Comprendre les GLSA - Gentoo

Un article de SD-France.com Wiki.

Les GLSA c'est quoi

L'acronyme GLSA signifie : Gentoo Linux Security Advisories

A partir de là il est facile de déduire que GLSA est en fait la céllule Gentoo qui s'occupe de :

• D'assurer une veille de sécuritée sur les applications qui se trouvent dans l'arbre de portage
• De mettre à jours les ebuilds affectés grâce aux correctifs officiels existants
• De vous en informer via :
  • La liste gentoo-announce@gentoo.org
  • La page http://www.gentoo.org/security/en/glsa/
  • Le fil RSS http://www.gentoo.org/rdf/en/glsa-index.rdf

Comment vérifier si mon système est affecté ?

Grâce à l'outil glsa-check' présent dans le paquet app-portage/gentoolkit, par exemple :

# glsa-check -t all
This system is affected by the following GLSAs:
200609-17

On apperçoit que notre système est affecté par la GLSA 200609-17, il faut donc la consulter :

# glsa-check -d 200609-17
                GLSA 200609-17:
OpenSSH: Denial of Service
============================================================================
Synopsis:          A flaw in the OpenSSH daemon allows remote
                   unauthenticated attackers to cause a Denial of Service.
Announced on:      September 27, 2006
Last revised on:   September 27, 2006: 02

Affected package:  net-misc/openssh
Affected archs:    All
Vulnerable:        <4.3_p2-r5
Unaffected:        >=4.3_p2-r5


Related bugs:      148228

Background:        OpenSSH is a free suite of applications for the SSH
                   protocol, developed and maintained by the OpenBSD
                   project.

Description:       Tavis Ormandy of the Google Security Team discovered a
                   Denial of Service vulnerability in the SSH protocol
                   version 1 CRC compensation attack detector.

Impact:            A remote unauthenticated attacker may be able to trigger
                   excessive CPU usage by sending a pathological SSH
                   message, denying service to other legitimate users or
                   processes.

Workaround:        The system administrator may disable SSH protocol version
                   1 in /etc/ssh/sshd_config.

Resolution:        All OpenSSH users should upgrade to the latest version:

                   # emerge --sync
                   # emerge --ask --oneshot --verbose
                   ">=net-misc/openssh-4.3_p2-r5"

References:
                   CVE-2006-4924: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4924

La notification nous explique brievement :

• Le paquet affecté
  • Sa description
  • Les versions vulnérables
  • Les versions où la faille est corrigée
• Le type de faille
• Comment on peut mettre à jours
• Ainsi que d'autres informations diverses

---

Il est important de noter que :

• l'outil glsa-check ne pourra vérifier que les paquets installés avec portage (emerge)
• le résultat ne peut être fiable que si votre arbre de portage est à jours (emerge --sync)
• pour garantir un système avec une sécuritée optimale, vous ne devez pas vous contenter des GLSA

Liens

• http://www.gentoo.org/security/en/index.xml