L'alerte concernant Apache a été relayée par de nombreux sites dont le journal du net qui titrait Mercredi 19 juin 2002 : Faille critique sur le serveur Apache et vives critiques contre l'open source.
Je ne discuterai pas ici de la qualité ou du contenu des articles de ce journal électronique et me contenterai de rappeler que de nombreux décideurs reçoivent (et lisent) leur newsletter.
Voici en gros la partie la plus importante :
Manque de coordination
L'alerte est inquiétante en soi. Mais plus inquiétante encore est peut-être l'attitude de la communauté open source suite à cette alerte. Un article particulièrement argumenté de Cnet met en effet en évidence le manque de coordination patent entre les tenants du logiciel libre. ISS a lancé son alerte sans se soucier du travail qu'acomplissait discrètement de son côté la fondation Apache - qui est à l'origine de la création du serveur éponyme. Les responsables de cette organisation ont fait savoir après coup qu'ils travaillaient depuis quelques temps déjà sur cette faille, qui leur a été révélée par un développeur beaucoup plus discret, et qu'ils tentaient avant tout d'en cerner l'étendue.
L'ISS a lancé son alerte et son patch deux heures après avoir prévenu la fondation Apache. Un manque de coordination, qui a aujourd'hui pour conséquence de mettre à mal l'efficacité du correctif, et surtout la justesse de l'information qui l'accompagne. Car comme le souligne un membre fondateur de la fondation Apache, les recherches menées par les créateurs du serveur n'avaient pas encore pris fin. On ne sait toujours pas précisément quelles versions du serveur sont affectées, plate-forme par plate-forme.
L'ISS, qui cherchait selon ses propres déclarations à soustraire au plus vite la brêche des yeux des hackers a donc fait pire que mieux : tous les pirates sont désormais informés qu'une faille existe, quant aux adminstrateurs : "avec le lancement prématuré de l'ISS, beaucoup de serveurs Apache demeurent vulnérables puisqu'ils n'ont pas accès au patch provenant de leur fournisseur Apache" - pouvait on lire sur la liste de diffusion Bugtraq.
Conclusions ?
La première c'est que je trouve cela ennuyeux que des petits problèmes d'interêts personnels puisse menacer ainsi le modèle même de développement Open Source. C'est un problème en soi que la réactivité de la communauté soit conditionnée par de stupides problèmes de concurrence (entre l'ISS et les boîtes auxquelles les membres de la fondation Apache par exemple).
La deuxième c'est que je suis certain que la mauvaise gestion d'une telle annonce va être récupéré de partout pour alimenter les pires FUD envers l'Open Source. Les arguments sur la qualité, réactivité,... des développements du monde du libre et surtout ceux sur la piètre qualité de certaines solutions propriétaires ne serviront plus à rien si demain il fallait mettre à jour 63% des serveurs web de la planète. La communauté va devoir être très attentive dans l'avenir si elle ne veut pas offrir à ses détracteurs la brèche dans laquelle s'engouffrer.
[^] # Re: Guégerre ISS Apache
Posté par pthivent . En réponse à la dépêche Version corrigée d'Apache. Évalué à 10.
Je ne discuterai pas ici de la qualité ou du contenu des articles de ce journal électronique et me contenterai de rappeler que de nombreux décideurs reçoivent (et lisent) leur newsletter.
Voici en gros la partie la plus importante :
Manque de coordination
L'alerte est inquiétante en soi. Mais plus inquiétante encore est peut-être l'attitude de la communauté open source suite à cette alerte. Un article particulièrement argumenté de Cnet met en effet en évidence le manque de coordination patent entre les tenants du logiciel libre. ISS a lancé son alerte sans se soucier du travail qu'acomplissait discrètement de son côté la fondation Apache - qui est à l'origine de la création du serveur éponyme. Les responsables de cette organisation ont fait savoir après coup qu'ils travaillaient depuis quelques temps déjà sur cette faille, qui leur a été révélée par un développeur beaucoup plus discret, et qu'ils tentaient avant tout d'en cerner l'étendue.
L'ISS a lancé son alerte et son patch deux heures après avoir prévenu la fondation Apache. Un manque de coordination, qui a aujourd'hui pour conséquence de mettre à mal l'efficacité du correctif, et surtout la justesse de l'information qui l'accompagne. Car comme le souligne un membre fondateur de la fondation Apache, les recherches menées par les créateurs du serveur n'avaient pas encore pris fin. On ne sait toujours pas précisément quelles versions du serveur sont affectées, plate-forme par plate-forme.
L'ISS, qui cherchait selon ses propres déclarations à soustraire au plus vite la brêche des yeux des hackers a donc fait pire que mieux : tous les pirates sont désormais informés qu'une faille existe, quant aux adminstrateurs : "avec le lancement prématuré de l'ISS, beaucoup de serveurs Apache demeurent vulnérables puisqu'ils n'ont pas accès au patch provenant de leur fournisseur Apache" - pouvait on lire sur la liste de diffusion Bugtraq.
Conclusions ?
La première c'est que je trouve cela ennuyeux que des petits problèmes d'interêts personnels puisse menacer ainsi le modèle même de développement Open Source. C'est un problème en soi que la réactivité de la communauté soit conditionnée par de stupides problèmes de concurrence (entre l'ISS et les boîtes auxquelles les membres de la fondation Apache par exemple).
La deuxième c'est que je suis certain que la mauvaise gestion d'une telle annonce va être récupéré de partout pour alimenter les pires FUD envers l'Open Source. Les arguments sur la qualité, réactivité,... des développements du monde du libre et surtout ceux sur la piètre qualité de certaines solutions propriétaires ne serviront plus à rien si demain il fallait mettre à jour 63% des serveurs web de la planète. La communauté va devoir être très attentive dans l'avenir si elle ne veut pas offrir à ses détracteurs la brèche dans laquelle s'engouffrer.