nues.

Et ça me rappelle le temps où l'on était encore à Mac OS 8 ou 9, avec mon iMac gris sur lequel on ne pouvait pas installer Linux. Je l'ai fait quand même par amusement. Tout le monde à l'époque disait : "La ligne de commande sur Linux, y a que ça de vrai, les interface graphique c'est inutile, ça bouffe de la ressource ..." etc.

On voit aujourd'hui ce que cela donne : les distro Linux "desktop" regorge d'effets visuels inutile que même Apple n'ose pas (ex : le Bureau en 3D, remplacer par Cover Flow, certainement plus économique en ressource).

Votre problème avec Mac OS X Server c'est cela même : il y a une interface graphique qui voilent la technicité de l'outils et c'est heureux. Ce n'est qu'une histoire de temps, mais tous les OS Serveur feront de même d'ici peu.

Cela n'excuse pas Apple de faire la muette.

avatar james85 | 

[quote]Apple ne valide pas des corrections de codes si elles apportent plus de problème qu'elles ne règlent. Si elle le ferait, les même trolls vriendraient nous dire qu'apple se fous de ces clients et ne controle pas la qualité de ses produits. Vous voulez quoi à la fin?

Je préfère qu'Apple décide de retarder un patch pour controle de qualité et pour être sûr que les corrections n'apportent pas des autres problèmes tout aussi graves pour un serveur en déploiement.[/quote]
Ce patch a été conçu [b]en commun[/b] par tous les principaux acteurs : Microsoft, Sun, Cisco et ... Apple. Tous les autres ont fait la modif, sauf Apple. Ils auraient donc besoin de plus de temps que les autres pour faire un contrôle qualité d'un patch auquel ils ont collaboré ?

Ca commence à faire jaser.

avatar pacou | 

Apple victime de son succès et de son manque flagrant de réactivité (voire même de réaction).

J'ai lu depuis hier un certain nombre d'articles qui me font dire que soit Apple corrige TRES vite le tir, soit les quelques entreprises qui commencent à vouloir faire le pas vers Apple vont se tirer vite fait, bien fait.

Le sujet en question est trop sensible pour que cet immobilisme de maintenant 1 mois n'ait pas de conséquence(s).

avatar Hindifarai | 

[quote=pacou]Votre problème avec Mac OS X Server c'est cela même : il y a une interface graphique qui voilent la technicité de l'outils et c'est heureux. Ce n'est qu'une histoire de temps, mais tous les OS Serveur feront de même d'ici peu.[/quote]

Merci pour ce moment de détente. Je vais de ce pas monter un kde ou gnome sur mon serveur racine...tiens pourquoi pas enlightment aussi?
Un serveur par définistion n'a pas de terminal(au sens moniteur), il s'administre à distance depuis un poste interne au réseau point barre.
Monter un gestionnaire de fenêtres sur un serveur est une hérésie quoi que vous en pensiez.
Bien entendu je parle de véritable serveurs au sens professionel et non d'un serveur personnel que vous pouvez avoir chez vous.

La seul interface graphique que je n'ai jamais utilisé sur un serveur est webmin sur un serveur ftp/http et je lui préferais largement ssh, l'administration de serveur est un métier où la connaissance des lignes de commandes est nécessaire, ce n'est pas de la mise en page sous openoffice il faudrait arrêter de vulgariser les métiers de l'informatique à outrance.

[quote=pacou]On voit aujourd'hui ce que cela donne : les distro Linux "desktop" regorge d'effets visuels inutile que même Apple n'ose pas (ex : le Bureau en 3D, remplacer par Cover Flow, certainement plus économique en ressource).[/quote]
Ce n'est vrai que pour les distros très grand public comme le fer de lance ubuntu et on peut facilement desactiver tous ces effets, tout comme les fioritures peuvent également être desactivées sur osx(moins facilement d'ailleurs).

avatar pacou | 

Hou la il est vexé le chtiot.

Mais s'il savait que OS X Server est par définition administrable et instalable à distance il nous ferait pas un caca tout mou.

Et vous venez exactement de dire ce qui se disait avant pour les postes client pour lesquels seul le sacro-saint ingénieur informatique, dieu tout puissant, devait savoir utiliser, paramétrer, gérer, dépanner le neuneu usager. Heureusement ça a changé. Des neuneus, il y en a toujours, mais il peuvent même seul installer une imprimante.

L'évolution des serveurs se fera dans le même sens, et cela n'empêchera pas à l'administration système de rester "un métier". Je suis comptable, je ne m'offusque pas de savoir que des clients puissent savoir utiliser un logiciel de compta.

Sur ceux, merci de m'avoir démontré qu'il y a toujours autant de gens sectaires dans l'informatique, comme ailleurs. Vous n'êtes finalement pas si différents des autres humains. Ca fait chaud au coeur

:-D Grosse Marrade!

avatar Hindifarai | 

@pacou
Effectivement l'utilisateur lambda peut avoir besoin chez lui d'un serveur, afin qu'il fasse tourner des daemons/services tels DNS, FTP, HTTP, SQL, NFS, SSH et il souhaite pour celà avoir une interface qui flashouille plus qu'un shell...On peut redevenir serieux?
Si un utilisateur a besoin de ces services/daemons il se tourne vers une solution disponible sur le net et parfois gratuitement pour certains FAI.
Je ne connais pas d'utilisateur lambda ayant une station dédiée à faire tourner son serveur perso chez lui, si c'est votre cas soit c'est votre métier soit vous avez une vie sociale à revoir.

Et enfin pour quelqu'un dont c'est le métier administrer via un shell est dans 90% des cas largement plus efficace et pratique (ne serais-ce que pour ne pas être limité par les fonctions disponibles sur l'interface ça me parait évident mais il faut apparament le souligner)

Et si ça peut vous faire plaisir je rêve d'avoir un équivalent à coregraphic sur ma passerelle qui tourne sur openBSD...(sic)

Pour ce qui est de votre comparaison avec votre métier de comptable, je ne vais pas vous dire quelle est la meilleure méthode pour ce qui est de faire les bilans financiers ni comment vous devriez te réorganiser. Maintenant ce que je vous dis et que vous ne semblez pas comprendre c'est qu'un serveur est distant de l'administrateur dans une énorme majorité des cas amenant l'intérêt du gestionnaire de fenêtre à 0, ensuite s'il est devant le serveur et qu'il a accès à ton gestionnaire il est limité par les possibilité d'administration graphique, ramenant de nouveau l'intérêt à 0.
Si les administrateurs sont formés pour administrer par ligne de commande ce n'est pas par fanatisme il y a de la cohérence derrière même si vous n'en avez pas conscience.

Maintenant si on ramène l'interêt d'osx server à être seulement installé sur des routeurs vendus en supermarchés là d'accord une interface http est largement suffisante comme ce qui se fait actuellement pour faire de la redirection de port et déclaré une dmz entre autre mais jamais ça n'a été l'objectif d'Apple. Ils se sont tourné vers le milieu professionnel des serveur et donc le gestionnaire de fenêtre ne se suffit pas à lui même. De même les correctifs officiels de sécurité sur une faille béante de BIND doivent être mis rapidement à disposition (histoire de revenir sur le sujet initial).

avatar pacou | 

Encore une fois je ne remets pas en cause les compétences nécessaires à l'administration un système, mais OS X permet les deux :

- une administration relativement simplifiée via une interface graphique. Ca pourrait m'intéresser alors que je n'ai pas les moyens d'avoir un SysAd
- une administration plus poussée en ayant en plus le terminal.

Merci pour cette joute via ce blog.

Et effectivement le sujet initial : Que fout Apple?

avatar Un Vrai Con | 

Heureusement que les vrais admins n'ont pas le temps de lire ces délires de gens qui eux ont beaucoup de temps, normal ils ne sont pas admins.

avatar pacou | 

Mais que faites vous là ?
Je vous croyais au boulot ?

Mais si on a plus le droit de se détendre, c'est un comble ;-)

avatar MrSoul | 

Un vrais con> Et il y a besoin d'être professionnel pour pouvoir parler du sujet ?
Perso, je suis photographe et graphiste, pourtant j'ai deux serveurs dédiés compilé mano (un local et un de prod en datacenter)...

Ce que je voulais dire par mon post, c'est que certains OS sont bien plus robustes et éprouvé (comme OpenBSD cité plus haut), alors pourquoi vouloir utiliser un jouet pour amateur (plus il y a d'aide, d'inteface graphique et de choses totalement inutile en production et plus le risque de trouver une faille augmente, sans parler de l'amoindrissement des ressources, pour de la très haute disponibilité, c'est essentiel !)

CONNEXION UTILISATEUR