[Sécurité] Paquets/Dépots Debian ?

Support Debian
#1

Bonjour à tous,

M’étant rendu compte ce matin que RSS Ticker 14 sur Iceweasel me prennait 54% :open_mouth: de load average, j’ai viré ce module et installé canto pour pouvoir continuer à lire mes flux RSS.

Pour faire ça, je suis passé par un classique “aptitude update && aptitude install canto”. Jusque là tout va bien.
Sauf qu’en cherchant s’il n’y avait pas moyen d’avoir la dernière version (0.9.1) sur wheezy (car correction de bugs + nouvelles fonctionnalités) je suis tombé sur ça.
Voulant en savoir plus, j’ai consulté le rapport de bug datant de décembre 2013, puis les détails du retrait du paquet de la Debian archive.

Il y a plusieurs choses que j’ai du mal à comprendre :

[ul]1 - dans le message sur Openwall on peut lire :[quote]Project website: codezen.org/canto-ng/
Affected versions: All versions prior to v0.9.0
Debian version affected: 0.7.10-4
Canto was later removed from Debian. Versions 0.7.10-4 (wheezy) and 0.7.9-1
(squeeze) are not affected with this payload.[/quote][/ul]
C’est moi ou en 2 lignes on dit tout et son contraire ? (“Debian version affected: 0.7.10-4” et “Versions 0.7.10-4 (wheezy) […] are not affected with this payload”)

[ul]2 - dans le rapport de bug #764758, il est dit (si j’ai bien compris, car la langue de Shakespeare et moi…) que le paquet a été enlevé d’unstable, donc de la prochaine version de Debian (jessie) qui devrait sortir dans peu de temps.[/ul]

Ok. Mais quid de la version actuelle (wheezy) ?
Si ce paquet est bugué et potentiellement dangereux (command line injection) pourquoi n’est-il pas viré aussi de stable ???

$ apt-cache policy canto canto: Installé : 0.7.10-4 Candidat : 0.7.10-4 Table de version : *** 0.7.10-4 0 500 http://ftp.fr.debian.org/debian/ wheezy/main amd64 Packages 100 /var/lib/dpkg/status

Ce message n’est pas une critique vis à vis des équipes Debian, loin de là… :018 c’est juste que si j’ai zappé quelque chose dans les explications des rapports de bug ou dans la gestion des paquets, j’aimerais savoir où et quoi pour pouvoir mieux comprendre…

Merci d’avance pour vos lumières,
Eric

#2

Il n’a pas l’air d’intéresser grand monde mon post…

:think:

#3

Il y a un point après debian. A version, commence une autre phrase.

#4

[quote=“Eric75”]Il n’a pas l’air d’intéresser grand monde mon post…

:think:[/quote]

[quote]Canto was later removed from Debian. Versions 0.7.10-4 (wheezy) and 0.7.9-1
(squeeze) are not affected with this payload.[/quote]

Quel est le problème avec la version Wheezy et Squeeze exactement … :think:

Pourquoi veux tu les virer les paquets ne sont pas impacté :whistle:

#5

Ben justement Clochette, c’est là mon pb, c’est que d’un coté ils disent que les versions avant la v0.9.0 sont toutes affectées :

[quote]Affected versions: All versions prior to v0.9.0[/quote] et juste 2 lignes après ils disent que la version 0.7.10-4 (la mienne donc) n’est pas affectée :

[quote]Versions 0.7.10-4 (wheezy) and 0.7.9-1
(squeeze) are not affected with this payload.[/quote]
Du coup, je me fie à quelle ligne moi ??? :017

Le souci, c’est une possible injection de code Shell dans un flux rss malicieux car il n’y a pas d’échappement de métacaractères dans les URLs fournies dans le flux :

[quote]The program fetches feeds from configured sites, and the feeds contain URLs that people may want to visit. If a user starts canto and chooses to go to one URL from one feed, canto constructs a sh command line to visit the URL, but it doesn’t remove metachars. Therefore a malicious feed (owner turned bad, man in the middle attack if fetched with http) can put in bad data in all link and guid elements of the feed and use this to hack the user when they visit some of the URLs.[/quote]C’est quand même pas rien ! :open_mouth:

[quote=“piratebab”]Il y a un point après debian. A version, commence une autre phrase.[/quote]Désolé piratebab, mais j’ai pas compris où tu voulais en venir…

#6

Ben justement Clochette, c’est là mon pb, c’est que d’un coté ils disent que les versions avant la v0.9.0 sont toutes affectées :

[quote]Affected versions: All versions prior to v0.9.0[/quote] et juste 2 lignes après ils disent que la version 0.7.10-4 (la mienne donc) n’est pas affectée :

[quote]Versions 0.7.10-4 (wheezy) and 0.7.9-1
(squeeze) are not affected with this payload.[/quote]
Du coup, je me fie à quelle ligne moi ??? :017[/quote]

Je dirais entre les lignes :whistle: les versions de Squeeze et de Wheezy ne sont pas impacté ainsi que celle au dessus de 0.9.0.

Le souci, c’est une possible injection de code Shell dans un flux rss malicieux car il n’y a pas d’échappement de métacaractères dans les URLs fournies dans le flux :

[quote]The program fetches feeds from configured sites, and the feeds contain URLs that people may want to visit. If a user starts canto and chooses to go to one URL from one feed, canto constructs a sh command line to visit the URL, but it doesn’t remove metachars. Therefore a malicious feed (owner turned bad, man in the middle attack if fetched with http) can put in bad data in all link and guid elements of the feed and use this to hack the user when they visit some of the URLs.[/quote]C’est quand même pas rien ! :open_mouth:
[/quote]

Et comme dit les versions de Squeeze et Wheezy sont explicitement cité comme patchées :wink:

#7

je comprends la même chose comme toi: les versions du project dépot < 0.9.0 affectées, les versions debian pas affectées.

#8

Ahhhh, je m’disais bien qu’il y avait quelque chose que je n’ai pas bien capté ! :eusa-whistle:

Toutes les versions antérieures à la v0.9.0 sont bien affectées excepté la version 0.7.10-4 précisément de wheezy. (et accessoirement la 0.7.9-1 de squeeze)
Désolé mais mon neurone est un peu fatigué en ce moment…

Merci Clochette et piratebab ! :mrgreen: