Enorme

• [^]Re: Enorme

  Posté par dark_moule () le 13/03/2006 à 16:53. (lien). Évalué à 10.

  si quelqu'un l'a remarqué ;)
  
  c'est vrai que je trouve ça énorme moi aussi. heuresement que quelques personnes passent le système en revue lors de l'install pour y découvrir des failles.
  
  donc un grand merci à cet utilisateur, même si je ne suis pas Ubuntusien.

• [+] [^]Re: Enorme

  Posté par Entaxeime () le 13/03/2006 à 17:01. (lien). Évalué à -6.

  Faudrait demander à Nahuel lui qui vnte sans cesse cette dstribution, comme étant la Windows killer distro

  • [^]Re: Enorme

    Posté par Nicolas Dumoulin (Jabber id, page perso, ) le 13/03/2006 à 17:11. (lien). Évalué à 10.

    Ce genre de faille n'est pas trop préoccupante pour Mme Michu, puisqu'il est nécessaire d'avoir un accès à la machine pour pouvoir l'exploiter.
    À moins que Mme Michu installe un serveur telnet pour son petit fils ...

    • [^]Re: Enorme

      Posté par Erwann Robin (page perso, ) le 13/03/2006 à 17:28. (lien). Évalué à 10.

      /me aimerait bien connaitre cette fameuse Mme Michu, cette utilisatrice novice mais éclairée, élue par le commun des mortels pour parler en leur nom ! Quelle gloire ! quel honneur !
      Ses conseils sont censés propulser au sommet n'importe quel éditeur de logiciel !
      
      tiens, on me souffle dans l'oreillette que c'est ma mère !?

    • [^]Re: Enorme

      Posté par Matthieu Moy (page perso, ) le 14/03/2006 à 07:33. (lien). Évalué à 6.

      Oui, enfin, un linux ou tu peux passer root sans peine, c'est pas tellement mieux sécurisé qu'un windows 95. Et Mme Michu, elle a eu pleins de virus sous Windows 95, mais elle sait qu'il n'y a pas de virus sous Linux, c'est son fils qui lui a dit.

      • [^]Re: Enorme

        Posté par Gniarf () le 14/03/2006 à 09:31. (lien). Évalué à 3.

        le petit Jean-Kevin ?

        --
        "Je n'aime pas votre regard, baissez les yeux!" - Patrick Devedjian, 2008

      • [^]Re: Enorme

        Posté par Raphaël SurcouF (Jabber id, page perso, ) le 14/03/2006 à 15:48. (lien). Évalué à 4.

        Oui, mais Mme Michu avait fait ses mises à jour de sécurité comme le petit icône en haut à gauche le lui annonçait. Du coup, tout va bien.

Je n'ai jamais compris pourquoi...

• [^]Re: Je n'ai jamais compris pourquoi...

  Posté par Arnaud (page perso, ) le 13/03/2006 à 18:33. (lien). Évalué à 6.

  Et dans d'autres distribs, genre Mandriva en mode paranoîaque, le root (/) n'est même pas accessible :D
  
  Question de politique.
  
  Ce qui m'étonne plus, c'est pourquoi un audit ne commence pas par "grep -ir <mot de passe root> /", ou qq chose comme ça!

  • [^]Re: Je n'ai jamais compris pourquoi...

    Posté par Nap () le 13/03/2006 à 18:53. (lien). Évalué à 9.

    oui, quand je pense que j'ai vu des gens faire crasher un processus pour dumper la mémoire et regarder si le mot de passe n'est pas en clair dedans, il y a encore du chemin à faire pour Ubuntu :)

  • [^]Re: Je n'ai jamais compris pourquoi...

    Posté par leif_thande () le 13/03/2006 à 18:59. (lien). Évalué à 4.

    En fait, le mot de passe root ne devrait se retrouver en clair nulle part, même pas dans un fichier accessible seulement en root. C'est là ma principale critique face à l'installeur d'ubuntu. Et parions qu'avec l'explosion du nombre de distributions, ce genre de gaffes sera de plus en plus fréquente.

    • [^]Re: Je n'ai jamais compris pourquoi...

      Posté par dark_moule () le 13/03/2006 à 19:31. (lien). Évalué à 5.

      je ne pense pas qu'un grand nombre de distrib soit viable. et a quoi cela sert-il de réinventer la roue ?
      
      c'est très bien qu'il existe des distributions spécialisés dans certains domaines mais je pense qu'il est préférable qu'elles aient une base commune pour justement unifier les efforts dans un même sens.

    • [^]Re: Je n'ai jamais compris pourquoi...

      Posté par py_13 () le 15/03/2006 à 23:57. (lien). Évalué à 1.

      Le seul probleme, c'est qu'il sera presque a coup sur dans /proc/kcore (deja experimente), a moins que tu ne te loggues jamais en root apres que la machine ait boote...
      Bon apres c'est quand meme pas evident a retrouver parmi un dump memoire, surtout si on utilise des caracteres speciaux.

  • [^]Re: Je n'ai jamais compris pourquoi...

    Posté par bugbuilder () le 14/03/2006 à 19:04. (lien). Évalué à 5.

    Et un petit nettoyage de .bash_history après le grep pour ne pas laisser traîner le mot de passe dans un endroit de plus ;)

    • [^]Re: Je n'ai jamais compris pourquoi...

      Posté par Raphaël SurcouF (Jabber id, page perso, ) le 15/03/2006 à 08:38. (lien). Évalué à 2.

      Pas besoin: le brave pirate se chargera de le rediriger vers /dev/null !
      Qu'ils sont bien urbains, ces gens-là ;-)

    • [^]Re: Je n'ai jamais compris pourquoi...

      Posté par ArBaDaCarBa () le 16/03/2006 à 09:06. (lien). Évalué à 1.

      Dans ce cas, ne pas effacer ls .bash_history, ça ne sert à rien, il est écrit en quittant la session ;)
      Par contre, "history -c", ça marche !

• [^]Re: Je n'ai jamais compris pourquoi...

  Posté par JoeBar () le 14/03/2006 à 09:36. (lien). Évalué à 1.

  > Je n'ai jamais compris pourquoi sur la quasi totalité des distributions, les fichiers /var/log sont accessible à n'importe qui.
  
  Pas dans gentoo toujours...

• [^]Re: Je n'ai jamais compris pourquoi...

  Posté par b (page perso, ) le 14/03/2006 à 14:28. (lien). Évalué à 4.

  Ben pourquoi pas ?
  En general, y a pas que des choses secretes dans /var/log ...

  • [^]Re: Je n'ai jamais compris pourquoi...

    Posté par agmk () le 15/03/2006 à 12:43. (lien). Évalué à 3.

    Parce qu'un jour, tu vas te tromper et taper ton mdp root ou autre comme login (ça m'est déjà arrivé). Et dans /var/log/messages tu trouveras (tes blessures et tes faiblesses) :
    Mar 15 13:39:58 machine su[10703]: FAILED su for MDPROOT by USERDISTRAIT
    Facheux, non ?

    --
    Wr ar fbhunvgr cnf ha qrfgva sharfgr à yn cncnhgé. Nzra.

    • [^]Re: Je n'ai jamais compris pourquoi...

      Posté par fry () le 15/03/2006 à 18:02. (lien). Évalué à 1.

      Perso ça m'est arrivé plusieurs fois ...
      En même temps, ça m'oblige à changer le mot de passe et indirectement ça fait travailler ma mémoire car les mdp comme ça : %2fh;T/1hQbs c'est pas facile à retenir ;)

  • [^]Re: Je n'ai jamais compris pourquoi...

    Posté par Khanh-Dang (page perso, ) le 15/03/2006 à 15:39. (lien). Évalué à 2.

    Eh bien, je pense moi qu'il n'y a plutôt que des choses secrètes qui ne devraient pas être visibles par un utilisateur normal.
    
    Pourquoi aurais-je envie, en tant qu'utilisateur, de savoir à quelle heure a été démarré ou stoppé tel service, etc ? L'utilisateur qui va fouiner dans /var/log a un comportement suspect. On ne se rend pas compte la quantité d'informations intéressantes disponibles dans /var/log. Pareil pour les fichiers de configurations des services qui ne devraient pas être accessibles aux utilisateurs normaux.

    • [^]Re: Je n'ai jamais compris pourquoi...

      Posté par fmaz fmaz () le 15/03/2006 à 17:42. (lien). Évalué à 1.

      Je suis d'accord mais parfois, c'est plutôt cool de pouvoir regarder dans les
      fichiers de config.
      
      Genre, quand on doit faire un TP de oueb+PHP et que, le jour du TP, on
      réalise qu'on ne sait pas où les étudiants doivent mettre leurs fichiers
      parce que l'admi a eu la double bonne idée de changer le répertoire
      usuel (public_html) et de rentrer chez lui à 14h.
      
      Comment ça, c'est du vécu?

      • [^]Re: Je n'ai jamais compris pourquoi...

        Posté par Sylvain Sauvage () le 15/03/2006 à 22:02. (lien). Évalué à 2.

        Mauvais admin, changer d'admin.
        Ou :
        Mauvais méthode, changer de méthode. P.ex. en testant son TP avant (pas toujours évident, remarque).

    • [+] [^]Re: Je n'ai jamais compris pourquoi...

      Posté par EchoPapaMike () le 17/03/2006 à 08:33. (lien). Évalué à -1.

      La curiosite est un comportement normal, la considerer
      comme un comportement suspect .
      
      Sans le repertoire /var/log accessible et le
      repertoire /etc accessible , je pense que je n'aurais pas
      ameliore mes competences unix .

• [^]Re: Je n'ai jamais compris pourquoi...

  Posté par berti () le 17/03/2006 à 09:03. (lien). Évalué à 1.

  sous ma bonne vieille sarge, moi j'ai
  
  -rw-r----- 1 root adm 26231 2006-03-17 10:00 auth.log
  -rw-r----- 1 root adm 277948 2006-03-12 06:47 auth.log.0
  
  C'est pas mal comme principe je trouve.

Obligatoire...

• [^]Re: Obligatoire...

  Posté par yoho (page perso, ) le 13/03/2006 à 20:21. (lien). Évalué à 10.

  Parceque sinon, d'autres personnes auraient critiquées le fait que cette nouvelle soit en première page.

  • [^]Re: Obligatoire...

    Posté par EdB (page perso, ) le 13/03/2006 à 20:36. (lien). Évalué à 4.

    de plus, si on suit le lien qui report le bug, dans le dernier message, a l'heure actuel, il est ecrit :
    - shadow (1:4.0.3-37ubuntu8) breezy-security; urgency=low
    - base-config (2.67ubuntu20) breezy-security; urgency=low
    - shadow (1:4.0.13-7ubuntu2) dapper; urgency=low
    - cdebconf (0.97ubuntu3) dapper; urgency=low
    
    donc si ubuntu le considère en basse priorité ...

    • [^]Re: Obligatoire...

      Posté par olosta () le 13/03/2006 à 23:37. (lien). Évalué à 2.

      C'est expliqué dans le bug report : en gros le mec qui a fait le correctif était tellement pressé qu'il a pas fait gaffe a ce détail. En pratique ça ne change pas grand chose.

      • [^]Re: Obligatoire...

        Posté par Misc (page perso, ) le 15/03/2006 à 07:09. (lien). Évalué à 2.

        Ouais, c'est à ça que ça sert d'avoir une procédure de QA avant d'uploader les paquets un dimanche, pour faire des tests, etc. C'est le genre de procédure qualité qu'on trouve ailleurs, quoi qu'on en dise. Enfin, ç'est rien de grave, ça aurais pu être un truc non mineur qui aurait été oublié.
        
        Mais c'est vrai que le bug ayant été rendu publique ( riche idée ), et dans la mesure ou launchpad ne supporte pas de masquer un bug ( au contraire de bugzilla qui a un systéme d'acl un peu plus fin ), il fallait faire vite, ça fait que 5 mois que c'est comme ça, faut surtout pas que ça attende 1 ou 2 jours de plus.
        
        Si quelqu'un peut envoyer un patch pour ajouter la feature à launchpad, ça bénéficiras à tous.
        
        En plus, les utilisateurs ayant tendance à garder les mêmes mots de passes, une réaction rapide s'imposait, et finalement base-config est pas si important.
        Un chmod mal placé aurait rien eu de particulier comme conséquence.
        
        Bon, bien sur, maintenant, on peut douté des audits (http://0pointer.de/blog/projects/avahi-0.6.3.html ) de sécurité d'ubuntu, sauf à considérer qu'ils en font pas pour leur propre soft. Aprés tout, on peut pas se concentrer sur la sécurité et sur la convivialité, on voit ce que ça donne sur openbsd.
        
        Et je ne doute pas que tout sera vite oublié dans 6 mois, vu la mémoire selective des linuxiens ( et des ubuntistes en particulier ), suffit de voir le nombre qui pense que canonical à inventé l'idée d'utiliser sudo, alors que ça vient de macosX, etc.

        • [^]Re: Obligatoire...

          Posté par zero heure (Jabber id, page perso, ) le 15/03/2006 à 17:10. (lien). Évalué à 2.

          vu la mémoire selective des linuxiens ( et des ubuntistes en particulier ), suffit de voir le nombre qui pense que canonical à inventé l'idée d'utiliser sudo, alors que ça vient de macosX

          
          
          Mais oui, bien sûr...
          
          Sudo was first conceived and implemented by Bob Coggeshall and Cliff Spencer around 1980 ...
          An updated version, ..., was posted to the net.sources newsgroup
          in December of 1985.
          In the Summer of 1986, Garth Snyder released and enhanced version of sudo.
          ...
          In 1991, Dave Hieb and Jeff Nieusma wrote a new version of sudo
          ...
          This version was later released under the GNU public license.
          In 1994, ..., Todd Miller made a public release of "CU sudo" (version 1.3)
          ...
          
          
          etc. etc.

          --
          J'ai vu bien des choses dans ma petite vie, et je mesure amèrement l'impuissance à les dire. (JP Rosnay, Le 13ème apôtre) http://www.poesie.net/apotre2.htm

          • [^]Re: Obligatoire...

            Posté par yoho (page perso, ) le 16/03/2006 à 02:33. (lien). Évalué à 3.

            "utiliser" <> "inventer".
            
            Si tu es ubuntiste, tu devrais savoir que sudo est utilisé énormément dans cette distro (la seule à l'avoir configuré de la sorte). Si tu l'es pas, renseigne-toi.

            • [^]Re: Obligatoire...

              Posté par ptitlouis () le 16/03/2006 à 10:18. (lien). Évalué à 1.

              Non, Apple le fait depuis des années sur OS X.
              Ubuntu n'est pas la seule a l'avoir configuré de la sorte.

            • [^]Re: Obligatoire...

              Posté par zero heure (Jabber id, page perso, ) le 16/03/2006 à 11:03. (lien). Évalué à 3.

              Eh ?
              Mon message répondait à l'idée fausse que Sudo viendrait de MacOSX.
              D'autre part Ubuntu n'est pas la seule distribution à l'utiliser (mais de façon aussi complète, je crois que oui).

              --
              J'ai vu bien des choses dans ma petite vie, et je mesure amèrement l'impuissance à les dire. (JP Rosnay, Le 13ème apôtre) http://www.poesie.net/apotre2.htm

              • [^]Re: Obligatoire...

                Posté par yoho (page perso, ) le 17/03/2006 à 13:48. (lien). Évalué à 2.

                Au temps pour moi. Ton message (avec les dates en gras et ne parlant pas trop de MacOsX) n'est pas très explicite.

    • [^]Re: Obligatoire...

      Posté par imalip (page perso, ) le 14/03/2006 à 11:08. (lien). Évalué à 7.

      Le champ "urgency" pour les paquets Debian permet de definir au bout de combien de jours ils doivent etre propagés de unstable vers testing (low=10, medium=5, high=2). Vu que le mécanisme de propagation n'existe pas chez Ubuntu, cette valeur n'a a l'arrivée aucun effet, comme dit juste au dessus.

      --
      "While a monkey can be a manager, it takes a human to be an engineer" Erik Zapletal

• [^]Re: Obligatoire...

  Posté par Mathieu Pillard (page perso, ) le 13/03/2006 à 20:35. (lien). Évalué à 10.

  La faille est déjà corrigée, tout ce qu'il ya à faire, c'est mettre à jour sa distribution. Donc bof. Le truc interessant mais que pas grand monde n'a relevé apparamment, c'est l'explication coté développeur de l'histoire: http://www.ubuntuforums.org/showpost.php?p=818037&postco(...)

• [^]Re: Obligatoire...

  Posté par Raphaël SurcouF (Jabber id, page perso, ) le 14/03/2006 à 15:49. (lien). Évalué à 1.

  Parce que sinon, ça aurait un gros troll pour trois fois rien.

  • [^]Re: Obligatoire...

    Posté par _flo_ () le 14/03/2006 à 23:28. (lien). Évalué à 6.

    3 fois rien... hem. euhh... comment dire?
    
    Résumons : tous les gens qui ont une ubuntu 5.10 non mise à jour ont leur mot de passe utilisateur avec accès sudo qui se balade à poil sur le disque, dans un fichier, comme ca.
    
    Ajoutons à ça le fait que beaucoup de personnes ont une ubuntu car elle est facile à utiliser et a été installée par leur pote geek ce qui veut dire qu'un grand nombre d'ubuntu ne vont pas être mises à jour avant un certain temps (car utilisées par des gens normaux).
    
    Je sais pas pourquoi mais quelque chose me dit que tu n'aurais pas considéré ca comme "trois fois rien" si une faille du meme type avait été découverte sous Windows. Et que ca aurait meme fait une nouvelle génération de blagues sur win pendant les 5 prochaines années (oui parce que celles avec les écrans bleus, elles commencent à être un peu périmées...).
    
    Alors je sais bien que ubuntu c'est une excellente dstribution et tout tout, je suis le premier à le dire, mais quand une GROSSE erreur est commise il faut savoir le reconnaître, d'ailleurs le titre de la news le dit bien : "faille de sécurité majeure". Je ne comprends pas pourquoi cette information est considérée comme secondaire, surtout vu le nombre d'ubuntistes qui trainent par ici...
    
    M'enfin bon...

    • [+] [^]Re: Obligatoire...

      Posté par Guillaume D. () le 15/03/2006 à 05:35. (lien). Évalué à -1.

      non, les ecrans bleu il y en a encore,
      J'ai un windows 2003 serveur SP1 et a jour qui c'est lamentablement vautré hier apres midi plantant 40 personnes pendant 1 heure....
      Heureusement les services tournant sous notre linux a tous, affiche toujours un uptime de plus de 6 mois (suite a un rempalcment de tableau electrique d'ailleur ...)
      
      a+

    • [^]Re: Obligatoire...

      Posté par Raphaël SurcouF (Jabber id, page perso, ) le 15/03/2006 à 08:43. (lien). Évalué à 0.

      Résumons : tous les gens qui ont une ubuntu 5.10 non mise à jour ont leur mot de passe utilisateur avec accès sudo qui se balade à poil sur le disque, dans un fichier, comme ca.
      
      "qui ont installé une Ubuntu Breezy" (parce que venant d'une Hoary, aucun problème) et qui ne font pas régulièrement leurs mises à jour de sécurité. Le problème a été corrigé dans les 24h suivant sa découverte, pas de quoi fouetter un chat.
      
      Résumons : tous les gens qui ont une ubuntu 5.10 non mise à jour ont leur mot de passe utilisateur avec accès sudo qui se balade à poil sur le disque, dans un fichier, comme ca.
      
      Dans ce cas, ils n'ont qu'à s'en retourner à leur mauvais ami geek qui leur a mis dans les mains un outil sans leur donner le mode d'emploi de base. Et ne me dit pas que Windows, c'est plus simple: il faut quand même faire régulièrement des mises à jour.
      Le principe est exactement le même sous Ubuntu, aucun système n'y échappe: L'update-manager se charge même, depuis Breezy, de t'afficher une bulle d'information quand des mises à jour sont disponibles, à la "Windows Update" (tu sais, le truc que les leet ont tellement décrié)

      • [^]Re: Obligatoire...

        Posté par _flo_ () le 16/03/2006 à 22:44. (lien). Évalué à 2.

        "qui ont installé une Ubuntu Breezy" (parce que venant d'une Hoary, aucun problème)

        
        
        j'ai dit 5.10, il me semble que c'est breezy, mais je peux me tromper...
        
        

        Dans ce cas, ils n'ont qu'à s'en retourner à leur mauvais ami geek qui leur a mis dans les mains un outil sans leur donner le mode d'emploi de base. Et ne me dit pas que Windows, c'est plus simple: il faut quand même faire régulièrement des mises à jour.

        
        
        Pourquoi ils le feraient s'ils ne sont pas au courant qu'il y a une faille? à cause de la bulle d'info? Si tu savais le nombre de postes windows que j'ai vu avec l'annonce windows update qui disait "des mises à jour sont disponibles" et que j'ai du expliquer qu'il fallait cliquer dessus et pas juste en avoir rien à battre. J'ai jamais dit que sous windows c'etait plus simple, et j'ai pas l'intention de le dire. Quoiqu'il me semble que maintenant les update sont automatiques par defaut ce qui est pas plus mal dans une optique "debutant". Ou mieux un comportement hybride, màj auto pour les updates de secu et juste une bulle d'info pour les autres.
        
        Enfin tout ca sans compter que c'est pas "juste" obtenir un shell root par un buffer overflow ou autre, mais qu'on a accès au mdp en clair! Et chez beaucoup de gens (les non-geek, voire les geek pas paranos) la compromission d'un tel mot de passe ouvre les portes à beaucoup plus que le simple accès de la machine mais également à tous les comptes mail, et autres sites à login/mdp, voire achat en ligne en 1-click sur amazon et autres... Donc meme apres la mise a jour de secu, il est prudent de changer les mdp d'acces a tout ca, et ca ta mise a jour elle le fait pas.
        
        Bref c'est pas de la gnognotte, et c'est tout ce que je voulais dire, à la base.

Génial !!

• [^]Re: Génial !!

  Posté par Fabrice Dagorn (page perso, ) le 14/03/2006 à 07:28. (lien). Évalué à 0.

  lol
  Il y a quand même mieux comme technique pour récupérer l'accès à un compte!
  (linux en mode single et changement de mot de passe par exemple!)

• [^]Re: Génial !!

  Posté par dco () le 14/03/2006 à 07:33. (lien). Évalué à 4.

  yep... ça c'est du killing feature...

En même temps...

• [^]Re: En même temps...

  Posté par Erwann Robin (page perso, ) le 14/03/2006 à 10:37. (lien). Évalué à 3.

  j'ai du relire plusiuers fois avant de comprendre ...
  s/je me demande comment déjà censés /je me demande comment des gens censés/ ?

  • [^]pas mieux

    Posté par Erwann Robin (page perso, ) le 14/03/2006 à 10:38. (lien). Évalué à 0.

    s/plusiuers/plusieurs/

    • [^]Re: pas mieux

      Posté par foch () le 14/03/2006 à 16:34. (lien). Évalué à 1.

      OK pour la coquille, mais cette fois-ci on avait compris sans probleme !

      --
      Whale oil beef hooked

  • [^]Re: En même temps...

    Posté par ptitlouis () le 14/03/2006 à 11:39. (lien). Évalué à 2.

    ouep des gens :)

• [^]Re: En même temps...

  Posté par morfal () le 15/03/2006 à 08:34. (lien). Évalué à 1.

  les machines déjà installées pouvaient être sécurisées en faisant un rm /var/log/installer/cdebconf/questions.dat

  
  Exact. Je ne vois pas trop ce qu'un utilisateur doit patcher. Il suffit d'effacer le fichier de log ou de changer le mot de passe utilisateur...
  
  M

  • [^]Re: En même temps...

    Posté par Raphaël SurcouF (Jabber id, page perso, ) le 15/03/2006 à 08:45. (lien). Évalué à 0.

    Et Mme Michou alors ?

    • [^]Re: En même temps...

      Posté par ptitlouis () le 15/03/2006 à 10:02. (lien). Évalué à 2.

      Il suffisait aussi a ubuntu de mettre des permssions sur ces fichiers beaucoup plus strictes, ce qui aurait permit d'éviter cette faille aussi.
      
      Bref, on voit clairement que la priorité d'Ubuntu n'est pas la sécurité. On supprime des features parfois utiles mais on ne s'occupe pas de savoir si c'est sécurisé.