next up previous contents Next:  Eliminer les risques connus: Up: Contre-mesures. Previous: Contre-mesures.   Table des matières  

45.3.1  Eliminer les risques connus: enlever les paquets anciens.

Il est toujours particulièrement triste de voir des administrateurs naïfs installer des paquets bien connus pour leur(s) vulnérabilité(s) et pour lesquels des logiciels de piratage sont aisément accessibles sur l'internet.

Lorsqu'un trou de sécurité est découvert, le paquet doit être mis-à-jour par la distribution ou par l'auteur du paquet. La liste de diffusion bugtraq sur http://www.securityfocus.com/forums/bugtraq/intro.html annonce les dernières failles. Elles s'adressent à des milliers de membres dans le monde entier. Vous devriez participer à cette liste de diffusion pour connaître les dernières nouvelles.

The Linux Weekly News sur http://lwn.net est une alternative pour les annonces de sécurité si vous ne voulez avoir qu'un rapport par semaine. Vous pouvez ensuite télécharger et installer le nouveau binaire remplaçant le paquet vulnérable. Consultez les annonces de sécurtié est donc une tâche de la plus haute importance. [Note de Paul Sheer: ``Je demande souvent à des administrateurs s'ils ont mis-à-jour le service xxxet j'obtiens souvent la réponse suivante: ils ne sont pas sûrs que cela les concerne, ne croyent pas que le paquet est vulnérable, ne savent pas si le service fonctionne, ne savent pas où trouver le paquet ou comment même installer la mise-à-jour. Tout ça comme si, l'ignorance pouvait les absoudre de leurs responsabilités. [...]].

Il en va de même pour les nouveaux systèmes que vous installez. N'y adjoignez jamais de paquets périmés. Certaines distributions livrent des mises-à-jours à leurs CDs ou DVD de base. Vous pouvez donc installer la version de base et ensuite effectuer les mises-à-jour, en fonction d'une liste de mises-à-jour, avant de mettre le système en service. Ainsi, vous pouvez très bien installer une version x-y RedHat vieille de six mois et la remettre à jour avec les paquets émis depuis la version x-y. Cela reviendra au même que d'installer la version la plus récente de RedHat. En revanche, il existe des distributions mineures qui ne sont pas mises à jour parce qu'il n'y a plus de support. Dans ce cas, veillez à compiler vous-même les paquets vulnérables.

Cependant, au-delà de tout ce qui vient d'être dit, rappelez-vous que les distributions sont parfois lentes à incorporer les alertes de sécurité. En conséquence, ne faites confiance qu'aux alertes de sécurité émises par la communauté et réagissez de vous-même.


next up previous contents Next:  Eliminer les risques connus: Up: Contre-mesures. Previous: Contre-mesures.   Table des matières  
1-01-2006