1. Ce bug n'est exploitable (pour l'instant) que si on a un accès ssh sur la machine cible (et c'est la même chose pour les clients ssh).
2. Si on veut pas attendre demain matin, et on a ses sources dans un coin (il faut TOUJOURS avoir les sources), on peut toujours patcher "à la main", ça donne ça sur OpenBSD :
cd /usr/src/usr.bin/ssh
vi channel.c
[... modifier la ligne 147 comme dans un post précédent ...]
cp /usr/bin/ssh /root/ssh.old && chmod 0400 /root/ssh.old
cp /usr/sbin/sshd /root/sshd.old && chmod 0400 /root/sshd.old
make && make install
--- ET VOILA !! ---
Si vous avez peur de patcher une machine à distance et vous ne vouelz pas attendre demain matin :
... loguez-vous sur la machine en question ...
kill -TERM `ps aux | grep sshd | grep -v grep | awk ' { print $2 } '`
... vérifiez que vous ne pouvez plus vous connecter en ssh ... et déconnectez vous !
--
Y'en a marre de passer la soirée à patcher ses machines.
Une première partie pour la présentation de mozilla.org ( le site, le browser, le nightly build, tout ça koi ). Le roadmap de mozilla 1.0 est "de 3 à 4 semaines".
Puis une seconde partie par Tristan Nitot "mozilla tech evangeliste".
Simplement, je disais que je n'avais vu de logiciels s'installer en plug & play sous linux (du style j'insère le CD, je tape install et je vais boire un café).
Pour linux je sais pas, mais les installs d'OpenBSD, et ce depuis 2 ans, ne m'ont demandé qu'une seule disquette et 5 minutes ... c'est vrai qu'il faut répondre à des questions, oh combien difficilles ;-)
Néanmoins, je constaste que Checkpoint gagne des millions de $ en vendant un produit qui n'est rien d'autre qu'un iptable avec une jolie interface
Tu connais mal ces produits mon ami. Si tu savais ce que peut faire un CheckPoint (et ce qu'il ne peut pas, allez, au hazard, un proxy pour pc-anyware ?) en comparaison avec un iptable (ou un netfilter si t'es "aware"), tu fermerait ta grande geule sans demander les restes.
C'est des cartes PCMCIA, et un convertiseur pcd->pcmcia cout le même prix, voire plus cher.
C'est ce que j'ai, et avec un pote à moins de 100 mètres, ça passe nickel :
streaming mp3 à 128k et moulage intensif sur wiki sans que le clavier se blo
les temps de ping en france sont de l'ordre de 10 ms
Je veux!!! Peux-tu donner l'ordre de prix et le service (bandes passantes et garanties entre autre)?
Gratos pour nous, les béta testeurs :-)
Sinon, de mémoire, pour une ligne 256K symétrique, avec un burst de 1M, c'est à moins de 500 euros par mois.
Les frais d'install peuvent-être importants, selon config.
J'ai souvenir qu'il n'est pas recommandé de mettre un alias comme MX
Y'a des service, comme http://hn.org(...) , permet de mettre une @IP dans le MX, même qu'elle est dynamique.
L'intérêt de l'IP statique, c'est que tu n'as pas à mettre en place un DNS dynamique... et du coup tu peux utiliser cette IP comme MX.
Ben j'ai bien un ip dynamique qui me sert de backup MX...
Pour histoire, je gère 10 lignes adsl en france, via wanadoo (nerim n'est pas par tout), toutes en netissimo2/wanadoo Pro, donc ip statique.
Sur ces 10 lignes, en 1 an, j'ai eu droit à 3 changements d'IP sur 3 sites, sans préavis. L'ip statique de mamamou ne vaut donc que dalle.
Et pour le cado noël, on m'as installé une ligne BLR vendredi, les temps de ping en france sont de l'ordre de 10 ms, le bonheure quoi.
Mais c'est un service qu'on paye, et chère même.
* Vulnérabilité n°3 : "l'association de OpenSSH sous OpenBSD 2.9 avec le système de mot de passe S/Key pourrait donner au hacker, après certaines sollicitations, un accès à des informations susceptibles de l'assister dans la pénétration du système visé"
En gros : S/Key (one-time password authenficiation) untilise un système de challenge-response. Un attaquant peut deviner, selon le challenge posé, l'existant ou pas d'un login, voire la fréquence d'utilisation de ce login.
La réponse de Markus Friedl : OpenSSH utilise un "fake skey challenge" dans ce cas, donc pas exploitable, et ce depuis Novembre 2000, y'a plus d'un an donc.
forward
This option is only meaningful if the forwarders list is not empty. A
value of first, the default, causes the server to query the forwarders
first, and if that doesn't answer the question the server will then
look for the answer itself. If only is specified, the server will only
query the forwarders.
Donc si les NSs internes de mamadou sont en rades, j'ai le choix entre :
* Avoir un IP inutilisable en passant par les root-servers
* Ne par avoir IP du tout.
[falbala@falbala falbala]$ head -n 67 /etc/named.conf | tail -n 8
#--- bogus wanadoo ns
zone "wanadoo.fr" {
type forward;
forward only;
forwarders { 193.252.19.3; 193.252.19.4; };
};
Comme ça t'as tous les noms internes de mamadou correctement (www/news etc). Ce qui donne :
[falbala@falbala falbala]$ telnet smtp.wanadoo.fr smtp
Trying 193.252.19.219...
Connected to smtp.wanadoo.fr.
Escape character is '^]'.
220 citronier.wanadoo.fr ESMTP Service (NPlex 2.1.124) ready
HELO falbala.localdomain
250 citronier.wanadoo.fr
MAIL FROM: <falbla@falbala.org>
250 MAIL FROM:<falbla@falbala.org> OK
RCPT TO: <echo@cnam.fr>
250 RCPT <echo@cnam.fr> OK
quit
221 citronier.wanadoo.fr Service closing transmission channel
Connection closed by foreign host.
Remarquez le falbala.org n'existe pas :
[falbala@falbala falbala]$ telnet guinness smtp
Trying 10.x.x.x...
Connected to guinness.
Escape character is '^]'.
220 guinness ESMTP hardmail (beta 0)
MAIL FROM: <falbala@falbala.org>
250 Ok
RCPT TO: <falbala@localhost>
450 <falbala@falbala.org>: Sender address rejected: Domain not found
quit
221 Bye
Connection closed by foreign host.
S'il y a un serveur de mail, c'est forcé qu'il soit joignable par un telnet.
Pas focément :
En telnet, et en règle générale, une touche sur le clavier = 1 parquet IP envoyé.
Alors qu'un client SMTP(un MUA ou un autre MTA) génère des paquets plus grands.
On peut donc jouer sur les règles de firewall pour détecter un telnet, et de le blo
C'est très rigolo, mais le jour on a besoin de diagnostiquer une panne ...
# Pas de panique
Posté par falbala . En réponse à la dépêche Trou de securite dans OpenSSH 2.0 -> 3.02. Évalué à 10.
2. Si on veut pas attendre demain matin, et on a ses sources dans un coin (il faut TOUJOURS avoir les sources), on peut toujours patcher "à la main", ça donne ça sur OpenBSD :
cd /usr/src/usr.bin/ssh
vi channel.c
[... modifier la ligne 147 comme dans un post précédent ...]
cp /usr/bin/ssh /root/ssh.old && chmod 0400 /root/ssh.old
cp /usr/sbin/sshd /root/sshd.old && chmod 0400 /root/sshd.old
make && make install
--- ET VOILA !! ---
Si vous avez peur de patcher une machine à distance et vous ne vouelz pas attendre demain matin :
... loguez-vous sur la machine en question ...
kill -TERM `ps aux | grep sshd | grep -v grep | awk ' { print $2 } '`
... vérifiez que vous ne pouvez plus vous connecter en ssh ... et déconnectez vous !
--
Y'en a marre de passer la soirée à patcher ses machines.
[^] # Mozilla/FOSDEM
Posté par falbala . En réponse à la dépêche Nouvelle roadmap Mozilla. Évalué à 7.
Une première partie pour la présentation de mozilla.org ( le site, le browser, le nightly build, tout ça koi ). Le roadmap de mozilla 1.0 est "de 3 à 4 semaines".
Puis une seconde partie par Tristan Nitot "mozilla tech evangeliste".
A oui, y'a 20 T-Shirts Mozilla à ganger ici :
http://mozilla-evangelism.bclary.com/europe/(...)
[^] # c'est toi la mausaise foi, ou tu n'y connais rien
Posté par falbala . En réponse à la dépêche Borland s'installe chez vous (sic) !. Évalué à 1.
Pour linux je sais pas, mais les installs d'OpenBSD, et ce depuis 2 ans, ne m'ont demandé qu'une seule disquette et 5 minutes ... c'est vrai qu'il faut répondre à des questions, oh combien difficilles ;-)
Néanmoins, je constaste que Checkpoint gagne des millions de $ en vendant un produit qui n'est rien d'autre qu'un iptable avec une jolie interface
Tu connais mal ces produits mon ami. Si tu savais ce que peut faire un CheckPoint (et ce qu'il ne peut pas, allez, au hazard, un proxy pour pc-anyware ?) en comparaison avec un iptable (ou un netfilter si t'es "aware"), tu fermerait ta grande geule sans demander les restes.
# C'est pas linux qu'il faut
Posté par falbala . En réponse à la dépêche Un pc dans chaque famille en Belgique. Évalué à -10.
--
je sais, je sors
[^] # Hum
Posté par falbala . En réponse à la dépêche IBM apporterait son soutien à Passport. Évalué à 3.
Tu parlais de LogicielS libreS a l'actif de SUN
... La base du developpement de Mozilla c'est le source (un peu pourri au depart d'ailleurs) de Netscape
Et qui vient de Mosaïc et de NCSA, que vient faire SUN dans l'histoire ?
J'ai dis BSD / SunOS et Sun OS etait bien herite de la branche BSD
SunOS 1.0 hérite de 4.1BSD et Solaris n'est qu'un batard avec un System V. Ils ont le même ancêtre qui est le "Unix Time Sharing System V4".
D'ailleurs si tu regards de près les descendants de Solaris / SunOS, on n'y trouve que Trusted Solaris.
Les autres (star office, forté et java) je ne m'en sers pas et je m'en tape royalement.
MICROSOFT EST UN EDITEUR BEAUCOUP MOINS ... MOINS LIBRE QUE SUN
Ils ne sont pas libres, point.
[^] # re: cout
Posté par falbala . En réponse à la dépêche L'équipe de France Wireless à Autrans. Évalué à 10.
Oui et non, on en trouve de pas cher au US, pour 66 la pièce : http://shop.store.yahoo.com/register5/orincar.html(...) .
C'est des cartes PCMCIA, et un convertiseur pcd->pcmcia cout le même prix, voire plus cher.
C'est ce que j'ai, et avec un pote à moins de 100 mètres, ça passe nickel :
streaming mp3 à 128k et moulage intensif sur wiki sans que le clavier se blo
# Mais mais mais
Posté par falbala . En réponse à la dépêche VIM, l'opensource et le charityware par Bram Moolenaar. Évalué à 2.
Et c'est quoi cette antenne de FSF basée à pékin ?
[^] # BLR
Posté par falbala . En réponse à la dépêche L'ADSL de France Telecom n'est pas assez cher. Évalué à 8.
Je veux!!! Peux-tu donner l'ordre de prix et le service (bandes passantes et garanties entre autre)?
Gratos pour nous, les béta testeurs :-)
Sinon, de mémoire, pour une ligne 256K symétrique, avec un burst de 1M, c'est à moins de 500 euros par mois.
Les frais d'install peuvent-être importants, selon config.
J'ai souvenir qu'il n'est pas recommandé de mettre un alias comme MX
Y'a des service, comme http://hn.org(...) , permet de mettre une @IP dans le MX, même qu'elle est dynamique.
[^] # IP statique
Posté par falbala . En réponse à la dépêche L'ADSL de France Telecom n'est pas assez cher. Évalué à 10.
En fait, les changements d'IP sont intervenus chaque fois ils font un upgrade de leur équipements.
On a ainsi vu passer des IP 193.x -> 217.x, 193.x -> 80.x
bref, un joyeux bordel^Wnoel.
[^] # sshd en user
Posté par falbala . En réponse à la dépêche Linux port/socket pseudo ACLs. Évalué à 2.
Y'a pas que linux dans la vie ...
à l'occurence, ça me permet de déposer le sauvegardes de mes machines sur un serveur, dans des environnements totalement "étanche".
[^] # IP dynamique
Posté par falbala . En réponse à la dépêche L'ADSL de France Telecom n'est pas assez cher. Évalué à 10.
Ben j'ai bien un ip dynamique qui me sert de backup MX...
Pour histoire, je gère 10 lignes adsl en france, via wanadoo (nerim n'est pas par tout), toutes en netissimo2/wanadoo Pro, donc ip statique.
Sur ces 10 lignes, en 1 an, j'ai eu droit à 3 changements d'IP sur 3 sites, sans préavis. L'ip statique de mamamou ne vaut donc que dalle.
Et pour le cado noël, on m'as installé une ligne BLR vendredi, les temps de ping en france sont de l'ordre de 10 ms, le bonheure quoi.
Mais c'est un service qu'on paye, et chère même.
[^] # sshd en user
Posté par falbala . En réponse à la dépêche Linux port/socket pseudo ACLs. Évalué à 10.
ah oui, ça le fait...
[^] # OpenSSH et S/Key
Posté par falbala . En réponse à la dépêche Quelques articles truffés d'erreurs. Évalué à 1.
En gros : S/Key (one-time password authenficiation) untilise un système de challenge-response. Un attaquant peut deviner, selon le challenge posé, l'existant ou pas d'un login, voire la fréquence d'utilisation de ce login.
La réponse de Markus Friedl : OpenSSH utilise un "fake skey challenge" dans ce cas, donc pas exploitable, et ce depuis Novembre 2000, y'a plus d'un an donc.
cf. http://securityfocus.com/cgi-bin/archive.pl?id=1&start=2001-11-(...)
[^] # Re: Pour les feignasses...
Posté par falbala . En réponse à la dépêche La fin d'une Epoch. Évalué à 6.
Voilà un truc qui marche :
#!/bin/sh
/usr/bin/nc linuxfr.org 80 << EOF
POST http://linuxfr.org/board/add.php3(...) HTTP/1.0
Host: linuxfr.org
User-Agent: devil from `hostname` with `uname`-`uname -r`
Referer: http://linuxfr.org/news/(...)
Content-Type: application/x-www-form-urlencoded
Content-Length: 29
Connection: close
message=your%20message%20here
EOF
[^] # score
Posté par falbala . En réponse à la dépêche Serveurs mails de Wanadoo blacklistés. Évalué à -1.
[^] # Re: Conseil pour les DNS Wanadoo :
Posté par falbala . En réponse à la dépêche Serveurs mails de Wanadoo blacklistés. Évalué à 1.
Sinon y'a aussi .1 et .2 ;-)
--
[root@falbala named]# grep "193.252.19" named.run | wc -l
0
re bouf.
[^] # named / forward & mamadou
Posté par falbala . En réponse à la dépêche Serveurs mails de Wanadoo blacklistés. Évalué à 1.
forward
This option is only meaningful if the forwarders list is not empty. A
value of first, the default, causes the server to query the forwarders
first, and if that doesn't answer the question the server will then
look for the answer itself. If only is specified, the server will only
query the forwarders.
Donc si les NSs internes de mamadou sont en rades, j'ai le choix entre :
* Avoir un IP inutilisable en passant par les root-servers
* Ne par avoir IP du tout.
Pour moi le choix est fait :-)
[^] # Re: je vois pas le rapport
Posté par falbala . En réponse à la dépêche Serveurs mails de Wanadoo blacklistés. Évalué à 1.
#--- bogus wanadoo ns
zone "wanadoo.fr" {
type forward;
forward only;
forwarders { 193.252.19.3; 193.252.19.4; };
};
Comme ça t'as tous les noms internes de mamadou correctement (www/news etc). Ce qui donne :
[falbala@falbala falbala]$ telnet smtp.wanadoo.fr smtp
Trying 193.252.19.219...
Connected to smtp.wanadoo.fr.
Escape character is '^]'.
220 citronier.wanadoo.fr ESMTP Service (NPlex 2.1.124) ready
HELO falbala.localdomain
250 citronier.wanadoo.fr
MAIL FROM: <falbla@falbala.org>
250 MAIL FROM:<falbla@falbala.org> OK
RCPT TO: <echo@cnam.fr>
250 RCPT <echo@cnam.fr> OK
quit
221 citronier.wanadoo.fr Service closing transmission channel
Connection closed by foreign host.
Remarquez le falbala.org n'existe pas :
[falbala@falbala falbala]$ telnet guinness smtp
Trying 10.x.x.x...
Connected to guinness.
Escape character is '^]'.
220 guinness ESMTP hardmail (beta 0)
MAIL FROM: <falbala@falbala.org>
250 Ok
RCPT TO: <falbala@localhost>
450 <falbala@falbala.org>: Sender address rejected: Domain not found
quit
221 Bye
Connection closed by foreign host.
Voilà ce qui est mieux
[^] # telnet et smtp
Posté par falbala . En réponse à la dépêche Serveurs mails de Wanadoo blacklistés. Évalué à 3.
Pas focément :
En telnet, et en règle générale, une touche sur le clavier = 1 parquet IP envoyé.
Alors qu'un client SMTP(un MUA ou un autre MTA) génère des paquets plus grands.
On peut donc jouer sur les règles de firewall pour détecter un telnet, et de le blo
C'est très rigolo, mais le jour on a besoin de diagnostiquer une panne ...
[^] # Re: Arrrrgh
Posté par falbala . En réponse à la dépêche Serveurs mails de Wanadoo blacklistés. Évalué à 1.
# Arrrrgh
Posté par falbala . En réponse à la dépêche Serveurs mails de Wanadoo blacklistés. Évalué à 1.
The software and utilities used to produce the list is limited license freeware and requires a security key to run.
Le blacklist :
127.0.0.3 Dialup Spam Source
Ne compte pas sur mes serveurs pour l'utiliser !
[^] # Re: Escusez mon ignorance, mais...
Posté par falbala . En réponse à la dépêche Kill the internet in 30 seconds ?. Évalué à 1.
Optical Carrier 12. Connexion par fibre optique carburant à 622.08 Mbps.
Soit 11375 fois un modem 56 K, de quoi flooder un disque U/DMA 66.
[^] # Re: N'ALLEZ PAS TROP LOIN!
Posté par falbala . En réponse à la dépêche Logiciel propriétaire => Virus. Évalué à 1.
Et puis, sur AS400, le jour un compilateur d'objective-c (ou C tout court) se monte à la hauteur de COBOL, tu me donnerais des nouvelles mon petit.
# Recommandé
Posté par falbala . En réponse à la dépêche Action pour faire annuler l'avis de l'Academie des technologies. Évalué à 1.
Je vais même le faire avec un CC à libé/le monde/le Fig. On ne sait jamais ...
--
Ôter moi ce PIERRE de mon jardin !
[^] # Re: Le meilleur
Posté par falbala . En réponse à la dépêche Why Linux Will Never Be as Secure as OpenBSD. Évalué à 1.
Je suppose que tu ne sais pas non plus comment générer un CA donc.
Quel dégré de confiance on peut accorder à un site donc le certificat est issu d'un inconnu ;-)
http://www.urec.cnrs.fr/securite/certifications.html(...)