Aux états-unis, les programmeurs violant le DMCA sont directement envoyés en prison (cf. Dimitri Sklyarov et adobe). Mais en Europe ? le DMCA n'a pas (encore ?) de validité dans notre continent ?
Alors on peut imaginer la publication du changelog signé par un groupement d'utilisateurs européens pour éviter tous problemes...
Le problème est que le DMCA interdit la diffusion de procédés permettant de contourner les mesures de protections de la propriété intelectuelle. Dire: "Le noyau 2.2.19 possèdait un trou de sécurité permettant de passer root en utilisant bla bla bla" permet de contourner des mesures mises en place sur certains serveurs, et est donc une infraction au DMCA.
Alan Cox vit en Europe, certes, mais Dmitry Skylarov est russe, et il a été arrété pour infraction au DMCA alors qu'il donnait une conférence aux USA. Peut-être qu'Alan Cox a l'intention d'aller aux USA (en vacances, pour une conférence, ...) et il n'a pas envie de risquer 5 ans de prison.
A mon avis, la véritable raison est plus de pousser un gros coup de gueule pour augmenter la pression anti-DMCA (d'ailleurs ça a l'air de pas trop mal marché, on en parle sur /., linuxfr.org, ...).
" Alan Cox vit en Europe, certes, mais Dmitry Skylarov est russe, et il a été arrété pour infraction au DMCA alors qu'il donnait une conférence aux USA. Peut-être qu'Alan Cox a l'intention d'aller aux USA (en vacances, pour une conférence, ...) et il n'a pas envie de risquer 5 ans de prison."
Si j'ai bonne mémoire, juste après cette affaire AC avait même refusé de se rendre à une conférence aux USA a laquelle il etait convié... ca serait pas très cohérent de sa part d'aller y passer ses vacances :o)
(je ne me souviens plus precisement de la source de l'info...un article dans libé il me semble)
> Yes, that is exactly why i wouldn't deploy it in
> any mission critical environment.
--- linux-2.2.19/fs/exec.c Mon Mar 26 07:13:23 2001
+++ linux/fs/exec.c Tue Oct 9 05:00:50 2001
@@ -552,12 +645,11 @@
}
/*
- * We mustn't allow tracing of suid binaries, unless
- * the tracer has the capability to trace anything..
+ * We mustn't allow tracing of suid binaries, no matter what.
+ *** There's nothing wrong with allowing root to ptrace
+ *** a setuid-binary. Allowing a process to elevate it's
+ *** privileges while continuing to ptrace another, OTOH,
+ *** isn't really a bright idea. --rw
*/
static inline int must_not_trace_exec(struct task_struct * p)
{
- return (p->flags & PF_PTRACED) && !cap_raised(p->p_pptr->cap_effective, CAP_SYS_PTRACE);
+ return (p->flags & PF_PTRACED);
}
/*
But I suppose that your mission is that critical that you
cannot be bothered with following bugtraq. That 'someone'
stumbled over */../*/../* & friends again isn't really news
either.
Luckily, this would only DoS a Linux-based system and
even the BSD libc, which had contained internal overflows
leading to possible root compromises this way since ten
years ago (whatever), has been fixed 'somewhen' around the
first quarter of 2001.
> If i don't like it i don't have to use it. That's exactly
> my point. I won't be using it.
WTF cares?
> FreeBSD and Solaris don't have wacky political
> agendas attached.
Le DMCA (Digital Millenium Copyright Act) est une loi américaine qui interdit de circonvenir les protections logicielles. Par exemple, d'après cette loi il est illégal de faire un programme qui casse le chiffrement des DVD (appelé CSS), et il est illégal de décrypter le format i-book d'Adobe (cf le cas du russe Dimitry Sklyarov emprisonné aux US). Je ne sais pas ce que ça interdit d'autre mais c'est contesté à cause des implications.
Bon, je n'ai peut etre pas compris la chose (en gros si j'ai mal compris je vous remercie de m'expliquer) mais :
En quoi publier le fait qu'on corrige une faille dans la gestion de xxxxx vient en contradiction avec cette loi ?
Ce qui serait interdit ca serait à la limite de comment utiliser cette faille, pas comment la corriger.
Je sais bien que simplement dire ce qu'on corrige est donner une indication de la faille mais bon, une analyse du .diff devrait, elle, donner la facon d'exploiter cette faille ...
Bref pour faire simple ce qui peut rentrer en contradiction avec la loi ce sont les articles de bugtrack, à la limite (avec une interprétation très large de la loi) les sources du patch mais en aucun cas le changelog (qui est juste l'annonce de ce qui est corrigé).
De plus pour avoir vraiment un problème il faudrait que celui ayant les droits sur le noyeau linux porte pleinte ... ce qui ne risque pas d'arriver pour une correction de faille :)
Que AC veuille montrer les problèmes de la loi je le conçois mais il me semble que l'exemple est mauvais et risque de faire craindre un effet de la loi qui n'existe pas.
> En quoi publier le fait qu'on corrige une faille dans la gestion de xxxxx vient en contradiction avec cette loi ?
Le problème : indiqué comment corriger un faille donne parfois des informations sur comment accéder au contenu (cf Adobe). Hors donner des infos sur comment accéder au contenu est interdit.
...Car il y a une différence entre "collecter des informations dans un cadre personnel" et "diffuser des informations".
On retrouver cette nouvelle philospohie: on ne doît pas diffuser les trous de sécurité pour permettre à un groupe de crackers plus limité d'avoir plus de temps pour casser plus de machines....
Ca y est... on ne va meme plus savoir pourquoi on upgrade : les linuxiens sont ils en passe de se microsoftiser ?
Je préfère penser à la theorie de Maxime Ritter (thread suivant) : Ce n'est qu'un hoax, histoire de faire réagir les gens, les utilisateurs, tout le monde.
Le simple fait d'apposer le secret sur une modif kernel va plus engendrer la panique qu'autre chose. La non-information est le début des rumeurs les plus folles, on risque de bientôt voir des crackers nous dire "je sais exploiter LA faille inavouable des kernel < 2.2.19". Comment savoir si c'est vrai? Comment savoir quelle est la manière de se proteger ? on ne sait meme pas ce qui est vulnérable ! Si tant est qu'une vulnérabilité existe réellement.
Le monde linux est pour moi avant tout une philosophie, un monde libre où l'on est autonome et où l'on à l'accès a l'information, a toutes les informations. Si Alan Cox est sérieux dans son changelog, je ne pense pas continuer longtemps à utiliser un noyau linux... désolé mais ca me fait trop mal de ne pas savoir.
Je suis triste, inquiet et surtout impatient de savoir si cette "simple" ligne du ChangeLog est sérieuse.
Alan, rassures nous, dis nous que nous ne sommes pas trompé en suivant ta voie.
> je ne pense pas continuer longtemps à utiliser un noyau linux...
Et tu vas utiliser quoi? Windows, AIX, MAC OS, etc..
C'est gentil de dire qu'untel ou untel ne doit pas se laisser intimidé par le DMCA et tout publier. Il ne faut pas oublier qu'il est question d'aller en tôle.
En gros on demande aux hackers de prendre des risques alors que nous ont ne fait pas grand chose.
Il ne faudrait pas oublier les *BSDs. Bien que ces derniers tps certaines craintes soient apparues quand à la survie de FreeBSD, NetBSD et OpenBSD se portent très bien.
Enfin bon, j'espère moi aussi que c'est juste un coup de pub.
Puisque tu es au Japon, pourrais-tu nous donner une idée de la façon dont les japonais perçoivent ces problémes ? Vu qu'ils acceptent les brevets sur le logiciel...
>Et tu vas utiliser quoi? Windows, AIX, MAC OS, etc..
J'utiliserai un *BSD. OpenBSD de préférence. Linux n'est pas la seule alternative de type UNIX.
>C'est gentil de dire qu'untel ou untel ne doit pas se laisser intimidé par le DMCA et tout publier. Il ne faut pas oublier qu'il est question d'aller en tôle.
Le DMCA est une loi stupide qui n'existe que dans un seul pays. Il reste plusieurs continents dont la culture permet d'éviter ce genre d'excrement.
En Europe, tu à le droit de faire du reverse engineering sur les soft dont tu as une licence, si ca t'amuse. En Europe, il n'y a pas de "1er Amendement" qui permet la liberté de parole, le Liberté me semble culturelle, et elle est bien plus respectée.
D'ailleurs, je me demande s'il n'est pas anti-constitutionnel aux USA, vis-a-vis de ce 1er Amendement, d'interdire de divulguer des informations, surtout s'il s'ait de ses propres découvertes sur ses propres produits !
Je trouve que pour un pays dit libre, les USA ressemble plus à une dictature qu'a une démocratie...
>> Et tu vas utiliser quoi? Windows, AIX, MAC OS, etc..
Je n'ai pas cité *BSD car *BSD aura les mêmes problème que Linux (la transparence). Donc pour évité les problèmes style changelog sencuré sous Linux tu ne peux pas te tourné vers BSD qui aura les mêmes problèmes. Mais Utilisé un OS commercial n'est pas la solution. C'est ce que je voulais souligné. J'ai rien contre *BSD.
> En Europe, tu à le droit de faire du reverse engineering sur les soft dont tu as une licence, si ca t'amuse. En Europe, ...
Ouais. Mais l'europe semble vouloir dériver actuellement. Mais l'histoire n'est pas encore écrite : Wait And See (comme disent les américains).
Si tu reste toute ta vie en Europe, il n'y a pas de problème... mais si comme Alan Cox, tu dois aller au Étas-Unis pour un voyage d'affaire, tu as le devoir de faire attention à ce que tu publie car tout ce qui se retrouve au É-U même si tu démeurre dans un autre pays, peut être utilisé contre toi lors de ton entré au É-U.
... bien sûr, tout comme la pluspart des utilisateurs, je crois qu'il y a une petite exagération... mais selon ce que j'ai pu lire, Alan Cox a décidé d'en venir à ceci après consultation de son avocat.
Je ne crois pas, car si dans le cas de Dimitry Sklyarov, Adobe (ou un avocat indépendant ?) a effectivement porté plainte, il a depuis retiré sa plainte et malgré cela le gouvernement continue à poursuivre ce type. Le gouvernement poursuit même sans plainte car il s'agit d'une violation de la loi (c'est comme ça que je le comprends).
Je suis d'accord avec toi. La force de linux est le libre. Et si etre libre implique d'etre hors la loi dans certains états, alors il faut devenir hors la loi, pour montrer nos convictions.
Pourquoi ne pas publier les changelogs sur des sites se situants dans des pays ou cette loi n'a pas cours (la france ?) ?
j'aurais des comparaisons a faire avec d'autres mouvement, mais cela ne ferait que nourrir les trolls, alors je préfere me taire.
Soit on fait du libre, et on e fait jusqu'au bout, soit on n'est qu'un pantin.
Mais masquer les failles pour quelque chose d'aussi fondemmental que le kernel, je trouve ca innadmissible.
Je suis d'accord avec toi. La force de linux est le libre. Et si etre libre implique d'etre hors la loi dans certains états, alors il faut devenir hors la loi, pour montrer nos convictions.
Et combattre ces lois, expliquer les problemes qu'elles posent, il faut protester et pas seulement dire "alors soyons hors-la-loi". Il ne faut oublier non plus que parmi ceuxx qui proposent ces lois, certains sont soudoyés (ex. la campagne de celui qui a proposé le SSSCA a été financée par Hollywood)
Pourquoi ne pas publier les changelogs sur des sites se situants dans des pays ou cette loi n'a pas cours (la france ?) ?
Oui. Et un Freenet opérationnel sera aussi utile pour ça.
j'aurais des comparaisons a faire avec d'autres mouvement, mais cela ne ferait que nourrir les trolls, alors je préfere me taire.
Je crois qu'on y pense tous :)
Mais masquer les failles pour quelque chose d'aussi fondemmental que le kernel, je trouve ca innadmissible.
Cox s'est exprimé assez "violemment" sur ce type de lois aux US. Je pense que c'est de la provoc, il veut montrer où pourraient mener ces lois.
Bordel, mais vous réfléchissez un peu avant de poster ?
Le code source du patch est disponible. Il suffit donc de retrousser ses manches et d'aller voir les modifications qui correspondent à des problèmes de permissions.
C'est bien pour cela que ce ne peut être qu'une provocation.
On va finir par avoir plus de neuneus sous Linux que sous Windows.
D'abord je tiens a dire que je ne comprends pas non plus cela. A cela plusieurs raisons :
- Il est facile de s'amuser a prendre le .diff pour voir le code modifie et donc de trouver le trou de securite corrige (bon en fait ici sous W2K avec un quota de 10 Mo je peut pas le faire). Donc le patch ne respecte pas le DMCA
- Alan Cox vie en Ecosse (ou au pays de Galles, je sais plus), mais pas aux US d'apres ce que je sais. Pourquoi s'amuse-t-il a respecter le DMCA ? Ca ne le concerne pas dans son pays. A moins que comme le russe, Skylarov (chuis pas sur de l'orthographe) il ait peur de retourner aux US ou se trouve son employeur...
- Buqtrack & Co ils font comment eux ?
Maintenant pour savoir ce que ca fixe on peut speculer que ca fixe le trou de secu trouve ces derniers jours (voire ancienne news http://linuxfr.org/2001/10/19/5525,1,-1,0,1.php3(...) ). Ou bien un trou de secu pas encore revele mais d'une importance telle que il prefere dire "ca fixe quelque chose de grave" histoire de te forcer a upgrader, puis de reveler le bug dans quelques jours / semaines (le temps qu'on face le diff pour le trouver donc).
Autre theorie : c'est effectivement le fix de ces derniers jours ET c'est volontaire de la part de Cox, c'est juste pour lancer un troll. Pas de peur de la DMCA puisque tout le monde connait deja ce trou de secu.
> c'est volontaire de la part de Cox, c'est juste pour lancer un troll
Pour creuser un peu ton idée, peut-être a-t-il fait exprès pour que les gens se rendent compte des implications que le DMCA pourrait avoir sur notre travail.
Une telle auto-censure ne se justifie peut-être pas à l'heure actuelle, mais sera probablement obligatoire dans le futur si nous ne nous mobilisons pas contre ces histoires de DMCA, brevets logiciels et autres co****ies en cours.
Alan veut secouer le cocotier et monter a tous a quel point c'est ridicule et contreproductif. Que c'est uniquement du lobbying de MS pour eviter ses responsabiltes et eliminer l'opensource
Je suis aussi resté perplexe par cette allusion à la dmca, et j'ai une interprétation personnelle (et peut être totalement erronnée de cette remarque) : le fait de publier des informations permettant d'accéder de manière non autorisée dans un système est probablement interdit par le dmca, donc alan cox ne pouvait pas dévoiler les bugs de securite qui ont ete corriges.
Voila ce qu'a repondu Alan Cox (ou quelqu'un qui se pretends etre Alan Cox) sur Linux Today
I am going on actual legal advice that based on the 2600 case, the Decss case, and the Felten case that the situation is extremely unclear. What is the difference between documenting a kernel vulnerability and documenting the fact dvd css is complete crap ? Nothing.
Hopefully when the law is clarified things will return to sanity, until then anyone posting any kind of security related information that might be used to access files without permission (eg getting to root) is risking several years in a US jail.
What are the odds that the DMCA interpretation in question would hold - I'd hope very very low, but 2600 is being censored and the case looks like it will have to go all the way to the supreme court. Will Dmitry be freed - probably, will he be back home in Russia where he belongs before Christmas - no chance, maybe not even before the Christmas after that.
If I posted details of the css vulnerabilities or the URL of the news article explaining why windows secure media isnt Linuxtoday would have to delete this message. OS security holes are just the same
situation.
Alan
Perso je pense qu'au contraire il a tord de se censurer et qu'au contraire pour contrer le DMCA il est necessaire de ne pas le respecter. En particulier pour les citoyens non-US.
Heu... A part l'adresse e-mail, rien ne prouve que le message soit bien de lui. Il aurait dût le signer. Sinon n'importe qui peut se faire passer pour Alan avec simplement une adresse e-mail.
>pour contrer le DMCA il est necessaire de ne pas le respecter.
Et n'y pensons plus ... Tu devrais dire ça à Dimitri Skylarov, ça lui fera très plaisir ..
Alan essaye de montrer l'absurdité de lois comme le DMCA, si des grosses boites comme ibm, dell, redhat etc.. se trouvent privées de changelogs, elles arriveront peut etre mieux à convaincre leur gouvernement.
pour contrer le DMCA il est necessaire de ne pas le respecter.
En ne respectant pas la loi, quelle qu'elle soit, tu perds toute crédibilité.
Il faut donc à la fois la respecter, et lutter contre elle par des moyens légaux.
Je ne suis pas d'accord. Je ne sais plus qui a dit: "lorsqu'une loi est inhumaine, c'est non seulement un droit mais un devoir de s'opposer à la loi".
Dans le cas d'une loi aussi grave que le DMCA, qui remet en cause la liberté d'expression, je pense qu'il est parfaitement justifier de ne pas la respecter.
<exemple hs>
Est-ce que les associations qui aident les sans-papier à effectuer les démarches administratives perdent leur crédibilité? Pourtant, en France, toute aide à un étranger en situation irrégulière est illégale.
</exemple hs>
Dans ta sitation il y a "s'opposer a la loi"
Dans ta proposition il y "ne pas respecter la loi"
C'est effectivement jouer sur les mots mais je pense qu'il y a une enorme difference entre s'opposer a une loi -associations de lutte contre ....- et etre hors la loi.
C'est un nouveau moteur? Double Motorisation Complétement Autonome?
Je sais que ça veut dire Digital Millennium Copyright Act. Mais je sais pas ce qu'il interdit.
Ca part d'une idée défendable: proteger les droits d'auteurs de créateurs.(musique, images, video, programmes etc...).
Le problème est que protéger ces intérets demande de controler tout les matériels et logiciels manipulant des données numeriques. C'est la raison pour laquelle on ne peut pas lire de DVD *légalement* sous un OS libre.
Le DMCA condamne la *diffusion* de toute information, logiciel ou matériel permettant de contourner un système de droits d'accès aux données (come par ex. le noyau Linux, le CSS des DVDs, SDMI, Adobe DRM, MS-DRM qui vient juste d'etre cracké, etc..).
Not even affected parties - the government can do it too without anyone else
and indeed even if their are contractual agreements between parties
permitting the data to be released..
I hope to have the security stuff up on a non US citizen accessible site in
time for 2.2.20 final
"Until they become conscious they will never rebel, and until after
they have rebelled they cannot become conscious."
> Seriously, are you kidding?
The current interpretation of the DMCA is as lunatic as it sounds. With luck
the Sklyarov case will see that overturned on constitutional grounds. Until
then US citizens will have to guess about security issues.
http://marc.theaimsgroup.com/?l=linux-kernel&m=100375761618453&(...)
> > > This would then presumably lead to password protected access for US kernel
> > > developers that need to know? And some kind of NDA?
> > > > US kernel developers cannot be told. Period.
> > Huh, US resident or US citizens?
> > If US resident , does that mean we can't send security patches to
> Linus.
You can send him the patch. It appears you cannot tell him which
vulnerability it fixes.
That is, unless the 'code = speech' people have succeded in setting enough
precedent, in which case even 'code' may become a 'circumvention device'!
I am not a lawyer though, but at this point logic seems so far away that
anything appears possible.
Im not aware of any probl;ems distributing fixed source
> I can't imagine anything worse for the security of this country than not
> allow computer users access to security issues.
As it stands I cannot legally advise the US security services about Linux
security issues. Normally I'd find this excruciatingly funny but in the
current circumstances its rather less humourous.
Il faut que les boîtes européennes, Suse, Mandrake, etc... attaque ce problème.
Les avis négatifs sur le DMCA par des boîtes commercial est important. Car, il faut le reconnaitre, le hacker n'est jamais écouté par les politiques...
Bon, j'ai envoyé un e-mail a alan(via linuxtoday donc ceux qui veulent le lire... allez-y), j'attend qu'il soit publié/lu/répondu par alan, je vous tiens au courant.
Dedans je lui propose de faire comme on faisait avec XFree86 3.x.x avec l'encryption: il fallait récupérer un fichier et l'enabler explicitement dans le fichier de config pour avoir droit à ces fonctions d'encryption 128bit (si je me souvient bien) sinon on était en 32bit par défault.
Normalement il ne doit pas refuser... a moins d'un ordre qui provienne d'au dessus de redhat (son employeur), auquel cas il va falloir songer a changer de mainteneur... mais honnêtement, cela devrait passer.
Juste pour vous donner le lien de la proposition que j'ai faite, on verra si ça intéresse qqn:
"linuxtoday.com/news_story.php3?ltsn=2001-10-22-011-20-NW-LL-0027"
as [a hole in] Unix-style permissions could be used as an anti-circumvention device
Traduction: les permissions d'accès à des fichiers unix
sont un moyen d'interdire l'accès à des informations sensibles ou copyrightées.
Publier une faille qui permet de contourner (circumvention) ces protections est interdit par le DMCA.
Bref, la liberté d'expression et le droit à la transparence sont une fois de + bafoués par les lois imposées par les multinationales.
Comme Alan Cox ne veut pas être arrêté lors de son prochain voyage aux US chez son employeur Redhat, il respecte le DMCA. (cf l'affaire Dmitri)
La NSA produit sa propre version de Linux (la dernière vient de sortir récemment) : la NSA Security Enhanced Linux. Sachant que cette distrib corrige des failles de sécurité et implémente des sécurités plus importantes, quel est son statut vis-à-vis du DMCA ?
i.e. le gouvernement américain va-t-il s'autopoursuivre ?
La faille a de toute facon ete revelee par la simple publication d'un correctif: toute personne ayant un minimum de connaissances en C peut retrouver le principe de la faille simplement en lisant le patch. Je soupconne donc Alan Cox de ne faire cette censure du changelog que dans un but de propagande. Meme s'il est vrai que le DMCA doit etre denonce, je trouve le moyen employe des plus douteux.
> Meme s'il est vrai que le DMCA doit etre denonce, je trouve le moyen employe des plus douteux.
Je ne le trouve pas douteux. Tu le dis :
"toute personne ayant un minimum de connaissances en C peut retrouver le principe de la faille simplement en lisant le patch"
Alan reproche aux citoyens américains de ne pas s'être rebellés contre le DMCA et les responsabilise en leur fesant subir les conséquences. En effet, il dit que pour la version 2.2.20 final, le commentaire sur la sécurité sera disponible sur les sites non-accessible à des citoyens américain.
Je n'ai pas d'avis tranché sur l'attitude d'Alan. Mais si l'objectif est de dénoncé le DMCA, il y réussi!
# En europe ?
Posté par Julien CARTIGNY (site web personnel) . Évalué à 7.
Alors on peut imaginer la publication du changelog signé par un groupement d'utilisateurs européens pour éviter tous problemes...
[^] # Re: En europe ?
Posté par Nelis (site web personnel) . Évalué à -1.
[^] # Re: En europe ?
Posté par Gaël Le Mignot . Évalué à 10.
Alan Cox vit en Europe, certes, mais Dmitry Skylarov est russe, et il a été arrété pour infraction au DMCA alors qu'il donnait une conférence aux USA. Peut-être qu'Alan Cox a l'intention d'aller aux USA (en vacances, pour une conférence, ...) et il n'a pas envie de risquer 5 ans de prison.
A mon avis, la véritable raison est plus de pousser un gros coup de gueule pour augmenter la pression anti-DMCA (d'ailleurs ça a l'air de pas trop mal marché, on en parle sur /., linuxfr.org, ...).
[^] # Re: En europe ?
Posté par Anonyme . Évalué à -2.
[^] # Re: En europe ?
Posté par Olivier M. . Évalué à 7.
Si j'ai bonne mémoire, juste après cette affaire AC avait même refusé de se rendre à une conférence aux USA a laquelle il etait convié... ca serait pas très cohérent de sa part d'aller y passer ses vacances :o)
(je ne me souviens plus precisement de la source de l'info...un article dans libé il me semble)
[^] # Les différences
Posté par Gilles Cuesta . Évalué à 5.
> any mission critical environment.
--- linux-2.2.19/fs/exec.c Mon Mar 26 07:13:23 2001
+++ linux/fs/exec.c Tue Oct 9 05:00:50 2001
@@ -552,12 +645,11 @@
}
/*
- * We mustn't allow tracing of suid binaries, unless
- * the tracer has the capability to trace anything..
+ * We mustn't allow tracing of suid binaries, no matter what.
+ *** There's nothing wrong with allowing root to ptrace
+ *** a setuid-binary. Allowing a process to elevate it's
+ *** privileges while continuing to ptrace another, OTOH,
+ *** isn't really a bright idea. --rw
*/
static inline int must_not_trace_exec(struct task_struct * p)
{
- return (p->flags & PF_PTRACED) && !cap_raised(p->p_pptr->cap_effective, CAP_SYS_PTRACE);
+ return (p->flags & PF_PTRACED);
}
/*
But I suppose that your mission is that critical that you
cannot be bothered with following bugtraq. That 'someone'
stumbled over */../*/../* & friends again isn't really news
either.
Luckily, this would only DoS a Linux-based system and
even the BSD libc, which had contained internal overflows
leading to possible root compromises this way since ten
years ago (whatever), has been fixed 'somewhen' around the
first quarter of 2001.
> If i don't like it i don't have to use it. That's exactly
> my point. I won't be using it.
WTF cares?
> FreeBSD and Solaris don't have wacky political
> agendas attached.
Except yours, of course.
[^] # Re: En europe ?
Posté par fantomaxe . Évalué à 7.
[^] # Re: En europe ?
Posté par Julien CARTIGNY (site web personnel) . Évalué à 10.
un truc en Français un peu hard mais intéressant: http://reidenberg.home.sprynet.com/rapport-usa.htm(...)
[^] # Re: En europe ?
Posté par Olivier Jeannet . Évalué à 10.
[^] # Re: En europe ?
Posté par Éric (site web personnel) . Évalué à 8.
En quoi publier le fait qu'on corrige une faille dans la gestion de xxxxx vient en contradiction avec cette loi ?
Ce qui serait interdit ca serait à la limite de comment utiliser cette faille, pas comment la corriger.
Je sais bien que simplement dire ce qu'on corrige est donner une indication de la faille mais bon, une analyse du .diff devrait, elle, donner la facon d'exploiter cette faille ...
Bref pour faire simple ce qui peut rentrer en contradiction avec la loi ce sont les articles de bugtrack, à la limite (avec une interprétation très large de la loi) les sources du patch mais en aucun cas le changelog (qui est juste l'annonce de ce qui est corrigé).
De plus pour avoir vraiment un problème il faudrait que celui ayant les droits sur le noyeau linux porte pleinte ... ce qui ne risque pas d'arriver pour une correction de faille :)
Que AC veuille montrer les problèmes de la loi je le conçois mais il me semble que l'exemple est mauvais et risque de faire craindre un effet de la loi qui n'existe pas.
[^] # Re: En europe ?
Posté par matiasf . Évalué à 5.
Le problème : indiqué comment corriger un faille donne parfois des informations sur comment accéder au contenu (cf Adobe). Hors donner des infos sur comment accéder au contenu est interdit.
[^] # Re: En europe ?
Posté par Laurent Capitaine . Évalué à 4.
Là c'est plus un coup de provoc à mon avis.
[^] # Re: En europe ?
Posté par Julien CARTIGNY (site web personnel) . Évalué à 5.
...Car il y a une différence entre "collecter des informations dans un cadre personnel" et "diffuser des informations".
On retrouver cette nouvelle philospohie: on ne doît pas diffuser les trous de sécurité pour permettre à un groupe de crackers plus limité d'avoir plus de temps pour casser plus de machines....
"A part ça, les hommes vont sur la lune" (Reiser)
[^] # Re: En europe ?
Posté par mcjyc (site web personnel) . Évalué à -4.
# Rectificatif
Posté par Pierre . Évalué à 9.
2.2.20pre11
o Security fixes
| Details censored in accordance with the US DMCA
[^] # Re: Rectificatif
Posté par Jerome Demeyer . Évalué à 10.
Je préfère penser à la theorie de Maxime Ritter (thread suivant) : Ce n'est qu'un hoax, histoire de faire réagir les gens, les utilisateurs, tout le monde.
Le simple fait d'apposer le secret sur une modif kernel va plus engendrer la panique qu'autre chose. La non-information est le début des rumeurs les plus folles, on risque de bientôt voir des crackers nous dire "je sais exploiter LA faille inavouable des kernel < 2.2.19". Comment savoir si c'est vrai? Comment savoir quelle est la manière de se proteger ? on ne sait meme pas ce qui est vulnérable ! Si tant est qu'une vulnérabilité existe réellement.
Le monde linux est pour moi avant tout une philosophie, un monde libre où l'on est autonome et où l'on à l'accès a l'information, a toutes les informations. Si Alan Cox est sérieux dans son changelog, je ne pense pas continuer longtemps à utiliser un noyau linux... désolé mais ca me fait trop mal de ne pas savoir.
Je suis triste, inquiet et surtout impatient de savoir si cette "simple" ligne du ChangeLog est sérieuse.
Alan, rassures nous, dis nous que nous ne sommes pas trompé en suivant ta voie.
[^] # Re: Rectificatif
Posté par matiasf . Évalué à 4.
Et tu vas utiliser quoi? Windows, AIX, MAC OS, etc..
C'est gentil de dire qu'untel ou untel ne doit pas se laisser intimidé par le DMCA et tout publier. Il ne faut pas oublier qu'il est question d'aller en tôle.
En gros on demande aux hackers de prendre des risques alors que nous ont ne fait pas grand chose.
[^] # Re: Rectificatif
Posté par Babou . Évalué à 8.
Enfin bon, j'espère moi aussi que c'est juste un coup de pub.
[^] # Re: Rectificatif
Posté par Pierre Jarillon (site web personnel) . Évalué à 2.
[^] # Re: Rectificatif
Posté par Jerome Demeyer . Évalué à 7.
J'utiliserai un *BSD. OpenBSD de préférence. Linux n'est pas la seule alternative de type UNIX.
>C'est gentil de dire qu'untel ou untel ne doit pas se laisser intimidé par le DMCA et tout publier. Il ne faut pas oublier qu'il est question d'aller en tôle.
Le DMCA est une loi stupide qui n'existe que dans un seul pays. Il reste plusieurs continents dont la culture permet d'éviter ce genre d'excrement.
En Europe, tu à le droit de faire du reverse engineering sur les soft dont tu as une licence, si ca t'amuse. En Europe, il n'y a pas de "1er Amendement" qui permet la liberté de parole, le Liberté me semble culturelle, et elle est bien plus respectée.
D'ailleurs, je me demande s'il n'est pas anti-constitutionnel aux USA, vis-a-vis de ce 1er Amendement, d'interdire de divulguer des informations, surtout s'il s'ait de ses propres découvertes sur ses propres produits !
Je trouve que pour un pays dit libre, les USA ressemble plus à une dictature qu'a une démocratie...
[^] # Re: Rectificatif
Posté par matiasf . Évalué à 5.
>> Et tu vas utiliser quoi? Windows, AIX, MAC OS, etc..
Je n'ai pas cité *BSD car *BSD aura les mêmes problème que Linux (la transparence). Donc pour évité les problèmes style changelog sencuré sous Linux tu ne peux pas te tourné vers BSD qui aura les mêmes problèmes. Mais Utilisé un OS commercial n'est pas la solution. C'est ce que je voulais souligné. J'ai rien contre *BSD.
> En Europe, tu à le droit de faire du reverse engineering sur les soft dont tu as une licence, si ca t'amuse. En Europe, ...
Ouais. Mais l'europe semble vouloir dériver actuellement. Mais l'histoire n'est pas encore écrite : Wait And See (comme disent les américains).
[^] # Re: Rectificatif
Posté par Anonyme . Évalué à 1.
Donc le DMCA rien a peter :)
[^] # Re: Rectificatif
Posté par Mario Gaucher . Évalué à 2.
... bien sûr, tout comme la pluspart des utilisateurs, je crois qu'il y a une petite exagération... mais selon ce que j'ai pu lire, Alan Cox a décidé d'en venir à ceci après consultation de son avocat.
[^] # Re: Rectificatif
Posté par jojolapin . Évalué à -1.
Euh, pour ça il faudrait que qqun porte plainte...
[^] # Re: Rectificatif
Posté par Olivier Jeannet . Évalué à 2.
Je ne crois pas, car si dans le cas de Dimitry Sklyarov, Adobe (ou un avocat indépendant ?) a effectivement porté plainte, il a depuis retiré sa plainte et malgré cela le gouvernement continue à poursuivre ce type. Le gouvernement poursuit même sans plainte car il s'agit d'une violation de la loi (c'est comme ça que je le comprends).
[^] # Re: Rectificatif
Posté par coincoinpowa . Évalué à 10.
Pourquoi ne pas publier les changelogs sur des sites se situants dans des pays ou cette loi n'a pas cours (la france ?) ?
j'aurais des comparaisons a faire avec d'autres mouvement, mais cela ne ferait que nourrir les trolls, alors je préfere me taire.
Soit on fait du libre, et on e fait jusqu'au bout, soit on n'est qu'un pantin.
Mais masquer les failles pour quelque chose d'aussi fondemmental que le kernel, je trouve ca innadmissible.
[^] # Re: Rectificatif
Posté par Anonyme . Évalué à 4.
Et combattre ces lois, expliquer les problemes qu'elles posent, il faut protester et pas seulement dire "alors soyons hors-la-loi". Il ne faut oublier non plus que parmi ceuxx qui proposent ces lois, certains sont soudoyés (ex. la campagne de celui qui a proposé le SSSCA a été financée par Hollywood)
Pourquoi ne pas publier les changelogs sur des sites se situants dans des pays ou cette loi n'a pas cours (la france ?) ?
Oui. Et un Freenet opérationnel sera aussi utile pour ça.
j'aurais des comparaisons a faire avec d'autres mouvement, mais cela ne ferait que nourrir les trolls, alors je préfere me taire.
Je crois qu'on y pense tous :)
Mais masquer les failles pour quelque chose d'aussi fondemmental que le kernel, je trouve ca innadmissible.
Cox s'est exprimé assez "violemment" sur ce type de lois aux US. Je pense que c'est de la provoc, il veut montrer où pourraient mener ces lois.
[^] # Re: Rectificatif
Posté par Marc Lefranc . Évalué à 7.
Le code source du patch est disponible. Il suffit donc de retrousser ses manches et d'aller voir les modifications qui correspondent à des problèmes de permissions.
C'est bien pour cela que ce ne peut être qu'une provocation.
On va finir par avoir plus de neuneus sous Linux que sous Windows.
[^] # Re: Rectificatif
Posté par Anonyme . Évalué à 3.
vu le nombre d'endoctrinés du libre qui trainent ici et qui sont incapables de réfléchir par eux-même, c'est déjà le cas.
Utiliser les logiciels libres n'empêche pas d'être libre penseur.
# DMCA ??
Posté par Maxime Ritter (site web personnel) . Évalué à 10.
- Il est facile de s'amuser a prendre le .diff pour voir le code modifie et donc de trouver le trou de securite corrige (bon en fait ici sous W2K avec un quota de 10 Mo je peut pas le faire). Donc le patch ne respecte pas le DMCA
- Alan Cox vie en Ecosse (ou au pays de Galles, je sais plus), mais pas aux US d'apres ce que je sais. Pourquoi s'amuse-t-il a respecter le DMCA ? Ca ne le concerne pas dans son pays. A moins que comme le russe, Skylarov (chuis pas sur de l'orthographe) il ait peur de retourner aux US ou se trouve son employeur...
- Buqtrack & Co ils font comment eux ?
Maintenant pour savoir ce que ca fixe on peut speculer que ca fixe le trou de secu trouve ces derniers jours (voire ancienne news http://linuxfr.org/2001/10/19/5525,1,-1,0,1.php3(...) ). Ou bien un trou de secu pas encore revele mais d'une importance telle que il prefere dire "ca fixe quelque chose de grave" histoire de te forcer a upgrader, puis de reveler le bug dans quelques jours / semaines (le temps qu'on face le diff pour le trouver donc).
Autre theorie : c'est effectivement le fix de ces derniers jours ET c'est volontaire de la part de Cox, c'est juste pour lancer un troll. Pas de peur de la DMCA puisque tout le monde connait deja ce trou de secu.
[^] # Re: DMCA ??
Posté par Annah C. Hue (site web personnel) . Évalué à 8.
Pour ceux qui cherchent des infos sur le DMCA, http://www.anti-dmca.org/(...) est un site objectif.
[^] # Re: DMCA ??
Posté par Vincent Deffontaines . Évalué à 0.
[^] # Re: DMCA ??
Posté par Amand Tihon (site web personnel) . Évalué à -1.
(ya pas -2 ?)
[^] # Re: DMCA ??
Posté par Yann Cochard (site web personnel) . Évalué à 7.
Pour creuser un peu ton idée, peut-être a-t-il fait exprès pour que les gens se rendent compte des implications que le DMCA pourrait avoir sur notre travail.
Une telle auto-censure ne se justifie peut-être pas à l'heure actuelle, mais sera probablement obligatoire dans le futur si nous ne nous mobilisons pas contre ces histoires de DMCA, brevets logiciels et autres co****ies en cours.
Yann.
[^] # Re: DMCA ??
Posté par Anonyme . Évalué à 5.
evidement que c'est ca !
Alan veut secouer le cocotier et monter a tous a quel point c'est ridicule et contreproductif. Que c'est uniquement du lobbying de MS pour eviter ses responsabiltes et eliminer l'opensource
# ce que j'ai compris
Posté par Christophe Fergeau . Évalué à -2.
[^] # Re: ce que j'ai compris
Posté par Anonyme . Évalué à 0.
[^] # Re: ce que j'ai compris
Posté par pfrenard . Évalué à 0.
# Reponse d'Alan Cox sur LinuxToday
Posté par Maxime Ritter (site web personnel) . Évalué à 10.
I am going on actual legal advice that based on the 2600 case, the Decss case, and the Felten case that the situation is extremely unclear. What is the difference between documenting a kernel vulnerability and documenting the fact dvd css is complete crap ? Nothing.
Hopefully when the law is clarified things will return to sanity, until then anyone posting any kind of security related information that might be used to access files without permission (eg getting to root) is risking several years in a US jail.
What are the odds that the DMCA interpretation in question would hold - I'd hope very very low, but 2600 is being censored and the case looks like it will have to go all the way to the supreme court. Will Dmitry be freed - probably, will he be back home in Russia where he belongs before Christmas - no chance, maybe not even before the Christmas after that.
If I posted details of the css vulnerabilities or the URL of the news article explaining why windows secure media isnt Linuxtoday would have to delete this message. OS security holes are just the same
situation.
Alan
Perso je pense qu'au contraire il a tord de se censurer et qu'au contraire pour contrer le DMCA il est necessaire de ne pas le respecter. En particulier pour les citoyens non-US.
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par the_freeman . Évalué à -6.
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par Maxime Ritter (site web personnel) . Évalué à -3.
Oui, en effet, j'ai bien dit d'Alan Cox ou de quelqu'un qui se fait passer pour lui...
Allez -1 ca apporte rien de nouveau
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par Anonyme . Évalué à 4.
Et n'y pensons plus ... Tu devrais dire ça à Dimitri Skylarov, ça lui fera très plaisir ..
Alan essaye de montrer l'absurdité de lois comme le DMCA, si des grosses boites comme ibm, dell, redhat etc.. se trouvent privées de changelogs, elles arriveront peut etre mieux à convaincre leur gouvernement.
Mais il y a bien pire, Linux sera bientot *illégal* aux US si la réaction n'est pas assez forte à ça (SSSCA):
http://www.newsforge.com/article.pl?sid=01/10/19/1546246&mode=t(...) .
Et comme on dit, les US ne font que précéder l'Europe, cf http://www.lsijolie.net(...) ...
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par Anonyme . Évalué à -3.
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par Robert Palmer (site web personnel) . Évalué à 4.
I dont see why I should risk 5 years in a US jail. Not my problem.
Fortunately the major vendors kernel development teams are all non US based.
Bon, je pense que c'est de la provoc mais en même temps il veut que les assoces anti-DMCA se bougent un peu
Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par Anonyme . Évalué à 1.
Moi je pense qu'ac a raison et que tout moyen, aussi futile soit il, de denoncer la dmca est bon.
D'autre part ce n'est pas toi qui risque de croupir pendant des mois en prison pour avoir enfreint le dmca
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par Anonyme . Évalué à 0.
En ne respectant pas la loi, quelle qu'elle soit, tu perds toute crédibilité.
Il faut donc à la fois la respecter, et lutter contre elle par des moyens légaux.
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par Gaël Le Mignot . Évalué à 1.
Dans le cas d'une loi aussi grave que le DMCA, qui remet en cause la liberté d'expression, je pense qu'il est parfaitement justifier de ne pas la respecter.
<exemple hs>
Est-ce que les associations qui aident les sans-papier à effectuer les démarches administratives perdent leur crédibilité? Pourtant, en France, toute aide à un étranger en situation irrégulière est illégale.
</exemple hs>
[^] # Re: Reponse d'Alan Cox sur LinuxToday
Posté par pfrenard . Évalué à 2.
Dans ta proposition il y "ne pas respecter la loi"
C'est effectivement jouer sur les mots mais je pense qu'il y a une enorme difference entre s'opposer a une loi -associations de lutte contre ....- et etre hors la loi.
# DMCA quoi que c'est?
Posté par Tutur . Évalué à -3.
Je sais que ça veut dire Digital Millennium Copyright Act. Mais je sais pas ce qu'il interdit.
[^] # Re: DMCA quoi que c'est?
Posté par Anonyme . Évalué à -2.
Le problème est que protéger ces intérets demande de controler tout les matériels et logiciels manipulant des données numeriques. C'est la raison pour laquelle on ne peut pas lire de DVD *légalement* sous un OS libre.
Le DMCA condamne la *diffusion* de toute information, logiciel ou matériel permettant de contourner un système de droits d'accès aux données (come par ex. le noyau Linux, le CSS des DVDs, SDMI, Adobe DRM, MS-DRM qui vient juste d'etre cracké, etc..).
# Alan Cox a dit:
Posté par Nÿco (site web personnel) . Évalué à 2.
> Are you saying that we can't divulge security problems in our own software
> anymore for fear of being sued by affected parties?
Not even affected parties - the government can do it too without anyone else
and indeed even if their are contractual agreements between parties
permitting the data to be released..
I hope to have the security stuff up on a non US citizen accessible site in
time for 2.2.20 final
Le début du thread est ici:
http://marc.theaimsgroup.com/?l=linux-kernel&m=100374609914587&(...)
[^] # Re: Alan Cox a dit:
Posté par Nÿco (site web personnel) . Évalué à -1.
> Putting pressure on US people to have them influence their
> legislation? Aka. every people have the rulers they deserve? Won't work
> out.
"Until they become conscious they will never rebel, and until after
they have rebelled they cannot become conscious."
> Seriously, are you kidding?
The current interpretation of the DMCA is as lunatic as it sounds. With luck
the Sklyarov case will see that overturned on constitutional grounds. Until
then US citizens will have to guess about security issues.
Alan
[^] # Re: Alan Cox a dit:
Posté par Maxime Ritter (site web personnel) . Évalué à -3.
C'est pas bete de couper son post en morceaux finalement, comme ca tu gagnes plus de XP !!
Bon allez -1 ce que je fais c'est pire, je pollue !
[^] # Re: Alan Cox a dit:
Posté par Nÿco (site web personnel) . Évalué à -1.
> This would then presumably lead to password protected access for US kernel
> developers that need to know? And some kind of NDA?
US kernel developers cannot be told. Period.
> 'IANAL', and neither are you, are you sure this sillyness is necessary?
Its based directly on legal opinion.
[^] # Re: Alan Cox a dit:
Posté par Nÿco (site web personnel) . Évalué à -1.
> > > This would then presumably lead to password protected access for US kernel
> > > developers that need to know? And some kind of NDA?
> > > > US kernel developers cannot be told. Period.
> > Huh, US resident or US citizens?
> > If US resident , does that mean we can't send security patches to
> Linus.
You can send him the patch. It appears you cannot tell him which
vulnerability it fixes.
That is, unless the 'code = speech' people have succeded in setting enough
precedent, in which case even 'code' may become a 'circumvention device'!
I am not a lawyer though, but at this point logic seems so far away that
anything appears possible.
[^] # Re: Alan Cox a dit:
Posté par Nÿco (site web personnel) . Évalué à 1.
> And who will be maintaining the world and us-castrated kernel source?
Im not aware of any probl;ems distributing fixed source
> I can't imagine anything worse for the security of this country than not
> allow computer users access to security issues.
As it stands I cannot legally advise the US security services about Linux
security issues. Normally I'd find this excruciatingly funny but in the
current circumstances its rather less humourous.
Alan
[^] # Re: Alan Cox a dit:
Posté par matiasf . Évalué à 3.
J'espère qu'Alan Cox sera appuié par RedHat. RedHat qui défend le free software :
http://www.redhat.com/about/community/(...)
et héberge :
http://www.centerforthepublicdomain.org/(...)
Il faut que les boîtes européennes, Suse, Mandrake, etc... attaque ce problème.
Les avis négatifs sur le DMCA par des boîtes commercial est important. Car, il faut le reconnaitre, le hacker n'est jamais écouté par les politiques...
[^] # Re: Alan Cox a dit:
Posté par matiasf . Évalué à 1.
RedHat a déjà dénoncé le SSSCA :
http://www.redhat.com/opensourcenow/article2.html(...)
# Proposition à Alan
Posté par aerios . Évalué à -1.
Dedans je lui propose de faire comme on faisait avec XFree86 3.x.x avec l'encryption: il fallait récupérer un fichier et l'enabler explicitement dans le fichier de config pour avoir droit à ces fonctions d'encryption 128bit (si je me souvient bien) sinon on était en 32bit par défault.
Normalement il ne doit pas refuser... a moins d'un ordre qui provienne d'au dessus de redhat (son employeur), auquel cas il va falloir songer a changer de mainteneur... mais honnêtement, cela devrait passer.
[^] # Re: Proposition à Alan
Posté par aerios . Évalué à -1.
"linuxtoday.com/news_story.php3?ltsn=2001-10-22-011-20-NW-LL-0027"
# La véritable explication: le DMCA oblige à taire les failles de sécurité
Posté par Anonyme . Évalué à 6.
http://slashdot.org/yro/01/10/22/172200.shtml(...)
et le résumé de cette news explique presque tout:
as [a hole in] Unix-style permissions could be used as an anti-circumvention device
Traduction: les permissions d'accès à des fichiers unix
sont un moyen d'interdire l'accès à des informations sensibles ou copyrightées.
Publier une faille qui permet de contourner (circumvention) ces protections est interdit par le DMCA.
Bref, la liberté d'expression et le droit à la transparence sont une fois de + bafoués par les lois imposées par les multinationales.
Comme Alan Cox ne veut pas être arrêté lors de son prochain voyage aux US chez son employeur Redhat, il respecte le DMCA. (cf l'affaire Dmitri)
Et très bientôt chez nous en France...
http://lsijolie.net(...)
# NSA Security Enhanced Linux
Posté par Benoît Sibaud (site web personnel) . Évalué à 7.
i.e. le gouvernement américain va-t-il s'autopoursuivre ?
# En fait, ...
Posté par kadreg . Évalué à -5.
# Politisation du developpement de Linux ?
Posté par Franck Yvonnet . Évalué à 2.
[^] # Re: Politisation du developpement de Linux ?
Posté par matiasf . Évalué à 4.
Je ne le trouve pas douteux. Tu le dis :
"toute personne ayant un minimum de connaissances en C peut retrouver le principe de la faille simplement en lisant le patch"
Donc Alan met le doigt où çà fait mal mais sans faire mal ( le patch est là ! ). Enfin si on suit le file de la mailing-list :
http://www.uwsg.indiana.edu/hypermail/linux/kernel/0110.2/1094.html(...)
Alan reproche aux citoyens américains de ne pas s'être rebellés contre le DMCA et les responsabilise en leur fesant subir les conséquences. En effet, il dit que pour la version 2.2.20 final, le commentaire sur la sécurité sera disponible sur les sites non-accessible à des citoyens américain.
Je n'ai pas d'avis tranché sur l'attitude d'Alan. Mais si l'objectif est de dénoncé le DMCA, il y réussi!
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.