Sécurité: Mise a jour d'un paqet

Support Debian
#1

Bonjour,

Je suis en train de faire un audit de sécurité des serveurs que j’administre. Sur une de mes machines, je peux constater une faille dans bind9, qui d’après le logiciel de scan peut être corrigé en mettant le paquet a jour.

Dans mon cas, j’utilise la version de bind9 des dépôts de Debian 6. De quel manière (propre) puis-je mettre a jour ce paquet afin de corriger la faille ? Utiliser un dépôt plus a jour pour bind9 (comment le trouver?), utiliser des dépôts debian plus a jours (lesquels ?), ou encore télécharger le .deb d’une version unstable de Debian et croiser les doigts pour une compatibilité de version avec les dépendances ?

:stuck_out_tongue:

#2

Si les dépôts de sécurité sont activés tu devrais avoir une mise à hjour te permettant de sécurisé la faille sinon il te faudra passer par un pinning et l’ajoute des dépôts testing voir unstable.

Mais avant tout tu pourrais commencer par nous donner les versions installé et disponible de bind9 ainsi que ton fichiers de sources complets :wink:

#3

Bonjour !
Je ne connais pas le “pinning”, je vais me renseigner.

Mes dépôts:

Ma version de bind9:

Metasploit me conseille ceci:

En fait j’ai 3 ou 4 vulnarabilités (“critiques” et “sévères”) qui serais corrigés par une mise a jour du paquet.

#4

Si le cache de APT est à jour ( aptitude update && aptitude policy bind9 ) et que tu obtient toujours le même numéro de version installé que le candidat alors oui le pinning sera la solution ( attention au dépendances ).

C’est quoi ton logiciel qui te renvoie ces avertissement, openvas ?

Attention toutefois les numéro de version diffère entre les dépôts Debian et les dépôts utilisé par le projet qui propose bind9.

#5

Oui mon cache apt est a jour.

Je fait l’audit de sécurité avec Nexpose Console (piloté par metasploit). Je test les deux en fait, OpenVAS a aussi révellé ces vulnérabilités mais je n’est plus le rapport sous les yeux.

#6

Ok, en fonction de tes conseils voilà comment j’ai modifier mon système:

Mise a jour de mon source.list pour avoir un peu toutes les versions de paquets a porté de main:

/etc/apt/sources.list

############################
#  Debian Squeeze (Stable) #
############################

# Debian Squeeze
deb http://ftp.fr.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ squeeze main contrib non-free

# Debian Sueeze Security
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free

# Debian Squeeze -- Backports
deb http://www.backports.org/debian squeeze-backports main contrib non-free

# squeeze-updates, previously known as 'volatile'
deb http://debian.mirror.root.lu/debian/ squeeze-updates main
deb-src http://debian.mirror.root.lu/debian/ squeeze-updates main

############################
# Debian Squeeze (Testing) #
############################

deb http://ftp.fr.debian.org/debian/ testing main contrib non-free

############################
#  Debian Unstable (Sid)   #
############################

deb http://ftp.fr.debian.org/debian/ unstable main contrib non-free

############################
#   Debian Experimental    #
############################

deb http://ftp.fr.debian.org/debian/ experimental main contrib non-free

J’ai créé un fichier /etc/apt/preferences avec des règle afin de prioriser les dépôts:

/etc/apt/preferences (modifié après les deux commentaires du fil ci-dessous)

Package: *
Pin: release o=debian.mirror.root.lu,a=stable
Pin-Priority: 800

Package: *
Pin: release o=Debian,a=stable
Pin-Priority: 800

Package: *
Pin: release o=Backports.org archive,a=squeeze-backports
Pin-Priority: 750

Package: *
Pin: release o=Debian,a=testing
Pin-Priority: 700

Package: *
Pin: release o=Debian,a=unstable
Pin-Priority: 90

Package: *
Pin: release o=Debian,a=experimental
Pin-priority: 70

J’ai réactualisé tout ça

apt-get update && apt-cache policy

J’ai regardé quel version de bind9 on me proposait:

# apt-cache policy bind9
bind9:
  Installé : 1:9.7.3.dfsg-1~squeeze7
  Candidat : 1:9.7.3.dfsg-1~squeeze7
 Table de version :
     1:9.8.1.dfsg.P1-4.2 0
        700 http://ftp.fr.debian.org/debian/ testing/main amd64 Packages
         90 http://ftp.fr.debian.org/debian/ unstable/main amd64 Packages
 *** 1:9.7.3.dfsg-1~squeeze7 0
        800 http://ftp.fr.debian.org/debian/ squeeze/main amd64 Packages
        800 http://security.debian.org/ squeeze/updates/main amd64 Packages
        100 /var/lib/dpkg/status

Je peux constater que sur les dépôts testing et unstable il est disponible en 9.8.1. Je simule son installation pour voir si il y a un problème de dépendance:

Ca semble correct, j’installe:

Et le tour est joué !

Merci du tuyau !

#7

J’en suis ravi :023 n’oublie pas la coche verte si c’est tout bon.

#8

Je suis repassé avec un scan de vulnérabilité, tout est au vert héhé :stuck_out_tongue:
J’ai mis le stick vert sur mon message qui résume la procèdure que j’ai effectué pour mieux guider les eventuels visiteur de ce fil.
Merci encore :wink:

#9

Attention : avec ton fichier preferences actuel, les versions de paquets du dépôt backports sont prioritaires sur celles du dépôt standard.

#10

+1
C’est une très mauvaise idée de tout prendre dans les backports, ce n’est pas fait pour et ça risque de poser des problèmes. Il vaut mieux descendre la priorité (en fait, c’est même inutile que les backports apparaissent dans le preferences) et ne prendre que ce dont tu as besoin à coups de -t squeeze-backports.

#11

Je vais suivre vos conseil, merci :wink: