logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 22-06-2018 13:04:44

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Failles possibles avec des repo "en clair"

http://sebsauvage.net/links/?aA6w6w a écrit :

J'ai juste eu le temps de survoler l'article, mais de ce que j'en comprend, des attaques sont possibles sur la signature des paquets dans les dépôt APT (debian/ubuntu/Linuxmint).
Et pour parer à ça il faut impérativement accéder aux dépôts en TLS (https) et non http. https://blog.packagecloud.io/eng/2018/0 … ositories/



J'ai parcouru aussi l'article, et c't'un peu flippant, même si j'ai vérifié aucune des affirmations cités.

Dans tous les cas passer en https est aussi compliqué que de faire

apt install apt-transport-https
mv "/etc/apt/sources.list" "/etc/apt/sources.list.bak" #sauvegarde
sed "s#http://#https://#" "/etc/apt/sources.list.bak" > "/etc/apt/sources.list" #passer la apt source en http=>https
apt update #Appliquer



Éwala. Pas trop cher comme manip.

Dernière modification par otyugh (22-06-2018 13:09:11)


virtue_signaling.pngpalestine.png

En ligne

#2 22-06-2018 15:05:53

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : Failles possibles avec des repo "en clair"

Bonjour,
Stressant cette histoire. En plus le https n'a pas l'air de passer facilement sur le dépôt sécurité

 sudo apt update



Err:2 https://security.debian.org stretch/updates InRelease
  Failed to connect to security.debian.org port 443: Connexion refusée
Ign:3 https://cdn-aws.deb.debian.org/debian stretch InRelease
Atteint:4 https://cdn-aws.deb.debian.org/debian stretch-updates InRelease
Atteint:5 https://cdn-aws.deb.debian.org/debian stretch-backports InRelease
Atteint:6 https://cdn-aws.deb.debian.org/debian stretch Release
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances      
Lecture des informations d'état... Fait
All packages are up to date.
W: Impossible de récupérer https://security.debian.org/dists/stretch/updates/InRelease  Failed to connect to security.debian.org port 443: Connexion refusée
W: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.
 

Hors ligne

#3 22-06-2018 15:34:45

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Failles possibles avec des repo "en clair"

Hey bizarre pour moi ça marche...

Atteint http://security.debian.org jessie/updates InRelease
Atteint http://security.debian.org jessie/updates/main i386 Packages           
Atteint http://security.debian.org jessie/updates/main Translation-en

Dernière modification par otyugh (22-06-2018 15:35:44)


virtue_signaling.pngpalestine.png

En ligne

#4 22-06-2018 15:38:13

nono47
Invité

Re : Failles possibles avec des repo "en clair"

Salut,

Pareil que chalu

W: Impossible de récupérer https://security.debian.org/debian-security/dists/stretch/updates/InRelease  Connexion à security.debian.org: 443 (2a02:16a8:dc41:100::233) impossible. - connect (111: Connexion refusée) Connexion à security.debian.org: 443 (217.196.149.233) impossible. - connect (111: Connexion refusée) Connexion à security.debian.org: 443 (2001:a78:5:1:216:35ff:fe7f:6ceb) impossible. - connect (111: Connexion refusée) Connexion à security.debian.org: 443 (212.211.132.250) impossible. - connect (111: Connexion refusée)
W: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.


Il m'a mis des lignes style : deb https://ftp.fr.debian.org/debian/ unstable main contrib non-free qui ne pouvais pas atteindre les dépôts,
je les ai changé en deb https://deb.debian.org/debian/ unstable main contrib non-free et ça marche .
scratchhead.gif

édition : tu es en http pour sécurité sur ton message du dessus

Dernière modification par nono47 (22-06-2018 15:39:25)

#5 22-06-2018 15:46:53

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Failles possibles avec des repo "en clair"

Hooo. Ho ?
Hahaha. Dat fail. En faisant le "micro tuto" j'avais cru l'avoir fait chez moi >.<

Fâcheux ça. Je trouve qu'un mail de 2015 sur la liste de sécurité qui dit que le HTTPS de security est aux fraises, et y a eu aucune réponse depuis O.o
https://bugs.debian.org/cgi-bin/bugrepo … bug=802539

...C'est quand même assez ironique.

Dernière modification par otyugh (22-06-2018 15:55:08)


virtue_signaling.pngpalestine.png

En ligne

#6 22-06-2018 15:53:04

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : Failles possibles avec des repo "en clair"

otyugh a écrit :

Hey bizarre pour moi ça marche...

    Atteint http://security.debian.org jessie/updates InRelease


oui c'est sur que ça marche, tu n'es pas en https tongue

Chez moi seul le dépôt security pose problème avec le https les autres ont fonctionné
mais bon j'ai tout repassé en http roll

Hors ligne

#7 22-06-2018 15:55:42

nono47
Invité

Re : Failles possibles avec des repo "en clair"

J'ai laissé les dépôts en htttps, et remis le security en http, le temps de savoir si security existe en https ... debian.png

#8 22-06-2018 16:20:15

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Failles possibles avec des repo "en clair"

nono47 a écrit :

J'ai laissé les dépôts en htttps, et remis le security en http


Meh, idem hmm


virtue_signaling.pngpalestine.png

En ligne

#9 22-06-2018 16:35:50

Debian Alain
Membre
Lieu : Bretagne
Distrib. : sid (unstable) / bullseye (stable)
Noyau : Linux sid 6.4.0-3-amd64
(G)UI : Gnome X.org (X11) / GDM3
Inscription : 11-03-2017
Site Web

Re : Failles possibles avec des repo "en clair"

ne fonctionne pas avec les dépôts en

http://ftp.fr.debian.org/...


uniquement avec les dépôts en

http://deb.debian.org/...



par  ailleurs , même réflexion que nono47 :

# apt update


Atteint:1 https://www.deb-multimedia.org testing InRelease
Err:2 https://security.debian.org/debian-security testing/updates InRelease
  Connexion à security.debian.org: 443 (212.211.132.250) impossible. - connect (111: Connexion refusée) Impossible d'initialiser la connexion à security.debian.org: 443 (2a02:16a8:dc41:100::233). - connect (101: Le réseau n'est pas accessible) Connexion à security.debian.org: 443 (217.196.149.233) impossible. - connect (111: Connexion refusée) Impossible d'initialiser la connexion à security.debian.org: 443 (2001:a78:5:1:216:35ff:fe7f:6ceb). - connect (101: Le réseau n'est pas accessible)
Réception de:3 https://cdn-aws.deb.debian.org/debian testing InRelease [150 kB]
Réception de:4 https://cdn-aws.deb.debian.org/debian testing-updates InRelease [47,6 kB]        
Réception de:5 https://cdn-aws.deb.debian.org/debian unstable InRelease [247 kB]                
Réception de:6 https://cdn-aws.deb.debian.org/debian experimental InRelease [108 kB]
552 ko réceptionnés en 2s (325 ko/s)                        
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances      
Lecture des informations d'état... Fait
Tous les paquets sont à jour.
W: Impossible de récupérer https://security.debian.org/debian-security/dists/testing/updates/InRelease  Connexion à security.debian.org: 443 (212.211.132.250) impossible. - connect (111: Connexion refusée) Impossible d'initialiser la connexion à security.debian.org: 443 (2a02:16a8:dc41:100::233). - connect (101: Le réseau n'est pas accessible) Connexion à security.debian.org: 443 (217.196.149.233) impossible. - connect (111: Connexion refusée) Impossible d'initialiser la connexion à security.debian.org: 443 (2001:a78:5:1:216:35ff:fe7f:6ceb). - connect (101: Le réseau n'est pas accessible)
W: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.
 



donc , pour l'instant , je passe le dépôt security en http:

# apt update


Atteint:1 http://security.debian.org/debian-security testing/updates InRelease
Atteint:2 https://www.deb-multimedia.org testing InRelease                                                                    
Atteint:3 https://cdn-aws.deb.debian.org/debian testing InRelease                                                              
Atteint:4 https://cdn-aws.deb.debian.org/debian testing-updates InRelease
Atteint:5 https://cdn-aws.deb.debian.org/debian unstable InRelease
Atteint:6 https://cdn-aws.deb.debian.org/debian experimental InRelease
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances      
Lecture des informations d'état... Fait
Tous les paquets sont à jour.

Dernière modification par Debian Alain (22-06-2018 16:36:31)

Hors ligne

#10 22-06-2018 20:15:02

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bookworm
Noyau : Linux 6.1.0-13-amd64
(G)UI : LightDM et Xfce4.18
Inscription : 29-04-2015

Re : Failles possibles avec des repo "en clair"

Hello,

Comment apt fait-il pour vérifier que le site joint en https est digne de confiance ?

Tousse antique Ovide !

Hors ligne

#11 23-06-2018 15:00:42

èfpé
Membre
Inscription : 10-07-2016

Re : Failles possibles avec des repo "en clair"

Bonjour,

deb.debian.org a écrit :

The redirection service is also available on HTTPS, so with the apt-transport-https package installed, you can use:

deb https://deb.debian.org/debian stable main
deb https://deb.debian.org/debian-security stable/updates main

This service is sponsored by Fastly and Amazon CloudFront.


On note d'emblée que seule l'instance AWS supporte HTTPS, l'instance fastly ne supporte qu'HTTP.

cat /etc/apt/sources.list

deb https://deb.debian.org/debian stretch main
deb https://deb.debian.org/debian-security stretch/updates main
deb https://deb.debian.org/debian stretch-updates main


apt update

Ign:1 https://cdn-aws.deb.debian.org/debian stretch InRelease
Atteint:2 https://cdn-aws.deb.debian.org/debian-security stretch/updates InRelease
Atteint:3 https://cdn-aws.deb.debian.org/debian stretch-updates InRelease
Atteint:4 https://cdn-aws.deb.debian.org/debian stretch Release
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
275 packages can be upgraded. Run 'apt list --upgradable' to see them.


Basta problème [Résolu] les goinfres de la modo n'ont même le temps de réclamer leur point choco.

Remarque : packagecloud vend un produit et l'article de référence date tout de même de juin 2008.

Dernière modification par èfpé (23-06-2018 21:00:42)

Hors ligne

#12 23-06-2018 16:12:13

Debian Alain
Membre
Lieu : Bretagne
Distrib. : sid (unstable) / bullseye (stable)
Noyau : Linux sid 6.4.0-3-amd64
(G)UI : Gnome X.org (X11) / GDM3
Inscription : 11-03-2017
Site Web

Hors ligne

#13 23-06-2018 21:39:42

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bookworm
Noyau : Linux 6.1.0-13-amd64
(G)UI : LightDM et Xfce4.18
Inscription : 29-04-2015

Re : Failles possibles avec des repo "en clair"

Toujours pas compris la polémique.
Si les attaques sont possibles sur la signature des paquets, en quoi https apporte-t-il une protection ?scratchhead.gif

Tousse antique Ovide !

Hors ligne

#14 23-06-2018 21:56:34

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : Failles possibles avec des repo "en clair"

Si on passe tous en https on va faire péter https://cdn-aws.deb.debian.org/ victime de son succès /accès non ?
C’est bizarre que l’on ait tous le même en https alors qu’avec deb on est sensé faire au près ?

Hors ligne

#15 23-06-2018 22:35:46

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Failles possibles avec des repo "en clair"

Philou92 a écrit :

Toujours pas compris la polémique.
Si les attaques sont possibles sur la signature des paquets, en quoi https apporte-t-il une protection ?https://debian-facile.org/img/smilies/xtras/scratchhead.gif


Falsifier un mirroir "de confiance" est plus complexe que de faire des attaques "man in the middle" sur du http ? Mais en aucun cas ça corrige le problème, ça le rend juste plus improbable.


virtue_signaling.pngpalestine.png

En ligne

#16 23-06-2018 22:42:02

Philou92
Adhérent(e)
Lieu : Hauts de Seine
Distrib. : Debian bookworm
Noyau : Linux 6.1.0-13-amd64
(G)UI : LightDM et Xfce4.18
Inscription : 29-04-2015

Re : Failles possibles avec des repo "en clair"

chalu a écrit :

Si on passe tous en https on va faire péter https://cdn-aws.deb.debian.org/ victime de son succès /accès non ?
C’est bizarre que l’on ait tous le même en https alors qu’avec deb on est sensé faire au près ?



C'est normal, tout est redirigé sur le même serveur :

If you hit the server behind deb.debian.org directly, either because you use an older apt or because you use a HTTP proxy that does not support SRV records, your requests will get HTTP redirected to one of the CDN instances. If you want to avoid the redirects, you can pick one instance directly. For instance, this also works in your sources.list:

deb http://cdn-aws.deb.debian.org/debian stable main
deb http://cdn-aws.deb.debian.org/debian-security stable/updates main

The redirection service is also available on HTTPS, so with the apt-transport-https package installed, you can use:

deb https://deb.debian.org/debian stable main
deb https://deb.debian.org/debian-security stable/updates main

This service is sponsored by Amazon CloudFront.



Du coup cela répond à ma question

Philou92 a écrit :


Comment apt fait-il pour vérifier que le site joint en https est digne de confiance ?



Pour que cela cause il faut installer le paquet apt-transport-https.

Maintenant mon autre interrogation reste ouverte

Philou92 a écrit :

Si les attaques sont possibles sur la signature des paquets, en quoi https apporte-t-il une protection ?



D'après l'article cité par otyugh les failles reposeraient sur une vieille version d'apt. Est-ce toujours d'actualité ?

Dernière modification par Philou92 (23-06-2018 22:43:23)


Tousse antique Ovide !

Hors ligne

#17 24-06-2018 08:13:52

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : Failles possibles avec des repo "en clair"

Je ne suis pas certaine d’avoir bien traduit même avec deepl tongue
J’observe simplement qu’avec des dépôts http deb.debian.org lorsque je fais update ça reste comme dans le retour
alors qu’avec https c’est changé en cdn-aws
Il y a un seul serveur https ?

Hors ligne

#18 24-06-2018 14:46:42

èfpé
Membre
Inscription : 10-07-2016

Re : Failles possibles avec des repo "en clair"

chalu a écrit :

Il y a un seul serveur https ?


Non c'est un réseau de diffusion de contenu : un nom de domaine... une multitude de serveurs :

host cdn-aws.deb.debian.org

cdn-aws.deb.debian.org is an alias for dpvctowv9b08b.cloudfront.net.
dpvctowv9b08b.cloudfront.net has address 52.85.201.109
dpvctowv9b08b.cloudfront.net has address 52.85.201.35
dpvctowv9b08b.cloudfront.net has address 52.85.201.251
dpvctowv9b08b.cloudfront.net has address 52.85.201.166
...


host cdn-aws.deb.debian.org

cdn-aws.deb.debian.org is an alias for dpvctowv9b08b.cloudfront.net.
dpvctowv9b08b.cloudfront.net has address 13.32.210.157
dpvctowv9b08b.cloudfront.net has address 13.32.210.219
dpvctowv9b08b.cloudfront.net has address 13.32.210.11
dpvctowv9b08b.cloudfront.net has address 13.32.210.111
...


host cdn-aws.deb.debian.org

cdn-aws.deb.debian.org is an alias for dpvctowv9b08b.cloudfront.net.
dpvctowv9b08b.cloudfront.net has address 54.192.2.116
dpvctowv9b08b.cloudfront.net has address 54.192.2.76
dpvctowv9b08b.cloudfront.net has address 54.192.2.187
dpvctowv9b08b.cloudfront.net has address 54.192.2.145
...


La répartition de charge qui semble t'inquiéter est, au moins en partie, effectuée au niveau DNS...

Il est possible (mais pas certain du tout), qu'à 300+ km de là tu obtiennes des résultats différents !

Hors ligne

#19 24-06-2018 15:56:21

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : Failles possibles avec des repo "en clair"

Ok merci, je comprend un peu mieux smile
La réponse chez moi est

host cdn-aws.deb.debian.org


cdn-aws.deb.debian.org is an alias for dpvctowv9b08b.cloudfront.net.

dpvctowv9b08b.cloudfront.net has address 52.85.219.159
dpvctowv9b08b.cloudfront.net has address 52.85.219.199
dpvctowv9b08b.cloudfront.net has address 52.85.219.185
dpvctowv9b08b.cloudfront.net has address 52.85.219.217
...


réponse semblable si je recommence.

Philou92 a écrit :

D'après l'article cité par otyugh les failles reposeraient sur une vieille version d'apt. Est-ce toujours d'actualité ?


c'est vrai que ça serait bon à savoir. Comme par défaut à l'installation de Debian, on est sur http, c'est peut-être que ça a été corrigé. à creuser ...

Hors ligne

#20 27-06-2018 01:07:27

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Failles possibles avec des repo "en clair"

Mon truc actuel qui marche "presque bien" (sauf les warning du genre) :

W: Size of file /var/lib/apt/lists/partial/deb.debian.org_debian-security_dists_jessie_updates_InRelease is not what the server reported 44920 16384



Mais c'est peut-être qu'un résidu de bug apt chez jessie ? Du coup je partage quand même histoire de laisser une trace :

deb https://deb.debian.org/debian jessie main
deb https://deb.debian.org/debian-security jessie/updates main
deb https://deb.debian.org/debian jessie-updates main



Edit à toto : Mis les sources en utilisant le BBCode du forum Code - option apt_sources.


virtue_signaling.pngpalestine.png

En ligne

#21 27-06-2018 10:56:55

Debian Alain
Membre
Lieu : Bretagne
Distrib. : sid (unstable) / bullseye (stable)
Noyau : Linux sid 6.4.0-3-amd64
(G)UI : Gnome X.org (X11) / GDM3
Inscription : 11-03-2017
Site Web

Re : Failles possibles avec des repo "en clair"

sources.list  modifié comme conseillé :

~$ cat /etc/apt/sources.list


# buster / testing
deb https://deb.debian.org/debian/ testing main contrib non-free
deb-src https://deb.debian.org/debian/ testing main contrib non-free

# ancien dépôt sécurity
# deb http://security.debian.org/debian-security testing/updates main contrib non-free
# deb-src http://security.debian.org/debian-security testing/updates main contrib non-free
# dépôt sécurity rectifié (ci - dessous)
deb https://deb.debian.org/debian-security/ testing/updates main contrib non-free
deb-src https://deb.debian.org/debian-security/ testing/updates main contrib non-free

deb https://deb.debian.org/debian/ testing-updates main contrib non-free
deb-src https://deb.debian.org/debian/ testing-updates main contrib non-free

# sid / unstable
deb https://deb.debian.org/debian/ unstable main contrib non-free
deb-src https://deb.debian.org/debian/ unstable main contrib non-free

# expérimental
deb https://deb.debian.org/debian/ experimental main contrib non-free
deb-src https://deb.debian.org/debian/ experimental main contrib non-free




~$ sudo apt update


[sudo] Mot de passe de alain : 
Atteint:1 https://www.deb-multimedia.org testing InRelease
Atteint:2 https://cdn-aws.deb.debian.org/debian testing InRelease        
Atteint:3 https://cdn-aws.deb.debian.org/debian-security testing/updates InRelease
Atteint:4 https://cdn-aws.deb.debian.org/debian testing-updates InRelease
Atteint:5 https://cdn-aws.deb.debian.org/debian unstable InRelease
Atteint:6 https://cdn-aws.deb.debian.org/debian experimental InRelease
Lecture des listes de paquets... Fait                        
Construction de l'arbre des dépendances      
Lecture des informations d'état... Fait
Tous les paquets sont à jour.

Hors ligne

#22 27-06-2018 11:53:31

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Failles possibles avec des repo "en clair"

Pas fan de passer par un des GAFAM, mais bon, question de principe, et à chacun les siens.

virtue_signaling.pngpalestine.png

En ligne

#23 27-06-2018 12:24:23

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : Failles possibles avec des repo "en clair"

Moi je comprends que c’est le service de redirection deb.debian qui est sponsorisé par fastly et Amazon cloud
https://deb.debian.org

Hors ligne

#24 27-06-2018 12:29:32

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Failles possibles avec des repo "en clair"

Hé. En effet. Ben putain hmm

virtue_signaling.pngpalestine.png

En ligne

#25 27-06-2018 15:23:12

Erutluc
Membre
Inscription : 25-12-2017

Re : Failles possibles avec des repo "en clair"

Salut. Le httpS a l'avantage de garantir la confidentialité des paquets téléchargés (du point de vue du réseau internet).

Hors ligne

Pied de page des forums