![[Logo NetBSD]](../../images/NetBSD-headerlogo.png)
Sécurité et NetBSD
Le projet NetBSD adopte la même approche sur la sécurité que n'importe système d'exploitation : Des solutions mais surtout pas de hacks. Les problèmes de sécurité dans NetBSD sont gérés par le directeur de la sécurité de NetBSD et l'équipe des alertes de sécurité de NetBSD. Tout comme la recherche, la documentation et la mise à jour du code en fonction d'un nouveau problème de sécurité signalé, l'équipe procède aussi à des audits de code périodiques afin de rechercher et de supprimer d'éventuels problèmes de sécurité.
NetBSD a intégré Kerberos 5 (Heimdal), SSH (OpenSSH) et un support total du protocole IPsec incluant les protocoles IPv4 et IPv6. De plus, par défaut, tous les services utilisent le plus de paramètres considérés comme sûrs et aucun service n'est activé par défaut à l'installation.
Lorsque de sérieux problèmes de sécurité sont trouvés et corrigés dans NetBSD, nous diffusons un bulletin décrivant le problème et donnant un lien vers le correctif. Ils sont principalement annoncés sur notre liste de diffusion netbsd-announce et aussi sur security-announce . Ils sont largement diffusés et archivés sur ce site et sont fournit notamment dans un fils RSS .
- NetBSD-SA2011-005 ISC dhclient n'enlève pas les meta-caractères du shell
- NetBSD-SA2011-004 risque de dépassement de pile via un paquet IPCOMP
- NetBSD-SA2011-003 un accroissement de la mémoire du noyau controlé depuis l'espace utilisateur
- NetBSD-SA2011-002 une situation de compétition au niveau de l'extention TLS OpenSSL
- NetBSD-SA2011-001 possible déni de service sur BIND dû à une mauvaise gestion des enregistrements RRSIG
- NetBSD-SA2010-013 possible déni de service pouvant entraîner le crash d'une machine via des datagrammes UDP6
- NetBSD-SA2010-012 une situation de compétition au niveau de l'extention TLS d'OpenSSL
- NetBSD-SA2010-011 possibilité d'exécution de code arbitraire lors de la double libération de mémoire dans OpenSSL
- NetBSD-SA2010-010 erreurs de gestion de la longueur des buffers dans netsmb
- NetBSD-SA2010-009 erreurs de gestion des privilèges dans larn
- NetBSD-SA2010-008 problème de limitation de ressource lié à sftp(1)/ftp(1)/glob(3)
- NetBSD-SA2010-007 dépassement d'entier dans le code de décompression lié à libbz2
- NetBSD-SA2010-006 vérification incorrecte de la longueur d'un buffer dans CODA
- NetBSD-SA2010-005 une vulnérabilité de type dénis de service sur le serveur NTP
- NetBSD-SA2010-004 le bit NX (No-eXecute) de l'architecture amd64 est désactivé par page
- NetBSD-SA2010-003 le noyau peut être crashé à partir des pilotes azalia(4)/hdaudio(4)
- NetBSD-SA2010-002 une vulnérabilité de type man in the middle concernant la renégociation TLS d'OpenSSL
- NetBSD-SA2010-001 une possible attaque de dénis de service au niveau du chargement automatique de module gérant les systèmes de fichiers
- NetBSD-SA2009-013 une vulnérabilité de type dénis de service sur la mise à jour dynamique de BIND
- NetBSD-SA2009-012 possible dépassement de tampon sur l'implémentation de SHA2
- NetBSD-SA2009-011 une vulnérabilité de type dénis de service sur le serveur DHCP de l'ISC
- NetBSD-SA2009-010 une vulnérabilité de type dépassement de pile au niveau du drapeau subnet-mask de l'utilitaire dhclient de l'ISC
- NetBSD-SA2009-009 une vulnérabilité sur la vérification des signatures DSA et épuisement de mémoire DTLS d'OpenSSL
- NetBSD-SA2009-008 une vulnérabilité sur la vérification des signatures CMS et dénis de service lors du parsing ASN1 d'OpenSSL
- NetBSD-SA2009-007 possible dépassement de tampon dans hack(6)
- NetBSD-SA2009-006 possible dépassement de tampon dans ntp
- NetBSD-SA2009-005 une attaque contre SSH permettant de récupérer du texte en clair
- NetBSD-SA2009-004 une vulnérabilité au niveau d'un changement de mot de passe via passwd(1) et OpenPAM NetBSD
- NetBSD-SA2009-003 proplib crashe lors de la lecture de mauvaises données XML
- NetBSD-SA2009-002 une vulnérabilité multiple de type denis de service sur tcpdump et des problèmes d'exécution de code arbitraire
- NetBSD-SA2009-001 problèmes de denis de service dans le pare-feu PF
- NetBSD-SA2008-015 messages "Packet Too Big" concernant ICMPv6
- NetBSD-SA2008-014 vulnérabilité par requête cross-site forgée dans ftpd(8)
- NetBSD-SA2008-013 vulnérabilité dans le protocole Neighbor Discovery pour IPv6
- NetBSD-SA2008-012 problèmes de denis de service dans racoon(8)
Consultez l'archive des bulletins pour une liste complète.
Dans certains cas, un problème de sécurité sera découvert dans NetBSD-current et sera rapidement résolu. Ces problèmes sont souvent de courtes durées et n'auront aucun impact dans les versions officielles de NetBSD. Dans ces cas, nous ne sortons pas de patches ou de bulletins spécifiques à NetBSD-current, mais nous recommendons de mettre à jour une version contenant ces correctifs. Veuillez voir les bulletins au-dessus pour les dates des correctifs. Si un problème de sécurité est identifié et qu'il touche uniquement NetBSD-current, l'équipe de sécurité de NetBSD enverra un email à la liste de diffusion current-users détaillant le problème et ce qu'il faudra mettre à jour si nécessaire. Nous recommandons à tous les utilisateurs qui utilisent NetBSD-current de souscrire à la liste de diffusion current-users afin d'être au courant de ces problèmes. Les utilisateurs traquant NetBSD-current devront avoir leurs systèmes à jour pour avoir de nouvelles nouveautés et également des résolutions de problèmes connus.
Le projet NetBSD a deux points de contact liés à la sécurité :
- La liste de diffusion tech-security est un forum ouvert à la discussion des problèmes de sécurité liés à NetBSD.
- Vous pouvez contacter directement le projet NetBSD à propos des problèmes
de sécurité en envoyant un email à
<security-alert@NetBSD.org>.
Pour signaler un problème de sécurité dans NetBSD, vous pouvez, au choix, contacter l'équipe
<security-alert@NetBSD.org> ou envoyer un rapport standard NetBSD en
utilisant le formulaire send-pr ou le programme
send-pr(1) présent sur votre système NetBSD.
Les informations sensibles peuvent être chiffrées avec PGP en utilisant la clef PGP du directeur de la sécurité de NetBSD.
Tous les patches de sécurité publiés de NetBSD sont disponibles sur le serveur FTP du projet NetBSD dans le dossier security/patches/ .
La collection de paquets NetBSD fournit une installation simplifiée sous formes de binaires et de code source d'un grand nombre d'applications tierces. Les utilisateurs doivent accepter que les logiciels tiers peuvent contenir des bogues et que certains de ces bogues peuvent mener à une machine vulnérable. Pour paré à ceci, NetBSD fournit une méthode simple d'auditer vos paquets déjà installés sur des vulnérabilités connues.
L'équipe sécurité de pkgsrc et les mainteneurs de paquet gardent une liste des vulnérabilités connues dans les paquets qui sont (ou ont été) inclus dans pkgsrc. La liste est disponible depuis le site FTP de NetBSD à l'adresse suivante :
A travers audit-packages, cette liste peut être téléchargée automatiquement, et un audit de sécurité de tous les paquets installés sur un système peut alors s'établir.
audit-packages est composée de deux parties. La première, download-vulnerability-list, consiste à télécharger la liste des vulnérabilités située sur le site FTP de NetBSD. La seconde, audit-packages, vérifie les vulnérabilités des paquets installés. Si un paquet est considéré comme vulnérable, vous devrez recevoir un message similaire :
Package samba-2.0.9 has a local-root-shell vulnerability, see http://www.samba.org/samba/whatsnew/macroexploit.html
Les utilisateurs pourront ainsi installer audit-packages pour télécharger le fichier journalier pkg-vulnerabilities , et permettre l'audit d'un paquet dans le script de sécurité journalier. Plus détails situés dans le fichier MESSAGE de pkg_install.
Si vous pensez que vous avez trouvé un problème de sécurité sur un paquet ou un logiciel dans pkgsrc et qu'il n'est pas détecté par audit-packages, alors veuillez contacter l'équipe sécurité de pkgsrc.
En avril 2007, cette fonctionnalité fournit par le paquet security/audit-packages été écrit en C et a été introduite dans le paquet pkg_install . Ceci dans le but d'apporter un nombre d'améliorations en termes de rapidité et de fonctionnalité lorsque l'on compare à l'ancien paquet security/audit-packages. En janvier 2008, le paquet security/audit-packages a été enlevé de l'arborescence CVS de pkgsrc et le version demandée du paquet pkg_install est passée à la version pkg_install-20071224, laquelle inclus les possibilités de l'ancien paquet security/audit-packages. Le processus de migration devrait être simple pour la plupart des utilisateurs et invoque simplement l'enlèvement de l'ancien paquet (par exemple pkg_delete audit-packages) et ensuite la mise à jour de pkg_install. En plus de cela, tous les scripts, comme par exemple crontab(5), security.local, etc., qui feront référence aux anciens fichiers binaires (audit-packages et download-vulnerability-list) demanderont également une mise à jour.
Si vous ne pouvez pas migrer immédiatement vers la version pkg_install-20071224 et que vous avez besoin de continuer l'utilisation de security/audit-packages pour les vulnérabilités de paquet, l'équipe sécurité de pkgsrc continuera de garder à jour la base de donnée pkg-vulnerabilities au moins jusqu'à la branche pkgsrc-2008Q1. Lorsque le support de security/audit-packages sera totalement enlevé, nous metterons à jour l'ancienne base de donnée pkg-vulnerabilities pour indiquer qu'elle ne sera plus mise à jour. Vous devrez donc poursuivre la mise à jour de pkg_install>=20071224 de sorte à recevoir les futures mises à jour de la base de donnée pkg-vulnerabilities.
Pour toutes questions ou tous problèmes avec ce processus, veuillez contacter soit l' équipe sécurité de pkgsrc, soit la liste de diffusion appropriée (par exemple pkgsrc-users ou tech-pkg).
Une quantité de bulletins de sécurité et d'autres ressouces de sécurité sont disponibles en ligne sur ces sites :