Et les vaches seront bien gardées...

Par Sid, mercredi 14 mai 2008 à 12:43 :: (In)Sécurité :: lu 6763 fois :: #272 :: rss :: atom
Read it in english with Google

Vache

a faisait un moment que ça leur pendait au nez aux mainteneurs Debian. Un moment que quelques développeurs se plaignaient régulièrement de modifications sauvages de leur code par les mainteneurs des paquetages de leurs logiciels. Et j'ai bien écrit sauvages. C'est à dire des patches qui vont modifier le code même du logiciel, pas juste les scripts d'installation, et de démarrage ou les fichiers de configuration par défaut. Le code. Et ce, sans remonter les-dits patches aux développeurs. Allant même parfois jusqu'à les rendre inutilisables...

Cette fois, c'est un poil plus grave. Une modification introduite par un mainteneur Debian entraîne une faille de sécurité dans OpenSSL. Bug bien grave qui traîne depuis deux ans et qui va obliger tout le monde à renouveler ses clés générées sur cette période... Bref, de quoi bien énerver les développeurs, les faire écrire pleins de choses méchantes et surtout susciter la polémique...

Oui, certes, et je ne le conteste pas une seconde, maintenir un paquetage pour une distribution majeure n'est pas une sinécure. Loin de là. Faire entrer le paquetage dans le moule, satisfaire les dépendances, mettre à jour, etc. C'est du boulot. Certes, certains développeurs ne sont pas spécialement réactifs. On pourrait en avoir autant au service de certains mainteneurs cependant... Et je ne parle même pas des problèmes de licences particulièrement chers aux équipes Debian. À tort ou à raison, c'est un autre débat. C'est comme ça, on fait avec ou on passe à Ubuntu. Bref, ce que je veux dire, c'est que cette tâche est assez difficile et ingrate comme cela pour ne pas la surcharger en plus avec la gestion des bugs des logiciels eux-mêmes. C'est d'ailleurs la politique de la plupart des grosses distributions.

Le fond de l'affaire ici tiendrait apparemment à une variable non initialisée, servant apparemment^[1] à ajouter de l'entropie. Sauf que cette dernière fait couiner Valgrind sur tout programme utilisant de près ou de loin le générateur de nombres aléatoires d'OpenSSL. Du coup, Valgrind qui se plaint, c'est pas propre, on regarde, on trouve le truc, on patche d'abord et, enfin, on upload dans l'unstable. Roh, le méchant mainteneur Debian qui a patché sans prévenir personne ! Il n'en fallait pas plus pour que la horde sorte le goudron et les plumes...

Sauf qu'en fait, il se trouve qu'il a demandé sur la liste openssl-dev ce que les gens en pensaient. Et les réponses sont tout ce qu'on veut sauf négatives. Globalement, c'est même plutôt OK, de la part de membres de l'équipe de développement. On est donc loin des gens qui se marrent un bon coup et le descendent en flamme mentionnés par Ben Laurie. Ah oui, mais sauf qu'il parait que openssl-dev, la Developers list for the OpenSSL Project, n'est en fait pas la liste des développeurs OpenSSL, mais la liste des gens qui développent des logiciels basés sur OpenSSL^[2]. La liste des développeurs, ça serait openssl-team. Gni ? Si on va sur la page Support de OpenSSL, on peut trouver les listes de diffusion officielles :

openssl-announce : Official Project Announcements ;
openssl-cvs : CVS Repository Messages ;
openssl-dev : Discussions on development of the OpenSSL library. Not for application development questions!
openssl-users : Application Development, OpenSSL Usage, Installation Problems, etc.

Aucune mention d'une quelconque liste openssl-team^[3] d'une part, et surtout la mention très claire que openssl-dev est dédiée au développement de OpenSSL et pas au développement d'applications s'appuyant sur OpenSSL. Dans la FAQ, on peut également lire :

3. How can I contact the OpenSSL developers?
The README file describes how to submit bug reports and
patches to OpenSSL. Information on the OpenSSL mailing lists
is available from http://www.openssl.org.

Comme les listes de diffusion indiquent openssl-dev, peut-être le README est-il différent ? Et bien non :

HOW TO CONTRIBUTE TO OpenSSL

Development is coordinated on the openssl-dev mailing list
(see http://www.openssl.org for information on subscribing).
If you would like to submit a patch, send it to
openssl-dev@openssl.org with the string "[PATCH]" in the
subject. Please be sure to include a textual explanation of
what your patch does.

Autant dire que l'argumentaire lapidaire du "vous ne nous avez pas prévenus'' en prend un sacré coup dans les roublignoles.

Donc, si on résume. Debian veut corriger ce qui semble être un bug et le fait. Debian contacte les développeurs OpenSSL, obtient des réponses plutôt positives et continue sur sa lancée. Malheureusement, aucun patch n'est soumis et la modification n'est pas incluse upstream. Bref, et malgré toute l'agitation qui règne autour de cette histoire, on a bien un problème de part et d'autre. Debian qui forke OpenSSL dans une version spécifique, et OpenSSL qui évalue mal les modifications proposées par un mainteneur de paquetage. Mais dans le monde merveilleux du logiciel libre, entre les mainteneurs et les développeurs qui n'en font chacuns qu'à leur tête, il ne reste souvent que les utilisateurs pour assister impuissants aux duels de mauvaise foi.

Mais plus important je pense, cette histoire soulève la question majeure du rôle des mainteneurs de paquetage, et surtout de leur relation avec les développeurs de logiciels. Je ne veux pas polémiquer ici sur les torts de chacun, mais il y a clairement des efforts à faire^[4] de part et d'autre pour sensiblement améliorer la situation et faire en sorte que ce genre de boulette(s) ne se reproduise plus. Certaines équipes travaillent ensembles par exemple. Certains développeurs examinent les bugs remontés, voire les modifications faites dans certaines distributions majeures. Mais la vraie question de fond, c'est de savoir si un mainteneur peut, ou non, se permettre de d'inclure dans sa distribution des patches qui ne sont pas dans le code upstream. Je pense que ce ne devrait pas être le cas. Savoir si c'est un bien ou un mal pour l'utilisateur final est une autre question qui ne fait que compliquer la question et in fine augmenter le risque de couacs grossiers comme celui-ci. Parce que malheureusement, la réalité est loin d'être aussi simple. La différence entre la théorie et la pratique... Aussi, autant pouvoir se raccrocher à quelques règles simples pour sauver la situation. Comme par exemple ne pas forker le code upstream. Ce qui n'empêche nullement le mainteneur de contribuer en envoyant des patches. Juste de les inclure avant qu'ils soient inclus upstream.

Car quand il s'agit de sécurité, et tout spécialement de crypto, il est très difficile de comprendre toutes les implications des modifications qu'on introduit. Comme le dit un des commentaires au billet de Ben Laurie, certes on ne devrait pas toucher ce qu'on ne comprend pas, mais il arrive souvent qu'on ne comprenne pas qu'on ne comprend pas. C'est que j'essaye modestement de démontrer aux étudiants que j'ai en cours en leur demandant s'ils voient des failles dans WEP juste après leur avoir décrit son fonctionnement. À de très rares exceptions, j'ai droit à un silence total, ce qui me permet de leur expliquer qu'on ne s'improvise pas cryptographe et que vouloir toucher à ce genre de choses demande certes de fortes compétences, mais aussi d'énormément d'expérience.

Ceci étant, tout béotien que je suis en crypto, je me pose tout de même une question. Une vraie question parce que je n'ai pas regardé très loin. Utiliser de la mémoire non initialisée pour ajouter de l'entropie n'est-il pas pour le moins... original ? De prime abord, il ne me semble pas qu'il s'agisse d'une source d'entropie très fiable, en ce qu'on va y trouver essentiellement des zéros. Non ? Et plus largement, il sert à quoi /dev/random ?...

Mais de que ce qu'il a pu en déduire des sources, mon petit doigt me dit que ça n'est pas aussi simple que ça. En fait, c'est clairement beaucoup plus compliqué. Que la vérité est ailleurs en quelque sorte...

Notes

[1] Encore une fois...

[2] Mais alors quid de openssl-users ?

[3] Nulle part ailleurs, d'ailleurs...

[4] À consentir ?

a voté

Note : 4.5/5 pour 4 votes

Trackbacks

1. Le jeudi 15 mai 2008 à 13:37, de Security, Crypto and smart dust

Vendors Are Bad For Security

In two words, Debian patched openssl in a very wrong way, killing the entropy source, as result all SSH keys, SSL certificates (Apache, openVPN,...), Tor keys,... created during the last two years must be regenerated...

2. Le jeudi 15 mai 2008 à 15:11, de Blague belge

Blague belge

"Oops !"... C'est, j'imagine, ce qu'a du se dire le Belge Kurt Roeckx lorsqu'il s'est rendu compte de la pitite boulette qu'il avait commis dans le code d'OpenSSL. C'est un peu le buzz du moment, et pour cause, il compromet la sécurité de l'ensemble...

3. Le jeudi 15 mai 2008 à 16:37, de Expert: Miami

Et le talent dans tout ca?

Je m'emerveille toujours de l'absence totale de reflexion apportee dans le milieu de la securite face a des problemes comme celui recent de OpenSSH sous Debian/Ubuntu. Aussi bien du cote des developpeurs, que du cote des journalistes...

4. Le dimanche 18 mai 2008 à 10:05, de Polkaned weblog

OpenSSL over Debian : no trust prng

Troll du jour, Bonjour :D Bon, tout le monde en a entendu parler (vulnérabilité dans le package OpenSSL de Debian), et les secousses de ce séisme se ressentent encore sur les listes de diffusion et blogs. Au sujet de l'histoire, voici l'annonce...

5. Le samedi 24 mai 2008 à 08:53, de La vie après l'Australie

Lâché

Ca y est, après 18 vols (appelées Missions dans l'armée de l'air), j'ai eu le droit de voler tout seul. Ca a pas été non plus un grand vol, un tour de piste à Salon avec un moniteur dans un autre TB10 qui me poursuivait pour contrôler que...

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le mercredi 14 mai 2008 à 19:20, par jmdesp

Quelques remarques

- La liste openssl-dev est bien la liste pour le dév d'openssl et pas la liste pour voir comment s'en servir. Mais pas mal de gens confondent, et les dev d'openssl laisse souvent passer sans réagir de pures questions d'utilisation d'openssl sur openssl-dev. Je crois qu'il existe une autre liste beaucoup moins visible réservés à l'équipe coeur du dév d'openssl sans le bruit d'openssl-dev.

- Dans la discussion en question le type de Debian décrit un contexte dans lequel il *débogue* les allocation mémoire avec Valgrind, et se demande comment éviter que Valgrind lui renvoie trop de messages d'avertissement. Et oui tout le monde lui dit qu'effectivement virer ces lignes qui ajoutent de l'entropie est la bonne méthode pour éviter les messages bidons sous Valgrind. A aucun moment *personne* ne peut imaginer que ce type a un tête de faire de ce retrait le mode standard sous lequel vont se retrouver tous les utilisateurs Debian par défaut ! Il décrit un déboguage, Valgrind lui indique la ligne exacte, il est donc pour tous en train de faire du debug de son appli personnelle avec un exécutable gonflé par les info de débug, ralentit d'un coté par l'absence d'optimisation et surtout 20 à 30 fois par l'utilisation de Valgrind, absolument pas en train d'évaluer les changements à apporter au package standard d'Openssl sous Debian.

- Les gens sur la liste ayant une idée fausse du contexte de ce qu'il est en train de faire ne regardent pas de très près son changement, regardent seulement les deux lignes de diff sur la liste et font l'erreur de ne pas vérifier attentivement d'où proviennent les *deux* lignes !

Car l'une et l'autre sont en réalité totalement différente !

La seconde de ces lignes est celle qui rajoute de l'entropie venant de variables non-initialisées, que le code propose déjà de désactiver avec un DEFINE pour les compilations debug destinées à ValGrind. Cette ligne n'apporte rien de très essentiel, Openssl est un epsilon moins sûr sans, et les utilisateurs de Valgrind viennent régulièrement râler à son sujet, tout le monde alors pense qu'il s'agit encore une fois de cela.

Mais la première ligne, hors de son contexte dans le diff apparement identique à la seconde, n'avait en fait *rien* à voir.

C'est la ligne à travers laquelle toutes les sources d'aléa provenant de l'extérieur sont ajoutées au buffer interne d'aléa d'openssl. En la retirant presque plus aucune source d'aléa ne vient s'ajouter à ce buffer qui se met à tourner à vide et à être totalement prédictible.

Tim Hudson, le coauteur initial d'openssl est intervenu pour préciser tout cela dans le bug Debian et indiquer que même en sachant qu'il s'agissait d'un bug de sécurité, même en connaissant initimement le code en question, juste en regardant le patch la différence essentielle entre ces deux lignes ne lui avait pas du tout sauté aux yeux initialement.

Réponse de Sid

Merci pour ces excellentes précisions.

2. Le jeudi 15 mai 2008 à 08:32, par Philippe Teuwen

Wondering how serious is the issue? Check here and run to regenerate your keys!!!

> De prime abord, il ne me semble pas qu'il s'agisse d'une source d'entropie très fiable, en ce qu'on va y trouver essentiellement des zéros. Non ? Et plus largement, il sert à quoi /dev/random ?...

J'avais écrit une tartine avant que FF3 ne crashe, ça m'apprendra et je ferai plus court:

D'abord /dev/random n'est pas mis de côté (en oubliant ce malheureux patch un instant) mais est une des sources d'entropie avec le PID du process (seule source d'entropie qui n'a pas été truandée par le patch), la DRAM non-initialisée etc.

D'ailleurs /dev/random lui aussi a (eu) ses soucis (sérieux pour les linux embedded) et c'est heureux qu'il n'ait pas été la seule source d'entropie choisie par OpenSSL (gnupg fait pareil d'ailleurs et utilise de multiple sources)

L'idée c'est d'"extraire" l'entropie de toutes ces sources pas excellentes et de littéralement additionner ces entropies. Ajouter une mauvaise source ne nuit jamais à la qualité du pool, au pire ça ne change rien, au mieux ça ajoute qqs bits random.

Comment on additionne? Un bête XOR suffit. random XOR random = encore plus random random XOR zeros = random, pas mieux, pas pire non plus

Bon maintenant faudrait voir ce qu'on peut retirer de randomness de la DRAM. Je ne sais pas l'état au boot, mais pour la SRAM par exemple on a qqs % de bits vraiment random. A mon avis ce qui apporte encore un peu d'aléa c'est plutôt la mémoire utilisée auparavant par un processus quelconque et laissé tel quel.

Réponse de Sid

Le coup du /dev/random, c'est ce que j'ai compris en lisant le code. Tout simplement. Au lieu de lire les commentaires avisés sur Slashdot :) Quand j'ai écris mon post hier matin, j'en étais encore à penser que la ligne en question ne faisait qu'ajouter de la mémoire initialisée, puisque je n'avais pas encore regardé le truc plus en détail. Et donc la question de savoir pourquoi faire comme ça au lieu d'utiliser /dev/random...

Mais comme l'explique également très bien jmdesp, le problème est complètement ailleurs. En fait, commenter la première occurence du MD_update revient justement à ne plus traiter le buffer par lequel est passée la source d'entropie. Et donc à partir de là, on peut appeller ssleay_rand_add() tant qu'on veut, on ajoute rien.

3. Le jeudi 15 mai 2008 à 14:35, par Julien

C'est une belle boulette, mais c'est pas comme s'il avait fait cela dans son coin...

Dans le changelog du package, on trouve :

> * Don't add uninitialised data to the random number generator.
> This stop valgrind from giving error messages in unrelated code.
> (Closes: #363516)

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=363516#45

4. Le jeudi 15 mai 2008 à 19:25, par jmdesp

> faudrait voir ce qu'on peut retirer de randomness de la DRAM.

Il vient d'y avoir la discussion sur openssl-dev.

Le truc est que n'est pas seulement fait une fois à l'init, mais aussi à chaque fois que l'appli demande du random, à partir de l'état de la pile de l'appli. Et même par manque de chance, cette pile est totalement prévisible, il suffit cependant qu'il y ait au moins 2 points d'appels différents pour que les variations d'une exécution sur l'autre sur le nombre de fois où chacun des deux réalise l'appel, et sur l'ordonnancement entre les deux, insère de l'aléa.

5. Le jeudi 15 mai 2008 à 22:09, par jme

*pleure du sang à l'idée du nombre de certificats X509 qu'il va devoir regénérer*

6. Le vendredi 16 mai 2008 à 00:23, par Vengeur Masqué

Debian veut corriger ce qui semble être un bug et le fait
Je ne suis pas tout à fait d'accord. Debian veut nettoyer le code, le rendre plus propre.
Pourquoi? Pour satisfaire d'hypothétiques exigences d'assurances qualités non écrites, probablement.
J'ai vécu ce genre de truc en tant que développeur d'un certain logiciel-libre-qui-n'aime-pas-les-patchs-sauvages-de-Debian. Ça me hérisse le poil.
Un type débarque et corrige des warning du compilo à l'arrache. Est-ce qu'il a l'intention de coder quelque chose? Non. Une semaine après, on ne le voit plus. Il corrige pour corriger. Il ne se demande pas si ça colle avec mon style de programmation, si ça ne va pas m'enquiquiner plus qu'autre chose, si j'ai vraiment envie de perdre mon temps à rajouter une douzaine de casts (ce que je considère comme la pire façon de virer des warnings en C).
Propriser le code pour accueillir un nouveau venu, ou avant une grosse modification, ça a un sens. Propriser pour faire ISO9000, c'est de la branlette intellectuelle.
Le mainteneur Debian va payer ça très chèrement en terme de réputation. "Cela est juste et bon".

Réponse de Sid

J'ai bien cru que le troll ne prendrait jamais... Merci !

7. Le vendredi 16 mai 2008 à 09:58, par Vengeur Masqué

La morale de cette histoire est if it ain't broken, don't fix it!

Réponse de Sid

Ou : "touche pas au grisby, salope !". Au choix.

Plus sérieusement : toi mainteneur, toi pas toucher au code.

8. Le vendredi 16 mai 2008 à 14:19, par newsoft

Sans avoir lu le code d'OpenSSL, je ne vois pas du tout l'intérêt d'accéder à de la mémoire non initialisée ...

Non seulement, ça fait couiner tous les outils d'analyse dynamique (voire crasher le process quand il est compilé en DEBUG avec Visual Studio), mais en plus sous Windows VirtualAlloc() se charge de renvoyer des pages remplies de zéro (pour éviter la fuite d'informations d'un processus à l'autre sur le contenu d'une page physique) ... Je ne sais pas comment ça se passe sous Linux, mais bonjour la portabilité !

9. Le vendredi 16 mai 2008 à 15:53, par Vengeur Masqué

Sans avoir lu le code d'OpenSSL, je ne vois pas du tout l'intérêt d'accéder à de la mémoire non initialisée
Je ne vois pas trop d'intérêt non plus.
Les données récupérées qui trainent sur la pile dépendent de l'activité antérieure du programme, l'ajout d'entropie doit être minable sur tous les systèmes modernes.

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...