• [^] # Re: comme d'habitude ?

    Posté par (site web personnel, Mastodon) . En réponse au journal Et ça continue [DirtyFrag]. Évalué à 5 (+2/-0).

    Quand on évalue une faille de sécurité, il y a plusieurs critères à considérer: facilité de mise en oeuvre, pré-requis (comme avoir déjà la possibilité d'exécuter du code non privilégié), conséquences, ...

    Celles-ci sont d'un niveau assez haut pour certains de ces critères, et surtout elles ont été publiées très vite, alors que le processus recommandé est de d'abord prévenir les équipes de Linux ainsi que des principales distributions, de sorte que la faille soit publiée après le déploiement du correctif. Ça n'a pas été fait dans les règles, peut-être parce que les entreprises ayant découvert ces failles cherchent à faire un maximum de bruit pour se faire de la publicité.

    Cela explique la panique autour de ces problèmes. Pour l'évaluation de faille, une bonne partie est à faire en fonction du contexte: c'est assez différent entre un PC personnel, un système embarqué sur lequel il n'y a pas du tout de shell, un serveur mutualisé d'hébergement web qui fournit des accès ssh à tout le monde, ... À vous de finir cette évaluation dans votre contexte pour déterminer à quel niveau d'urgence il faut traiter l'installation des correctifs.