Faille de sécurité dans webmin

Posté par . Modéré par oliv.
Tags :
0
22
oct.
2001
Sécurité
Cette faille a été découverte par Christophe Casalegno et Aurélien Cabezon.
Webmin souffre d'un problème de sécurité concernant la création temporaire de fichier qui peut être utilisée pour compromettre le compte root.

En effet, Webmin crée des fichier temporaires dans /tmp qui ont les permissions : -rwxrwxrwx (777) et qui appartiennent à l'utilisateur root (ex : commandes personnalisées). N'importe qui peut modifier le fichier créé pendant l'exécution de la commande par le système. Il suffit donc pour l'attaquant de rajouter une commande dans le fichier, qui sera exécutée par le root. L'attaquant pourra donc à loisir, lancer des commandes, créer/effacer/modifier des fichiers/répertoires, etc...
Exemple:
Il suffit de rajouter la commande suivante à la fin du fichier temporaire crée par webmin pendant son exécution pour gagner les privilèges de root:
cp /bin/sh /tmp/.backdoor vous donnera un shell root dans /tmp
Le problème est situé dans le script run.cgi qui crée le fichier temporaire en lui donnant de mauvaises permissions.
$temp = &tempname();
open(TEMP,">$temp");
...blablabla...
chmod(0777, $temp);
Pour fixer le problème il suffit de hanger la ligne chmod(0777, $temp); par chmod(0700, $temp);

Note du modérateur : Il ne semble pas y avoir de confirmation sur le site de Webmin. En outre, webmin 0.89 devrait sortir sous peu.

Une distrib Mandrake orientée jeux?

Posté par (page perso) . Modéré par Fabien Penso.
Tags :
0
22
oct.
2001
Jeu
Vu sur Linuxgames.com.


D'après cet article sur Bluesnews, MandrakeSoft, l'éditeur français de la distribution du même nom, et Transgaming, une boîte de développement visant à améliorer la compatibilité de Wine afin de faire tourner le plus de jeux Windows possible sous Linux, ont annoncé ensemble la disponibilité prochaine de la "Mandrake Linux Gamer Edition" pour le 9 novembre 2001. Elle comprendrait la Mandrake 8.1, The Sims (on ne sait pas s'il s'agit d'un portage sous Linux ou de la version Windows qui fonctionnerait sous Wine) et de la "technologie Wine de Transgaming qui permet à beaucoup d'autres jeux Windows de fonctionner sous Linux". D'après eux, cette distribution "marquera le début d'une nouvelle ère pour les joueurs et les utilisateurs de Linux, car le dual boot ne sera plus nécessaire pour jouer".


Prix annoncé de la chose: 69,99$, et tout reste encore à prouver, mais MandrakeSoft et Transgaming semblent bien sûrs d'eux. Si les progrès de Wine et de Transgaming permettent la fin du dual boot, c'est bien, mais des jeux natifs ça ne serait pas mieux?

Lettre ouverte à Bill

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
22
oct.
2001
Justice
D'après la directive européenne 91/250/CEE du Conseil datée du 14 mai 1991, il est autorisé d'effectuer un "reverse engeenering" de composants logiciels :

« Les opérations de chargement et de déroulement nécessaires à l'utilisation d'une copie d'un programme légalement acquis, ainsi que la correction de ses erreurs, ne peuvent pas être interdites par contrat; que, en l'absence de clauses contractuelles spécifiques, notamment en cas de vente d'une copie du programme, toute autre opération nécessaire à l'utilisation de la copie d'un programme peut être effectuée, en conformité avec son but prévu, par un acquéreur légal de cette copie »

j'en passe et des meilleures :) Enfin, lisez quand meme le texte de loi avant de faire n'importe quoi, merci ...

Note du modérateur: il s'agit d'une lettre ouverte sur le site Advogato d'un développeur qui demande à Bill de lui laisser accéder aux spécifications de certains standarts fermés de Windows pour les rendre intéropérables avec d'autres systèmes.

conférence

Posté par . Modéré par Fabien Penso.
Tags :
0
22
oct.
2001
Internet
Les conférences Parinux reprennent !

Parinux organise en collaboration avec Placenet une conférence sur les feuilles de styles. Elle aura lieu ce jeudi 25 octobre à 20heures :

21 rue Voltaire
Paris 11ème
Métro Boulets de Montreuil

N'hésitez pas à consulter le site (d'autres confs sont prévues !)

Genie.fr ferme ses portes...

Posté par . Modéré par Fabien Penso.
Tags :
0
22
oct.
2001
Internet
A partir du 1° octobre, le site http://www.genie.fr sera définitivement fermé. Rappellons au passage que Genie permettait de disposer d'une adresse e-mail en "@genie.fr", et proposait des services tels que des informations, des rubriques pratiques (météo, plans, programmes TV... etc...).
Si vous utilisez une adresse e-mail en "@genie.fr", pensez à prendre vos dispositions.

La stratégie de Microsoft pour la domination

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
22
oct.
2001
Microsoft
CNET propose un ensemble d'articles pour expliquer comment Microsoft s'oriente et comment Windows XP est une arme pour s'imposer massivement dans les domaines de l'Instant Messaging, de l'authentification centralisée, etc.

Bref, une série d'articles intéressants (pour l'instant, seuls 2 sont disponibles sur 7) pour prendre conscience de la menace qui pèse sur nous.

Autant dire qu'avec toute cette panoplie, le temps que le procès anti-trust soit terminé, la domination sera effective...

Un exemple frappant de forcing : "Entre la 2e et la 6e tentative de connection au Net, Windows XP implore l'utilisateur de signer pour quelque-chose qui se nomme Passport(...)"

GNU/Emacs 21 :-)

Posté par . Modéré par Fabien Penso.
Tags :
0
22
oct.
2001
GNU
Ca y est, il est là ! Plus besoin d'utiliser XEmacs pour avoir la couleur en mode texte ! Pour ceux qui ne connaitraient pas Emacs (il y en a ?), c'est un éditeur couteau suisse, et même un mini OS à lui tout seul, une sorte de légende créée en 1985 par une autre légende, Richard Stallman, le responsable de la Free Software Foundation à l'origine de la licence GNU GPL.

Note du modérateur: il n'existait pas d'accès anonyme aux sources de Emacs21, c'est enfin le cas. Depuis le temps que beaucoup le demandaient... Notez qu'il est disponible en package debian sur debian.linuxfr.org pour potato.

Update: le package Debian de la release officielle est maintenant en ligne sur debian.linuxfr.org, les sources apt ont elles aussi été mises à jour...

Résumé Gnome du 06-10 au 19-10-2001

Posté par (page perso) . Modéré par Fabien Penso.
Tags : aucun
0
22
oct.
2001
Gnome
Nouveau résumé Gnome cette semaine (en fait, deux ;-)

Au menu (entre autre) :

1. Préversion de cette traduction
2. Aaron (de Ximian) synthétise la liste des fonctionnalités les plus demandées pour GNOME 2.0
3. Gnomehide est maintenant disponible
4. Efforts pour porter GNOME Core et GNOME utils sous GNOME 2
5. Le nouveau site GNOME est sur les rails
6. Coup d'oeil au sein des politiques de motivation de Ximian
7. Examen de GNOME et du XML
8. L'accueil de nouveau membre a la fondation GNOME, ainsi que de nouvelles élections sont pour bientôt.
9. Bulletin Hebdomadaire d'Abiword n°55
10. Un paon se dévoile
11. Traduction des Résumés GNOME
12. Développement
13. Logiciels, nouveautés et mises à jour

Voila.

Un client KaZaA sous GNU/linux

Posté par . Modéré par Fabien Penso.
Tags :
0
22
oct.
2001
MP3
KaZaA, un programme de peer2peer permettant d'échanger tous types de fichiers, vient d'être porté sous GNU/Linux. Ses avantages sur Gnutella : plus d'utilisateurs, moins de trafic et plus grande rapidité grâce à son système de "supernodes" (voir le lien).

Cette annonce intervient peu de temps après le changement de protocole visant à empêcher le développement d'un client FasTrack libre (giFT)...

Il s'agit pour le moment d'un client fonctionnant en console, avec une interface sommaire, et auquel manquent beaucoup de fonctionnalités de la version windows, mais les auteurs promettent dans le readme des améliorations rapides, ainsi que des ports vers *BSD, Mac OS X, BeOS et Solaris.
Les premiers tests que j'ai effectués n'ont posés aucun problème, et tout serait donc parfait si...

Vous vous en doutiez sûrement, ce client n'est pas open source, et encore moins libre. Mais surtout, la licence sent très très mauvais (mais il vous faudra télécharger le client pour la lire, ce n'est pas la même que celles du site. On peut y lire notamment -sur le site aussi, pour ça- que la licence peut changer à tout moment, sans prévenir les utilisateurs, et que le simple fait de continuer à utiliser le client vaut acceptation).

Films S.F et réalités lointaines

Posté par (page perso) . Modéré par Fabien Penso.
Tags : aucun
0
22
oct.
2001
Technologie
2 scientifiques visionnaires sont interrogés sur les possibilités techniques évoqués dans de grands classiques de science-fiction (Blade runner, 2001, Johnny Mnemonic, Star trek et... independance day (sic!)). Plus anecdotique que réellement intéressant, c'est surtout l'occasion de lire quelques réflexions de Ray Kurzweil (l'auteur de "the age of spiritual machines": indispensable) et de Peter Cochrane (une ponte de BT labs).

Hors-sujet: en visitant l'article, j'ai découvert une nouvelle forme de publicité intempestive. Au bout de quelques minutes, la page consultée laisse place à la celle d'entrée de silicon.com. Horripilant !

P.S: merci slashdot

GnuPG s'étend

Posté par . Modéré par Fabien Penso.
Tags :
0
22
oct.
2001
Sécurité
Suite à une annonce sur Yahoo (ZDNet en fait) où il est annoncé la mort de PGP (ce n'est pas nouveau), j'ai pu lire "vive WinPT". En creusant un peu plus, il s'avère qu'il s'agit d'un "portage" basé sur GnuPG pour Windows. (Je sais que ...) Mais bon, voilà qui élargit un peu le domaine d'action de GnuPG et des utilisateurs qui l'utilisent, (c'est le but de l'article).

Frenchelon dans le texte

Posté par . Modéré par dumonteil jerome.
Tags :
3
21
oct.
2001
Humour
From: fsb@fsb.ru
To: anne.rollins@af.pentagon.mil
Subj: TEPER SEKRET (TOP SECRET - Albania)

L'honorable Claude Bisson, O.C., commissaire du Centre de la sécurité des télécommunications (CST) canadien, told Pakistan's Directorate of Inter-Services Intelligence (ISI) about Saint-Barthélemy (in the West-Indies) frenchelon station : a biological weapon scientist sent BRGE (french Brigade de Renseignement et de Guerre Electronique)`s cypherpunk & mixmaster remailers logs to Hizballah (Party of God) !

L'e-mail pré-cité est bien évidemment un faux, ou "hoax", mais tous les "mots-clefs" dont il est composé se basent sur des réalités tangibles, et vérifiables.

Cet e-mail émane d'un "générateur de textes 'subversifs'" mis en place à l'occasion de la 'Journée de brouillage d'Echelon' à jauger à l'aune des mesures que les parlementaires veulent voter ces temps-ci en matière de cybersurveillance, d'atteintes aux droits de l'homme et à la vie privée.

De l'informatique sur France-Culture

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
20
oct.
2001
Audiovisuel
France Culture reprend cette semaine ses diffusions de l'Université de Tous les Savoirs avec plusieurs sujets sur l'informatique.
- Lundi 22 : L'informatique de demain, par Francois Anceau
- Mardi 23 : Le stockage des données, par Jacques Peping
- Vendredi 26 : Cryptologie et sécurité informatique, par Jacques Stern

L'émission est diffusé entre 6h00 et 7h20.

Rappelons que l'UTLS est une série de conférence sur des sujets très variés et s'addressant à un large public.

Forum PHP en novembre

Posté par (page perso) . Modéré par Fabien Penso.
Tags :
0
20
oct.
2001
PHP
Un forum se tiendra les 27 & 28 novembre prochains à La Défense, au Pôle Léonard de Vinci.

Devraient notamment y être présents Rasmus Lesdorf (créateur de PHP) et Zeev SURASKI (développeur de PHP 3 & 4 et co-fondateur de Zend).

Le forum a pour but de présenter et populariser PHP, d'en expliquer les bases, les buts et l'utilité.

Reste que ce forum est plus adressé aux grands comptes, aux consultants, aux décideurs pressés et aux spécialistes en aérodynamique en tous genres qu'à la masse des développeurs, qui sont pourtant ceux qui oeuvrent vraiment pour l'avancement de PHP. Du coup, il vous en coûtera pas moins de 7820 francs (9352 francs TTC) si vous désirez assister aux deux jours de conférences. La conférence d'ouverture (le 26) sera par contre gratuite et ouverte.

Pour ceux qui veulent en savoir plus, le communiqué de presse complet (écrit par et pour des décideurs pressés, apparemment) se trouve sur PHP Index.

A noter que contrairement à ce qui est annoncé au tout début du communiqué de presse, ce n'est pas le "1er événement français exclusivement dédié à PHP", puisqu'un salon du PHP (public, pas cher, ouvert à tout le monde, mais pas très intéressant non plus) avait eu lieu au premier trimestre 2001.

Toujours en parlant des annonces en rappport avec le PHP, la prochaine version de PHP sera labellisée PHP 4.1.0 et non PHP 4.0.7, et devrait inclure le support de l'Unicode, selon la dernière PHP Weekly Chronicle.

Retranscription du chat avec le PDG de MandrakeSoft

Posté par (page perso) . Modéré par orebokech.
Tags :
0
20
oct.
2001
Mandriva
Comme annoncé précédemment, le Journal du Net a organisé mercredi un chat avec Jacques le Marois, PDG de MandrakeSoft.

44 des 201 questions posées ont été conservées dans la retranscription. On peut regretter que beaucoup de réponses soient très courtes, voire lapidaires.

On notera quand même que Jacques Le Marois est très optimiste sur l'avenir de Linux, puisqu'à la question "pour l'instant 95% des pc sont équipés de windows, dans ces prochaines années quel pourcentage du marché pensez-vous acquérir ?", il n'hésite pas à répondre "Linux 99 %, et Linux Mandrake entre 20 et 30 %".