Journal CPU Ex0213 Disséquons une URL, première partie

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
8
5
oct.
2023

Dans cette release de CPU, dans la série Webmasters : Une formule magique, des protocoles partout, un argument d'autorité et une plongée profonde dans une arborescence.
Ceci est la suite de notre release Ex0203 Aux origines du web. Cette émission sera en deux parties.

Écoute à la demande, podcast, textes intégraux, documents et commentaires : https://cpu.pm/0213

Chapitres :

Journal des vulns des vulns des vulns! libc, curl, tout ça!!

Posté par  . Licence CC By‑SA.
38
4
oct.
2023

Bon, bin bimbamboum après exim, voilà que la libc est dangereuse!!

https://www.qualys.com/2023/10/03/cve-2023-4911/looney-tunables-local-privilege-escalation-glibc-ld-so.txt

Vous avez pas le temps de lire c'est trop long: en résumé, s'il y a un binaire SUID (bon, pas n'importe lequel non plus) sur votre distribution, un attaquant ayant un shell sur votre machine peut passer root! BIM! So much for the security.

Comment savoir si je suis impacté? C'est turbo-easy:

$ env -i "GLIBC_TUNABLES=glibc.malloc.mxfast=glibc.malloc.mxfast=A" "Z=`printf '%08192x' 1`" /usr/bin/su --help
Erreur de segmentation
$

Là, vous êtes (…)

Journal STARTTLS et laposte.net

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
13
4
oct.
2023

Cher journal,

Je découvre un peu par hasard que STARTTLS n'est pas activé sur le serveur SMTP "entrant" de laposte.net:

~ $ nc -v smtpz4.laposte.net 25
smtpz4.laposte.net (160.92.124.66:25) open
220-mlpnf0114.laposte.net ESMTP **************************
ehlo toto
220 mlpnf0114.laposte.net ESMTP **************************
250-mlpnf0114.laposte.net
250-SIZE 30000000
250-STARTTLS
250-ENHANCEDSTATUSCODES
250 8BITMIME
starttls
454 4.7.0 TLS not available due to local problem
Concrètement, cela signifie, me semble-t-il, que si vous envoyez un mail à une adresse en @laposte.net, celui-ci circule en clair (à moins qu'il ne soit (…)

Journal Découverte de l'Entity Component System avec Bevy

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
16
3
oct.
2023

Je me suis amusé dernièrement avec Bevy engine, un moteur de jeu plutôt bas niveau "piloté par les données". C'est-à-dire qui utilise le "Entity Component System".

Belle découverte pour ma part ! En quelques mots :

Entity Component System

Coder en ECS c'est, ne pas coder de manière procédurale : On fournit au moteur d'ECS des données (que l'on identifie comme des ressources, des composants, etc) ainsi que des procédures (ex. une fonction) que l'on veut qu'il exécute selon (…)

Journal Multiples vulnérabilités dans exim4 (alerte de sécurité CERT-FR)

Posté par  (site web personnel) . Licence CC By‑SA.
14
3
oct.
2023

Le CERT-FR a publié hier l'alerte CERTFR-2023-ALE-010 invitant à mettre à jour l'agent email exim (si ça n'est pas fait automatiquement) et à mettre en place des mitigations si on est concerné par les failles non corrigées.

Exim4 est un agent mail qui permet d'envoyer et de recevoir des mails.

Les avis publiés par Zero Day Initiative contiennent assez peu d'informations et font peur : 23-1468, 23-1469, 23-1470, 23-1471, 23-1472 et 23-1473

La documentation officielle ( (…)

Journal Projets libres ! Episode 7 : GLPI a 20 ans partie 1 : le projet communautaire

17
2
oct.
2023

Projets libres ! fête à sa manière les 20 ans du projet GLPI.

Créé en 2003, il est devenu un outil largement utilisé au fil des années par celles et ceux qui cherchent un outil de gestion de parc informatique et de ticketing.
Dans cette première partie, nous revenons sur la genèse du projet, son développement communautaire puis son changement de gouvernance.

A travers GLPI, c'est l'occasion de parler de ces projets nés avant l'essor des réseaux sociaux et du (…)

Journal [Message de service] Gagnants des meilleures contributions de septembre 2023

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
6
1
oct.
2023

Si vous avez contribué au site cet été en septembre 2023 (patch, images, dépêches ou journaux), lisez ci‑dessous. Sinon, pas la peine de perdre votre temps à lire la suite.

Si vous êtes l’un des pseudos suivants, consultez votre courriel (celui connu par LinuxFr.org) et vérifiez vos indésirables, vous avez certainement reçu un message vous indiquant que vous avez gagné un livre (version numérique ou papier). Ne procrastinez pas pour nous répondre s'il vous plaît, même si vous ne (…)

Journal LinuxFr.org : seconde quinzaine de septembre 2023

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
10
1
oct.
2023

Deux cent quatorzième épisode dans la communication entre les différentes équipes de bénévoles autour du site LinuxFr.org : l’idée est de tenir tout le monde au courant de ce qui est fait par la rédaction, l’administration web et système, la modération, le développement, l’association, etc.

L’actu résumée ([*] signifie une modification du sujet du courriel) :

Statistiques

Du 16 au 30 septembre 2023

  • 1788 commentaires publiés (dont 38 masqués depuis), comme suit
    • 638 commentaires publiés sur les liens (…)

Journal Importer des "issues" GitHub dans des "tickets" Trac

24
30
sept.
2023

Bon, je me suis laissé entraîner. Je savais que ça finirait mal. Il y a quelques années, j'ai ouvert un compte Github. J'en avais probablement besoin pour participer à un projet hébergé sur cette plateforme. Et puis j'ai commencé à y mettre mes propres projets, parce que c'était pratique de pouvoir créer un dépôt Git en 3 clics. Je me suis bientôt retrouvé avec plus de 100 projets sur Github.

Seulement voilà, Github, ce n'est pas un logiciel libre. Et (…)

Journal Tour des GULL : hors série

Posté par  (site web personnel) . Licence CC By‑SA.
15
30
sept.
2023

Ah septembre, la fin de l'été, le début de l'automne, les couleurs qui changent, les feuilles au sol qui rendent les pistes cyclables dangereuses…
Septembre c'est aussi la rentrée scolaire et pour moi qui n'ai pas d'enfant mais tiens une librairie, c'est une période très, très, très chargée. Je n'ai donc pas eu le temps de me déplacer à la rencontre des GULL.
Mais (et oui, il y a un mais), je ne suis pas restée toute seule dans mon (…)

Journal Et pourtant elle marche

Posté par  . Licence CC By‑SA.
20
30
sept.
2023

Journal,

aujourd'hui, ce matin, je suis fâché. Mon imprimante Canon Pixma MP640 qui m'a toujours rendu de grands services ne veut plus imprimer. Mais je ne suis pas fâché contre elle. Je suis fâché parce qu'elle n'est pas facilement démontable, je suis fâché parce que son mode maintenance n'est pas intuitivement accessible, je suis fâché parce que le logiciel qui permet de faire la maintenance est disponible sous windows, manifestement pas celui du constructeur, pas sous linux. Je te raconte.

(…)

Journal Des virus et des virus

Posté par  . Licence CC By‑SA.
Étiquettes :
79
28
sept.
2023

Ce journal est une réponse au journal de papap. Au départ, j'avais commencé par écrire un commentaire. Mais vue la taille du commentaire, il a fini par me sembler plus pertinent d'en faire un journal autonome. Et puis, vu le titre du journal, c'était le moins que je puisse faire !

De l'analogie foireuse

Il y a effectivement, en surface, une analogie entre virus informatiques et biologiques. Elle disparaît dès qu'on gratte un peu le vernis.

La première (…)

Journal Guide d'openwashing : comment passer d'un projet opensource à un logiciel bridé et privateur ?

Posté par  . Licence CC By‑SA.
Étiquettes :
17
28
sept.
2023
  • Etape 1 : Créer un clone d'un logiciel fermé bien connu, par exemple Postman
  • Etape 2 : Passé les premières versions, le transformer en un logiciel déployable automatiquement via les technologies ouèbe sous le nom pompeux de "progressive web app" aka PWA
  • Etape 3 : Ne plus permettre de l'installer autrement que de cette manière
  • Etape 4 : Offrir des services de partage de données et de collaboration dont tout le monde se contrefout
  • Etape 5 : Forcer une mise (…)

Journal CPU Ex0212 lost + found (septembre 2023)

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
4
28
sept.
2023

Dans cette release de CPU en mode lost+found : La suite de notre rentrée, un dauphin cybernétique, un hypergloups et un filigrane gouvernemental.

Merci à nos amis du hackerspace Tetalab et aux amis restés pour cette émission qui déborde.

Écoute à la demande (gratuite, sans pub, ni profilage), liens, commentaires : https://cpu.pm/0212

Podcast disponible sur quasi toutes les plateformes (Eh, Spotify, on est une émission de radio, arrêtez de nous traiter de pirates, on a l'autorisation de passer nos (…)

Journal Cailloux, joujoux, bijoux

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
6
27
sept.
2023

La planète chauffe.

Comment pouvons-nous justifier nos efforts dans les logiciels libres?

La terre brûle.

Comment est-ce que les logiciels libres peuvent nous aider à la sauver?

Car oui, l'informatique nous coûte, en électricité bien sûr. Toutes ces centrales qui fonctionnent pour faire tourner nos programmes, alimenter nos smartphones et nous permettre de nous distraire à tout moment.

Et tous ces programmes, jolis et bien tournés, bourrés de publicités et de traqueurs cachés, parfois même chargés de virus et autres (…)