Pourquoi Apple n'a toujours pas mis à jour Bind

Christophe Laporte |
En fin de semaine dernière, nous relevions qu'Apple n'avait toujours pas mis à jour son logiciel en charge du DNS (lire :Apple tarde à mettre à jour BIND). Désactivé par défaut sous Mac OS X, il est par contre fréquemment utilisé par les utilisateurs de Mac OS X Server. Ces derniers donc sont à la merci de la "fameuse" faille laquelle permet à des utilisateurs malintentionnés d'écrire de fausses données dans la cache d’un serveur DNS.

Pour la gestion du DNS, Apple utilise BIND, qui est dans son domaine le logiciel le plus utilisé. Développé en open source, BIND a été l'un des premiers à être patché afin de prendre en compte cette menace. Toutefois, les différentes versions corrigées pourraient dans certains cas être instables et souffrir de problèmes de performances sur les serveurs à fort trafic. Visiblement, c'est pour cela qu'Apple n'a pas encore publié de correctif.

Tags
avatar Hindifarai | 

@wolf
"Hindifarai Au passage tu peut rajouter qu'il existe des DNS primaires et secondaires etc .."
J'ai du mal à voir ce que tu veux dire, cette remarque étant hors sujet. Si tu insinues subtilement que j'ai donné trop de détail je n'ai donné que le strict minimum et j'ai même simplifié à outrance amenant quelques imprécisions sans importances ici.

Il faut également arrêter avec le discours sur le fait que la faille provient du protocole DNS, c'est en partie vrai mais quelques daemons DNS n'étaient pas touchés par cette nouvelle faille simplement parce que leur politique de gestion de nombres aléatoires dans leurs algos sont serieux. La desinformation est pénible à force.
Cette faille est critique, quelle que soit la taille du réseau. Que certains ne veuillent pas mettre à jour c'est leur choix, grand bien leur fasse, mais les OS orientés serveur se doivent d'avoir un correctif mis à disposition s'ils veulent avoir une image un minimum sérieuse. Sachant que le patch était dispo le jour de l'annonce c'est tout simplement allucinant de la part d'Apple. Ce n'est pas pour le temps que ça prends à être corrigé et être mis à disposition. Si un seul développeur avait été mis sur le coup depuis cette date le correctif aurait été dispo depuis longtemps...ils doivent tous bosser sur le géniallissime os de l'iphone, quand on voit le prix d'un xserve et le prix d'un iphone...mince j'aurais du regarder le nombre de machines en circulation et l'orientation publicitaire du moment suis-je bête!

avatar pacou | 

@Hindifarai

Merci

avatar thierry61 | 

Allez, pour remettre de l'huile sur le feu :
cette histoire assez rigolote que je viens de voir :

http://www.macworld.com/article/134758/2008/07/dnsattack.html

avatar atomusk | 

Serieux les mecs changez rien ! Vous etes les meilleurs !

On a une faille de sécu qui permet de modifier les DNS du serveur DNS de la boite et par exemple (un proof of concept a déjà été publié) modifier l'URL des mises à jour de tous les macs de la boite et chaque mac va pouvoir gentillement pomper sa petite update (sans certificat s'il vous plait !) et va se l'installer avec les droits admin !

C'est bon ça, tous les macs de la boite verrolés parce que Apple veux pas que le serveur DNS rame ! Et vous trouvez ça normal ? Non franchement changez rien !

bien sur les clients de OSX serveur sont tellement peu nombreux que Steve pourrait leur passer un coup de fil personnellement pour leur dire "Faites gaffe avec le DNS", mais non ! Autant rien dire et laisser couler ! c'est tellement plus pro !

Et apres on se surprend de voir les pdm désastreuses de OSX serveur :p

avatar atomusk | 

Allez je poste la source pendant que j'y suis :
http://readlist.com/lists/lists.netsys.com/full-disclosure/8/44613.html

avatar MrSoul | 

De toute façon, utiliser des services critique de haute sécurité comme le DNS, les mails et les services sécurisé sur OS X est particulièrement débile, OS X, c'est bien pour ceux qui veullent monter un petit truc interne facilement...

avatar pacou | 

@MrSoul

Bien que je ne fasse pas partie des utilisateurs de Mac OS X Server, je ne vois pas ce qu'apporte votre réponse.

Vous jetez un avis personnel, sans explication, sans justification. Cet avis n'a pour but que de jeter le discrédit sur une solution informatique.

Hormis cet apparemment "pas si grave problème que ça" mais problème majeur tout de même compte tenu du doute qu'il jette, il me semble pourtant évident à lire les spécifications du serveur (je ne parle pas ici de l'interface graphique, qui a elle aussi son intérêt, mais bien de ce qu'il y a dessous) que les outils logiciels utilisés par Apple sont les mêmes que ceux que l'on trouve dans toutes les distro Linux que vous tous semblez porter aux nues.

Et ça me rappelle le temps où l'on était encore à Mac OS 8 ou 9, avec mon iMac gris sur lequel on ne pouvait pas installer Linux. Je l'ai fait quand même par amusement. Tout le monde à l'époque disait : "La ligne de commande sur Linux, y a que ça de vrai, les interface graphique c'est inutile, ça bouffe de la ressource ..." etc.

On voit aujourd'hui ce que cela donne : les distro Linux "desktop" regorge d'effets visuels inutile que même Apple n'ose pas (ex : le Bureau en 3D, remplacer par Cover Flow, certainement plus économique en ressource).

Votre problème avec Mac OS X Server c'est cela même : il y a une interface graphique qui voilent la technicité de l'outils et c'est heureux. Ce n'est qu'une histoire de temps, mais tous les OS Serveur feront de même d'ici peu.

Cela n'excuse pas Apple de faire la muette.

avatar james85 | 

[quote]Apple ne valide pas des corrections de codes si elles apportent plus de problème qu'elles ne règlent. Si elle le ferait, les même trolls vriendraient nous dire qu'apple se fous de ces clients et ne controle pas la qualité de ses produits. Vous voulez quoi à la fin?

Je préfère qu'Apple décide de retarder un patch pour controle de qualité et pour être sûr que les corrections n'apportent pas des autres problèmes tout aussi graves pour un serveur en déploiement.[/quote]
Ce patch a été conçu [b]en commun[/b] par tous les principaux acteurs : Microsoft, Sun, Cisco et ... Apple. Tous les autres ont fait la modif, sauf Apple. Ils auraient donc besoin de plus de temps que les autres pour faire un contrôle qualité d'un patch auquel ils ont collaboré ?

Ca commence à faire jaser.

avatar pacou | 

Apple victime de son succès et de son manque flagrant de réactivité (voire même de réaction).

J'ai lu depuis hier un certain nombre d'articles qui me font dire que soit Apple corrige TRES vite le tir, soit les quelques entreprises qui commencent à vouloir faire le pas vers Apple vont se tirer vite fait, bien fait.

Le sujet en question est trop sensible pour que cet immobilisme de maintenant 1 mois n'ait pas de conséquence(s).

avatar Hindifarai | 

[quote=pacou]Votre problème avec Mac OS X Server c'est cela même : il y a une interface graphique qui voilent la technicité de l'outils et c'est heureux. Ce n'est qu'une histoire de temps, mais tous les OS Serveur feront de même d'ici peu.[/quote]

Merci pour ce moment de détente. Je vais de ce pas monter un kde ou gnome sur mon serveur racine...tiens pourquoi pas enlightment aussi?
Un serveur par définistion n'a pas de terminal(au sens moniteur), il s'administre à distance depuis un poste interne au réseau point barre.
Monter un gestionnaire de fenêtres sur un serveur est une hérésie quoi que vous en pensiez.
Bien entendu je parle de véritable serveurs au sens professionel et non d'un serveur personnel que vous pouvez avoir chez vous.

La seul interface graphique que je n'ai jamais utilisé sur un serveur est webmin sur un serveur ftp/http et je lui préferais largement ssh, l'administration de serveur est un métier où la connaissance des lignes de commandes est nécessaire, ce n'est pas de la mise en page sous openoffice il faudrait arrêter de vulgariser les métiers de l'informatique à outrance.

[quote=pacou]On voit aujourd'hui ce que cela donne : les distro Linux "desktop" regorge d'effets visuels inutile que même Apple n'ose pas (ex : le Bureau en 3D, remplacer par Cover Flow, certainement plus économique en ressource).[/quote]
Ce n'est vrai que pour les distros très grand public comme le fer de lance ubuntu et on peut facilement desactiver tous ces effets, tout comme les fioritures peuvent également être desactivées sur osx(moins facilement d'ailleurs).

avatar pacou | 

Hou la il est vexé le chtiot.

Mais s'il savait que OS X Server est par définition administrable et instalable à distance il nous ferait pas un caca tout mou.

Et vous venez exactement de dire ce qui se disait avant pour les postes client pour lesquels seul le sacro-saint ingénieur informatique, dieu tout puissant, devait savoir utiliser, paramétrer, gérer, dépanner le neuneu usager. Heureusement ça a changé. Des neuneus, il y en a toujours, mais il peuvent même seul installer une imprimante.

L'évolution des serveurs se fera dans le même sens, et cela n'empêchera pas à l'administration système de rester "un métier". Je suis comptable, je ne m'offusque pas de savoir que des clients puissent savoir utiliser un logiciel de compta.

Sur ceux, merci de m'avoir démontré qu'il y a toujours autant de gens sectaires dans l'informatique, comme ailleurs. Vous n'êtes finalement pas si différents des autres humains. Ca fait chaud au coeur

:-D Grosse Marrade!

avatar Hindifarai | 

@pacou
Effectivement l'utilisateur lambda peut avoir besoin chez lui d'un serveur, afin qu'il fasse tourner des daemons/services tels DNS, FTP, HTTP, SQL, NFS, SSH et il souhaite pour celà avoir une interface qui flashouille plus qu'un shell...On peut redevenir serieux?
Si un utilisateur a besoin de ces services/daemons il se tourne vers une solution disponible sur le net et parfois gratuitement pour certains FAI.
Je ne connais pas d'utilisateur lambda ayant une station dédiée à faire tourner son serveur perso chez lui, si c'est votre cas soit c'est votre métier soit vous avez une vie sociale à revoir.

Et enfin pour quelqu'un dont c'est le métier administrer via un shell est dans 90% des cas largement plus efficace et pratique (ne serais-ce que pour ne pas être limité par les fonctions disponibles sur l'interface ça me parait évident mais il faut apparament le souligner)

Et si ça peut vous faire plaisir je rêve d'avoir un équivalent à coregraphic sur ma passerelle qui tourne sur openBSD...(sic)

Pour ce qui est de votre comparaison avec votre métier de comptable, je ne vais pas vous dire quelle est la meilleure méthode pour ce qui est de faire les bilans financiers ni comment vous devriez te réorganiser. Maintenant ce que je vous dis et que vous ne semblez pas comprendre c'est qu'un serveur est distant de l'administrateur dans une énorme majorité des cas amenant l'intérêt du gestionnaire de fenêtre à 0, ensuite s'il est devant le serveur et qu'il a accès à ton gestionnaire il est limité par les possibilité d'administration graphique, ramenant de nouveau l'intérêt à 0.
Si les administrateurs sont formés pour administrer par ligne de commande ce n'est pas par fanatisme il y a de la cohérence derrière même si vous n'en avez pas conscience.

Maintenant si on ramène l'interêt d'osx server à être seulement installé sur des routeurs vendus en supermarchés là d'accord une interface http est largement suffisante comme ce qui se fait actuellement pour faire de la redirection de port et déclaré une dmz entre autre mais jamais ça n'a été l'objectif d'Apple. Ils se sont tourné vers le milieu professionnel des serveur et donc le gestionnaire de fenêtre ne se suffit pas à lui même. De même les correctifs officiels de sécurité sur une faille béante de BIND doivent être mis rapidement à disposition (histoire de revenir sur le sujet initial).

avatar pacou | 

Encore une fois je ne remets pas en cause les compétences nécessaires à l'administration un système, mais OS X permet les deux :

- une administration relativement simplifiée via une interface graphique. Ca pourrait m'intéresser alors que je n'ai pas les moyens d'avoir un SysAd
- une administration plus poussée en ayant en plus le terminal.

Merci pour cette joute via ce blog.

Et effectivement le sujet initial : Que fout Apple?

avatar Un Vrai Con | 

Heureusement que les vrais admins n'ont pas le temps de lire ces délires de gens qui eux ont beaucoup de temps, normal ils ne sont pas admins.

avatar pacou | 

Mais que faites vous là ?
Je vous croyais au boulot ?

Mais si on a plus le droit de se détendre, c'est un comble ;-)

avatar MrSoul | 

Un vrais con> Et il y a besoin d'être professionnel pour pouvoir parler du sujet ?
Perso, je suis photographe et graphiste, pourtant j'ai deux serveurs dédiés compilé mano (un local et un de prod en datacenter)...

Ce que je voulais dire par mon post, c'est que certains OS sont bien plus robustes et éprouvé (comme OpenBSD cité plus haut), alors pourquoi vouloir utiliser un jouet pour amateur (plus il y a d'aide, d'inteface graphique et de choses totalement inutile en production et plus le risque de trouver une faille augmente, sans parler de l'amoindrissement des ressources, pour de la très haute disponibilité, c'est essentiel !)

Pages

CONNEXION UTILISATEUR