faille NTP sur Lion : quels risques ?

[Romuald]

Bin oui. Le C est bien mais demande de la rigueur. Surtout il faut d'une manière générale s'intéresser aux données et aux variables (champs de valeurs, limites, initialisation : ce genre de choses) et à la conservation de l'information. Mais en général, on n'y prête guère attention (ou on n'a pas le temps, ce qui revient au même).
[J'avais plutôt tendance à faire dans ceinture, bretelles et ceinture de secours, pour ma part...]

Heureusement que l'on ne travaille pas dans le BTP comme en informatique : on serait en danger sur le moindre pont !

Y'a pas que le C dans la vie . Je suis dans le Mainframe et le langage de base reste le Cobol. C'est plutôt la programmation qui exige de la rigueur :siffle:. Et ce n'est pas 'on n'a pas le temps', c'est 'le marketing nous pousse au cul'.
Mais je digresse

 

[Checky 10]

J'ai ouvert un topic qui me ramène à celui-ci :

http://forums.macg.co/mac-os-x/snow...e-a-jour-de-securite-automatique-1258679.html

Maintenant, pour rebondir sur celui-ci :

Je n'ai pas de Mac sous la main pour vérifier mais je pense que tu peux tenter deux pistes :
a) essayer de remplacer le service ntpd et les clients associés par son équivalent Open Source (disons en provenance de Linux ou FreeBSD) correctement patché ;
b) regarder du côté des sources de Darwin, le système UNIX sur lequel s'appuie OS X, pour voir si tu ne peux pas récupérer ntpd et le patcher toi-même.

Pour Shellshock, c'est ce que j'ai fait pour patcher des Macs sous Snow Leopard.

Je suis donc sur Snow Leopard (Mac mini Late 2009) et j’aimerais savoir comment tu as procédé pour patcher toi-même Shellshock. Je ne sais pas patcher moi-même. Y aurait-il un tuto quelque part ?

Par ailleurs je viens de faire un tour dans les sources de Darwin, j’ai ouvert le lien de mon 10.6.8 = https://opensource.apple.com/release/mac-os-x-1068/

Mais je ne vois pas où se trouvent Shellshock ni ntpd pour la dernière faille.

 

[bompi]

Pour Shellshock, il "suffisait" de prendre les sources de bash sur le site d'Apple et d'appliquer les patchs disponibles pour cette version. Puis de compiler.
Comme je ne maîtrise pas le système de paquetage de OS X, je me suis contenté de prendre les quelques éléments qui évoluaient et de les copier au bon endroit.

Dans la page que tu mets en lien, tu peux télécharger ntp et bash. Les patchs de bash sont disponible par exemple ici.

 

[bompi]

Bon, Topher Kessler a pitié de vous, m'sieurs dames, et propose ici son tuto pour ntp.
Il vous faudra disposer des outils de développements sur votre Mac (ou au moins les outils en ligne de commande (une petite centaine de MB)).

 

[Checky 10]

Bonjour,


Tout d'abord merci pour tes indications et Joyeux Noël !

J'ai connu et utilisé Linux en d'autres temps et je retrouve les joyeusetés de la ligne de commande.:rateau:

J'essaie d'appliquer l'installation manuelle de ntpd sur mon SL à l'aide de la page dont tu as donné le lien. Tout se passe normalement jusqu'à l'étape 4.

Mais à l'étape 5 ( patch -p0 <~/Downloads/patch-ntpd-ntp_io.c.diff) j'obtiens ceci en réponse :

Reversed (or previously applied) patch detected! Assume -R? [n]

Je bute là-dessus : qu'est-ce que cela signifie ? Que dois-je répondre ?


Remarque : si je réponds y (pour yes) , j'obtiens ceci :

y
Mac-mini-de-:ntp-4.2.8 ./configure --prefix=/usr
checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... sntp/libevent/build-aux/install-sh -c -d
checking for gawk... no
checking for mawk... no
checking for nawk... no
checking for awk... awk
checking whether make sets $(MAKE)... no
checking build system type... i386-apple-darwin10.8.0
checking host system type... i386-apple-darwin10.8.0
checking for style of include used by make... none
checking for gcc... no
checking for cc... no
checking for cl.exe... no
configure: error: in `/Users/henriregert/Downloads/ntp-4.2.8':
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details

Donc échec. Donc ça coince à l'étape 5.

(Autre remarque : je bute également sur la demande "Password". Sur Linux, quand je le tape, je sais que normalement il ne doit pas s'afficher et qu'il suffit ensuite de taper "entreé" mais quand je fais cela, là j'ai "Try again"...)

Au fait : n'y aurait-il pas un moyen plus automatique d'installer ce genre de patch (du genre Pacifist) ? De même que pour le bash sur l'installation duquel je ne me suis pas encore penché ?

 

[Romuald]

Bon, Topher Kessler a pitié de vous, m'sieurs dames, et propose ici son tuto pour ntp.
Il vous faudra disposer des outils de développements sur votre Mac (ou au moins les outils en ligne de commande (une petite centaine de MB)).

Quand je vois le tuto je me dis que ça ne prendrait pas 5 mn à un dev de chez appeul pour créer un pkg pour SL et ML (voire Tiger ). Et que du coup la pomme pourrait faire un gros coup de com à pas cher sur le mode 'vous voyez qu'on prend la sécurité au sérieux, on comble les failles très critiques même sur les versions qui ne sont plus supportées'

@Checky 10
Ton install coince parce qu'il ne trouve pas le compilateur :
configure: error: in `/Users/henriregert/Downloads/ntp-4.2.8':
configure: error: no acceptable C compiler found in $PATH
Il doit se trouver dans un de ces 5 répertoires : /usr/bin, /bin, /usr/sbin, /sbin, /usr/local/bin (ce sont ceux par défaut renseignés dans $PATH).

@Bompi
D'ailleurs le compilateur il existe par défaut dans OSX ou bien il est dans le download Xcode demandé ? Et dans ce cas comment fait-on si on n'a pas de compte développeur ?

 

[bompi]

a) petite précision : j'étais étonné par la méthode indiquée. En fait cela revient à installer la dernière version de ntp sur le système, pas à patcher la version en cours sur le système avec le correctif. Le patch appliqué aux sources a pour but de permettre la compilation.

b) le(s) compilateur(s) ne sont pas installés par défaut sur le système. On doit donc l'installer soi-même, soit en installant tout XCode (ce qui est un peu gros) soit en installant que les outils de compilation eux-mêmes. S'inscrire sur le site des développeurs ne coûte rien et il suffit de dire qu'on ne veut pas de mail pour ne pas en recevoir

c) néanmoins, on peut aussi utiliser une autre version de GCC qui ne nécessite pas d'inscription mais qui ne contiendra pas l'environnement de développement. Attention toutefois au fait que les deux ne peuvent pas être installés en même temps sur le système.

d) quant à la facilité pour Apple à proposer un patch pour des versions antérieures de OS X, elle est indéniable

 

[Checky 10]

Grand merci à bompi ! Victoire !

Je suis arrivé à installer le patch ntp en utilisant la version GCC d'XCode sur ma machine.

Et là, tout s'est déroulé nickel en utilisant les commandes de l'installation manuelle MacIssues.

Ce qui m'a rappelé quand même quelques bons souvenirs du temps où j'étais sur Linux (j'ai commencé à l'époque de Gutsy sur Ubuntu) quand la liste des lignes de commandes se déroule ENFIN comme il faut !

Voilà un souci de réglé. Il me reste à présent à installer le patch corrigeant la faille Shellshock.

J'ai donc téléchargé le fichier zip bash-80.tar.gz.

Je l'ai dézippé en dossier bash-80. Mais quelles commandes afficher dans Terminal pour le compiler et l'installer ? N'y aurait-il pas un tuto quelque part ?

Merci d'avance.

 

[Anonyme]

encore merci bompi
marche impec
Bonnes fêtes à tous
merci au fofo

 

[bompi]

Grand merci à bompi ! Victoire !

Je suis arrivé à installer le patch ntp en utilisant la version GCC d'XCode sur ma machine.

Et là, tout s'est déroulé nickel en utilisant les commandes de l'installation manuelle MacIssues.

Ce qui m'a rappelé quand même quelques bons souvenirs du temps où j'étais sur Linux (j'ai commencé à l'époque de Gutsy sur Ubuntu) quand la liste des lignes de commandes se déroule ENFIN comme il faut !

Voilà un souci de réglé. Il me reste à présent à installer le patch corrigeant la faille Shellshock.

J'ai donc téléchargé le fichier zip bash-80.tar.gz.

Je l'ai dézippé en dossier bash-80. Mais quelles commandes afficher dans Terminal pour le compiler et l'installer ? N'y aurait-il pas un tuto quelque part ?

Merci d'avance.

Pas de chance, ce que j'ai fait pour SL pour Shellshock est au bureau et je suis en vacances. :zen:
Tu as déjà pas mal de choses sur ta machine mais il faut encore télécharger les divers patchs (il y en a plein !) à passer. J'essayerai de retrouver ça ce soir ou demain et de donner quelques explications.

 

[loic8]

Super bompi merci beaucoup !!! ntp en 4.2.8 sur lion excellent !!! un grand merci pour le coup de main !!

 

[Checky 10]

Pas de chance, ce que j'ai fait pour SL pour Shellshock est au bureau et je suis en vacances. :zen:
Tu as déjà pas mal de choses sur ta machine mais il faut encore télécharger les divers patchs (il y en a plein !) à passer. J'essayerai de retrouver ça ce soir ou demain et de donner quelques explications.

Bonnes vacances à toi.

J'attends la suite car je tiens à rester sur SL (qui tourne toujours vraiment nickel) pour des tas d'activités basiques (surf Internet, Mails etc...) Je fais seulement beaucoup de développement photo avec Lightroom et Photoshop Elements mais je n'utilise pas de nombreuses applications Apple (comme Front Row, Garage Band, Photo Booth, Safari etc...) et leurs évolutions respectives sur les versions plus récentes ne me concernent donc pas.

J'installerai peut-être plus tard Yosemite pour le tester sur un bout de partition Mac OSX mais je garderai SL pour l'essentiel.

Edit : J'ai lu quelque part que les failles ntp et shellshock ne concernaient pas vraiment les utilisateurs lambda (dont je fais partie) mais plutôt les serveurs et les grandes sociétés : est-ce vrai ?

@ loic8 : Yosemite tourne comment sur ton Mac mini Late 2009 ? J'ai le même modèle que j'ai aussi monté au maximum de mémoire ram, soit 8 Go de Ram.

A +

 

[loic8]

@checky10 ; Et bien concerant le mini sous yosemite je dois dire que je n ai vraiment pas a me plaindre apres j ai une uilisation de cet ordi assez basique...

 

[bompi]

<...>
Edit : J'ai lu quelque part que les failles ntp et shellshock ne concernaient pas vraiment les utilisateurs lambda (dont je fais partie) mais plutôt les serveurs et les grandes sociétés : est-ce vrai ?
<...>

Pour Shellshock, c'est effectivement plutôt un problème pour des serveurs (essentiellement Web avec des scripts CGI en bash) plutôt que des ordinateurs de particuliers. Néanmoins, imaginons qu'on ait sur son portable un petit site Web de développement avec des CGI et qu'on ait omis d'activer un pare-feu, on pourrait se faire pirater à peu près n'importe où (café, fac etc.) D'un autre côté, avoir un site Web avec des scripts CGI en bash est de moins en moins fréquent.

Pour ntp, je n'ai pas approfondi mais je pense que ça concerne plus directement tout le monde vu que nos machines, par défaut, se connectent régulièrement aux serveurs NTP sur Internet et que cette synchronisation est utilisée pour les échanges de clefs, de certificats, pour tout ce qui est sécurité. Ça ne signifie pas que le danger soit immédiat mais qu'il vaut mieux être prudent.

 

[PDD]

Mise à jour de sécurité NTP proposée (et installée chez moi sous ML) ce jour par Apple...

---------- Nouveau message ajouté à 16h25 ---------- Le message précédent a été envoyé à 16h09 ----------

Chose curieuse, depuis cette correction mon DDE usb3 n'est plus reconnu et n'apparait plus sur le bureau, les deux autres en usb2 n'ont pas de problème...

 

[bompi]

Je n'ai pas eu d'effet de ce genre ; cela peut aussi n'être qu'une (fâcheuse) coïncidence.

 

[PDD]

Il s'est "auto réparé", comme il est "auto alimenté" il y a du y avoir un problème car je ne le sentais pas tourner. Je l'ai un peu secoué et il est reparti et j'ai pu refaire mon clone...

 

[Checky 10]

@bompi

Bonjour,

Pour shellshock, j'ai d'abord vérifié que j'avais bien la vulnérabilité avec la commande :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Effectivement, j'avais la réponse : vulnerable
this is a test

J'ai alors procédé à quelques recherches pour voir si je ne pouvais pas trouver un patch tout près sur un site crédible.

Et j'ai trouvé ceci justement pour Snow Leopard : https://hacksagogo.wordpress.com/2014/10/02/shell-shock-os-x-bash-update-installer-for-snow-leopard/

Je viens d'installer ce patch tout prêt et destiné à Snow Leopard pour corriger la faille Shellshock.

J'ai ensuite redémarré et revérifié si mon OS était toujours affecté.

Normalement d'après le forum macbidouille.com (http://forum.macbidouille.com/lofiversion/index.php/t384027.html) je devrais avoir la réponse :

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

...mais à l'envoi de la commande env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

j'obtiens seulement la réponse « this is a test » (donc la mention "vulnerable" a disparu)

Penses-tu que cela suffise quand même à valider la bonne installation du patch et la correction de la faille Shellshock ?

 

[bompi]

S'il n'y a plus de "Vulnerable" c'est que ce test est passé correctement.
Note toutefois qu'il y a plusieurs failles ; elles sont recensées ici, avec les tests leur correspondant.

 

[Checky 10]

Bonjour,

Effectivement, ma machine semble encore O.K sur les tests 1,2,3 et 6 mais encore vulnérable sur les tests « Exploit 4, 5 et 7 ». Mais là je suis un peu perdu et ça devient très compliqué pour moi. Comment procéder pour parer à ces autres entrées de failles possibles après ce que j'ai déjà fait et qui me semblait pourtant avoir solutionné le souci entier ?


Par ailleurs, j'aimerais bien savoir : est-ce que les patchs « officiels » fournis pour Mountain Lion et versions suivantes sont complets et corrigent Shellshock pour TOUTES les failles possibles recensées sur cette page dont tu viens de me donner le lien ?