[RFR] webwml://News/2006/20060713.wml

To: debian-l10n-french@lists.debian.org
Subject: [RFR] webwml://News/2006/20060713.wml
From: Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
Date: Fri, 28 Jul 2006 14:17:01 +0200
Message-id: <[🔎] 20060728121701.GB13602@gadget.maisel.enst-bretagne.fr>
In-reply-to: <[🔎] 20060728113957.GA13602@gadget.maisel.enst-bretagne.fr>
References: <[🔎] 20060728113957.GA13602@gadget.maisel.enst-bretagne.fr>

Bonjour,

Voici la traduction de l'annonce de l'intrusion touchant gluck.

Merci d'avance pour vos relectures.

-- 
Simon Paillard

#use wml::debian::translation-check translation="1.3" maintainer="Simon Paillard"
<define-tag pagetitle>Restauration d'un serveur Debian après intrusion</define-tag>
<define-tag release_date>2006-07-13</define-tag>
#use wml::debian::news
# $Id: 20060713.wml,v 1.3 2006/07/18 22:59:03 peterk Exp $

<p>Un serveur principal du projet Debian a été réinstallé suite à une intrusion
et ses services ont été restaurés. Le 12&nbsp;juillet, la machine
gluck.debian.org a été compromise en utilisant une vulnérabilité locale du
noyau Linux pour obtenir des privilèges plus élevés. L'intrus a obtenu un accès
via le compte compromis d'un développeur.</p>

<p>Les services touchés et temporairement interrompus sont&nbsp;: <a
href="http://cvs.debian.org/";>cvs</a>, <a
href="http://ddtp.debian.org/";>ddtp</a>, <a
href="http://lintian.debian.org/";>lintian</a>, <a
href="$(HOME)/devel/people">people</a>, <a
href="http://popcon.debian.org/";>popcon</a>, <a
href="http://planet.debian.org/";>planet</a>, <a
href="$(HOME)/ports/">ports</a> and <a
href="http://release.debian.org/";>release</a>.</p>

<h3>Détails</h3>

<p>Il y a un moment, un ou plusieurs comptes de développeurs ont été compromis
et utilisés par l'attaquant pour accéder au serveur Debian. Une vulnérabilité
locale du noyau Linux récemment découverte a ensuite été utilisée pour obtenir
les droits du superutilisateur sur la machine.</p>

<p>À 02&nbsp;h&nbsp;43 UTC le 12&nbsp;juillet, les administrateurs Debian ont
reçu des courriels suspects qui les ont alarmés. L'investigation qui a suivi a
montré que le compte d'un développeur avait été compromis et qu'une
vulnérabilité locale du noyau avait été utilisée pour obtenir un accès
superutilisateur.</p>

<p>À 04&nbsp;:&nbsp;30 UTC le 12&nbsp;juillet, la machine gluck a été mise hors
ligne et redémarrée depuis une source sûre. Les autres serveurs Debian ont été
verrouillés afin de les examiner et savoir s'ils avaient été également
compromis. Ils seront mis à jour avec un noyau corrigé avant d'être à nouveau
accessibles.</p> 

<p>En raison du faible temps écoulé entre l'exploitation de la vulnérabilité du
noyau et la mise au courant des administrateurs Debian, l'attaquant n'a pas eu
le temps de causer beaucoup de dégâts. Le seul binaire manifestement compromis
était <code>/bin/ping</code>.</p>

<p>Le compte compromis ne disposait d'accès à aucune des machines Debian à
accès restreint. Ainsi, ni l'archive standard ni l'archive de sécurité n'ont de
chance d'avoir été compromises.</p>

<p>Une investigation a révélé qu'un certain nombre de mots de passe de
développeurs étaient faibles, ce qui a conduit au verrouillage de ces
comptes.</p>

<p><a href="http://db.debian.org/machines.cgi";>L'état des machines</a> est disponible en ligne.</p>

<h2>Vulnérabilité du noyau</h2>

<p>La vulnérabilité du noyau utilisé lors de cette intrusion a la référence <a
href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2451";>\
CVE-2006-2451</a>. Elle est présente uniquement dans les versions 2.6.13 et
précédant 2.6.17.4, et 2.6.16 avant 2.6.16.24. Ce bogue permettait à un
utilisateur local d'obtenir les droits du superutilisateur grâce au paramètre
PR_SET_DUMPABLE de la fonction prctl, permettant l'écriture d'une image mémoire
(«&nbsp;core dump&nbsp;) dans un répertoire dans lequel l'utilisateur n'est pas
censé pouvoir écrire.</p>

<p>L'actuelle distribution stable, Debian GNU/Linux&nbsp;3.1 alias
<em>Sarge</em>, utilise le noyau Linux 2.6.8 et n'est donc pas touchée par ce
problème. Le serveur compromis utilisait un noyau Linux 2.6.16.18.</p>

<p>Si vous utilisez un noyau Linux de version 2.6.13 ou précédant 2.6.17.4, ou
une version 2.6.16 avant 2.6.16.24, veuillez mettre à jour votre noyau
immédiatement.</p>

<h2>À propos de Debian</h2>

<p>Debian&nbsp;GNU/Linux est un système d'exploitation libre, développé
par près de mille bénévoles à travers le monde entier qui collaborent
<i>via</i> Internet. L'engagement de Debian dans le logiciel libre, sa
nature non lucrative, et son modèle de développement ouvert, en font un
système remarquable dans l'univers des distributions GNU/Linux.</p>

<p>Les points forts du projet Debian sont ses bénévoles, sa fidélité
à son contrat social, et son engagement à fournir le meilleur système
d'exploitation possible.</p>

<h2>Contacts</h2>

<p>Pour plus d'informations, veuillez visiter les pages web Debian à
<a href="$(HOME)/">http://www.debian.org/</a> ou envoyez un courriel à
&lt;press@debian.org&gt;.</p>

Reply to:

Follow-Ups:
- Re: [RFR] webwml://News/2006/20060713.wml
  - From: Florentin Duneau <f.baced@wanadoo.fr>

References:
- [ITT] webwml://News/2006/{20060713,20060719,20060724}.wml
  - From: Simon Paillard <simon.paillard@resel.enst-bretagne.fr>

Prev by Date: [ITT] webwml://News/2006/{20060713,20060719,20060724}.wml
Next by Date: Re: [RFR] man://pppconfig/fr.po
Previous by thread: [ITT] webwml://News/2006/{20060713,20060719,20060724}.wml
Next by thread: Re: [RFR] webwml://News/2006/20060713.wml
Index(es):
- Date
- Thread