Debsecan, le paquet qui fait peur

Cascador24 décembre 20144 minutes5 commentaires

Aujourd’hui nous allons voir un paquet dont je n’avais jamais entendu parler mais qui me semble pertinent, il s’agit de Debsecan. Il est pertinent dans le milieu professionnel car il permet de générer une liste des vulnérabilités présentes sur les serveurs et il est intéressant à titre personnel pour se rendre compte des vulnérabilités affectant notre installation @home.

Il est à noter que c’est un outil pour Debian uniquement, le paquet est disponible également pour Ubuntu (qui je vous le rappelle se base sur de très nombreux paquets Debian) mais il est totalement déconseillé de l’utiliser dessus au risque d’avoir des résultats délirants (http://lwn.net/Articles/532343/ : Ubuntu carries debsecan in its repositories, but it is too Debian-specific to be directly useful on Ubuntu and, so far, efforts to Ubuntu-ize it have not gone anywhere. At this point, the package is targeted for removal from Ubuntu, because it « conveys information that is just plain wrong » for Ubuntu)

L’installation est comme d’habitude fort simple.

aptitude install debsecan

Je vous invite à vous pencher sur le man (man debsecan ou ici pour les impatients qui ne veulent pas installer le paquet) pour vous familiariser avec les différents paramètres au risque de vous faire peur dans les résultats.

Ci-dessous les résultats sur un de mes serveurs Debian Wheezy sans interface graphique. Vous remarquerez le –suite wheezy, je fais ensuite un tri sur les vulnérabilités exploitables à distance (remotely exploitable), notées comme urgence haute (high urgency) et je supprime de tous ces résultats les vulnérabilités corrigées (fixed). Je termine par un tri avec sort.

debsecan --suite wheezy | grep 'remotely exploitable' | grep 'high urgency' | grep -v 'fixed' | sort
CVE-2007-5066 webmin (remotely exploitable, high urgency, obsolete)
CVE-2014-1912 python2.6-minimal (remotely exploitable, high urgency)
CVE-2014-1912 python2.6 (remotely exploitable, high urgency)
CVE-2014-4043 libc6-dev (remotely exploitable, high urgency)
CVE-2014-4043 libc6 (remotely exploitable, high urgency)
CVE-2014-4043 libc-bin (remotely exploitable, high urgency)
CVE-2014-4043 libc-dev-bin (remotely exploitable, high urgency)
CVE-2014-4043 locales (remotely exploitable, high urgency)
CVE-2014-4043 multiarch-support (remotely exploitable, high urgency)

Voici les informations à retenir :
– On a seulement deux vulnérabilités exploitables à distance (CVE-2014-1912 et CVE-2014-4043)
– La vulnérabilité concernant Webmin est notée obsolète voir à ce sujet l’option –no-obsolete de Debsecan qui est non recommandée
– On peut faire des recherches sur ces vulnérabilités sur le site http://web.nvd.nist.gov/view/vuln/search? et https://security-tracker.debian.org/tracker/

Là où ça fait peur, c’est quand on liste les CVE peu importe le degré d’urgence, j’ai près de 75 CVE sur une Debian Wheezy parfaitement à jour sans interface graphique et juste un LAMP installé dessus.

debsecan --suite wheezy | grep -v 'fixed' | sort | awk '{print $1}' | uniq | wc -l
75

Je vous invite vous aussi à faire ces quelques tests et vérifier la pertinence de ce paquet.

J’apporte avant tout ma confiance à des paquets et logiciels connus et reconnus donc la première chose chez moi c’est d’être méfiant envers un « nouveau » paquet. Je reste donc particulièrement circonspect devant ce paquet :
– Je n’en ai jamais entendu parler malgré de nombreuses lectures ce qui me fait penser qu’il n’est pas connu et reconnu pourtant il est cité dans le manuel de sécurité Debian (voir Sources) et sur LWN
– La dernière mise à jour du paquet remonte à loin mais l’outil est parfaitement fonctionnel et la base des CVE toujours à jour car se basant sur le Security Tracker de Debian
– Les quelques CVE que j’ai vérifié sont vraies

Par conséquent je me pose de grandes questions :
– Pourquoi tant de vulnérabilités sur une Debian stable ? Ça fait peur !
– Quelles sont les explications sur le fait que ces vulnérabilités soient encore non résolues ?
– On m’aurait menti (humour inside) sur la sécurité d’un système GNU/Linux et en particulier Debian ? Mes convictions sur la sécurité et la rapidité de correction des failles de sécurité dans le monde du Libre en prennent un coup

Et vous qu’en pensez-vous ?

J’en profite pour vous souhaitez à tous et toutes de Joyeuses Fêtes !

Sources : http://blog.vhalholl.info/2011/10/debsecan-debian-security-analyzer.html
https://www.debian.org/doc/manuals/securing-debian-howto/ch10.fr.html#s-debsecan
http://www.enyo.de/fw/software/debsecan/
http://lwn.net/Articles/532343/

Déjà 5 avis pertinents dans Debsecan, le paquet qui fait peur

  • cyberesprit
    Salut, merci pour cet article.

    Je me demande si debsecan se base sur les numéros de version, on peut supposé que oui, mais au vu du nombre de CVE trouvé sans filtrage sur ma debian 7 qui sont au nombre de 143, totalement à jour alors qu’apparemment ce paquet ne l’est pas (à jour), je ne sais pas ?!

    Librement

  • Cascador
    Salute,

    Je ne suis pas sûr de comprendre ta remarque. Le paramètre –suite wheezy renseigne le numéro de version de la distribution. A moins que tu parles des paquets ? C’est évident qu’il se base sur les numéros de version des packets sinon Debsecan n’aurait aucun sens.

    Ce qui fait justement très peur, c’est que n’importe qui faisant un test avec Debsecan verra un nombre conséquent de CVE, c’est tout le sujet de l’article. Ça fait peur ! Et nos machines sont parfaitement à jour ! Je ne peux que t’inviter à vérifier ces informations sur https://security-tracker.debian.org/tracker/.

    Pour moi, Debsecan fait correctement le job. Si je reprends les CVE-2014-1912 et CVE-2014-4043, je confirme ces CVE sur ma machine :
    https://security-tracker.debian.org/tracker/CVE-2014-1912
    https://security-tracker.debian.org/tracker/CVE-2014-4043

    Petit rappel à tous pour vérifier simplement la version d’un package, en ce qui me concerne je fais : dpkg -l | grep python

    Tcho !

  • Luc Stepniewski
    La question, c’est plutôt de savoir si debsecan se base sur les numéros de version du logiciel ou du package lui-même, ce qui est très différent, vu que sur Debian, lorsqu’un trou de sécurité est déclaré, un patch est appliqué à la version actuelle au lieu d’upgrader la version. Donc on reste à la même version, MAIS avec un patch supposant corriger le trou, ce qui n’est pas visible en regardant juste la version du logiciel… C’est juste la version *du paquet* qui change.
  • Raphael Hertzog
    Toutes les « vulnérabilités » ne se valent pas, et l’équipe de sécurité met en balance la sévérité d’une vulnérabilité (souvent potentielle car sans «exploit» connu) et la difficulté de corriger la dite vulnérabilité. Un grand nombre de CVE sont marqués «no-dsa» c’est à dire ne nécessitant pas la publication d’une Debian Security Advisory. Dans ces cas, le mainteneur du paquet peut décider de la corriger quand même mais le fera via le mécanisme des «stable updates» et pas par le biais de l’équipe sécurité. Quoi qu’il en soit, le nombre de CVE marqués comme no-dsa sont assez importants commet vous avez pu le constater.

    Enfin vu le nombre de CVE qui apparaissent chaque jour il est normal qu’un système donné soit touché par un nombre conséquent de CVE en attendant que le correctif soit poussé soit dans security.debian.org soit dans la prochaine version mineure («stable point update»).

    Plus d’infos sur comment on suit les mises à jour de sécurité: http://security-team.debian.org/security_tracker.html

Les commentaires sont fermés.