Yann Hirou a écrit 237 commentaires

Pour l'instant on ne peut pas trop mettre à jour... la série 2.2 va jusqu'au 2.2.20, et la 2.4 jusqu'au 2.4.18 !

Il n'y a rien à faire sinon attendre le prochain noyau, en se disant que cette fois-ci on a une bonne raison pour migrer.

exemple de chose réalisable avec cette faille : lister le contenu d'un répertoire auquel on n'a pas accès normalement. En théorie, on devrait aussi pouvoir le faire via des démons, par exemple avec un serveur web filtrant mal les arguments en faisant un GET /argument qui sera passé à d_path().

Donc ceux qui réagissent en disant "ce n'est qu'une faille locale, j'ai que moi comme utilisateur donc je m'en fous" (si si, il y en a ;) se trompent.

ouais, et puis surtout rien n'empêche le méchant pirate de modifier tout ce qui est en mémoire - ou sur ramdisk (par exemple pour les répertoire /var, /tmp, etc...)

Ca empêche juste au pirate d'installer des backdoors durable, puisqu'en cas de reboot tout redeviendra propre (mais avec les mêmes failles).

Donc à moins de rebooter régulièrement, il n'y a pas de réelle sécurité additionnelle.

(et puis faut se regraver un CD à chaque patch, c'est lourd).

Quand on parle de DoS, on ne parle pas nécéssairement de saturation du processeur ! Une pile IP, ça peut s'exploser,
la table contenant la liste des sessions TCP ouvertes est de taille limitée (donc saturable, donc DoS), etc...
Donc si, les DoS ca existe toujours, malgré les performances processeur !

Si c'est le cas, tous les hébergeurs américains vont réfléchir sur des solutions d'hébergement alternatifs : canada, europe...
On risquerait alors de voir une évolution de la carte mondiale d'internet - et peut-être du coup une variation des coûts... (où qu'ils déménagent, ils feront chuter le prix de la bande passante).

Ce n'est pas parce que SSH est sécurisé que son implémentation est sûre... Tout logiciel a des bugs. Certains sont bénins, d'autres sont génants pour la sécurité.

cf les liens suivants

Local (ssh UseLogin option) : http://www.securitybugware.org/Other/4895.html(...)
Remote (ssh crc32 attack) : http://www.securitybugware.org/mUNIXes/4636.html(...)

Profitez-en, la concurrence est faible (à 15h, il n'y avait eu en tout et pour tout que 2 participants...), et "la liberté" peut s'exprimer de plein de façons différentes !

(tiens, j'aurais dû rendre une feuille blanche pour la liberté moi...)

Précision : PGP/GPG sont illégaux lorsqu'ils sont utilisés pour crypter, mais restent légaux pour signer.

la licence BSD intel est celle qu'il est fortement recommendé d'utiliser



Tu parles des recommandations d'intel en interne, ou tu lances un troll sur les licences à utiliser ? ;-)

Le projet Mono est officiellement

an effort to create an Open Source implementation of the .NET Development Framework



Je vois mal comment il pourrait s'éloigner de l'open source, vu que c'est son concept de base... Je doute que ca devienne un jour une implémentation propriétaire du .NET sur plateforme UNIX.

je suis d'accord avec toi, en général on (les modérateurs) essaye de rajouter ce genre de chose dans le corps de la news au moment de la modération, pour qu'on sache de quoi il s'agit dès la page principale :)

Mono est une implémentation open source du .NET de microsoft...



cf http://www.go-mono.com(...(...)) pour leur site.

> Aujourd'hui, si je met mes idees sur le web, je suis un dangereux activiste,
> et en plus de cela, j'ai une chance sur deux de me prendre un proces au cul...

oui et non... il y a maintenant un texte (une jurisprudence je crois) définissant la viabilité d'une information sur le WEB à 3 mois. Donc tu peux te prendre un procès dans les 3 mois.
Il semble tout de même normal de pouvoir appliquer au web les mêmes règles que la presse écrite, en ce qui concerne les idées exprimées (racisme, négationisme, diffamation, etc...).

L'aspect de la LSQ dont tu parles ici ne fait que légiférer sur quelque chose que tout un chacun est censé appliquer... la netiquette !

Attention, je ne parle que de cet aspect de la LSQ. Je suis évidement contre tout ce qui concerne l'instrusion dans la vie privée (fichage, lecture des emails, etc...), mais tu parles ici d'idées exprimées publiquement - et qui doivent à mon sens suivre les mêmes règles que toutes les idées exprimées publiquement, quelles qu'en soient les médias.

Si c'était le cas, je pense que plusieurs personnes (ou groupes de personnes) auraient déjà tenté ! Ceci dit, si ce que tu dis est vrai, cela voudrait dire que cette loi existe déjà en France ? J'ai tout de même du mal à y croire...

Face à ce projet, je me pose juste la question : un développeur du libre pourra donc être poursuivi pour des failles de sécurité dans son programme ?

Plus qu'une loi, il faudrait simplement éduquer le consommateur pour qu'il regarde ce qu'il achète... s'il veut acheter des trous de sécu, c'est son problème - il peut ensuite faire un procès à l'éditeur, mais je ne vois pas en quoi le gouvernement peut édicter une loi. S'il est client de Microsoft, il peut lui faire un procès.

Pour l'interconnexion avec Domino, il faudrait pour ça que Lotus rende public l'API du serveur... Mais non seulement c'est pas gagné, mais en plus quand on voit tout ce qui passe dans ce protocole, il y a de quoi haluciner : le "client" Notes n'est en fait qu'un interpréteur de script, quand un utilisateur "ouvre" un mail, en fait il retélécharge du serveur toute la "structure" mail correspondante, y compris le code des boutons "reply", "forward", etc...

Le tout en utilisant une clé magique, le fameux "ID" que tout utilisateur Notes possède et qui lui sert à s'identifier. C'est un certificat, reste encore à trouver l'algo utilisé pour le crypter... et donc celui pour le décrypter avant de l'utiliser ! (100% Propriétaire).

Mais bon, IBM cherchant à attirer à lui les partisans de Linux, qui sait... ils rendront peut-être tout ça public un jour ? (Lotus est une filiale d'IBM).

En plus, ce "bug" a été jugé "non exploitable" (ou très très très difficilement), donc tout ce remue-ménage est un peu inutile.

Du "non exploitable" avec l'exploit fourni, c'est fort tout de même, non ? ;-)

(cf l'annonce de SecurityFocus, qui contient aussi l'exploit... http://www.securityfocus.com/archive/1/242750(...) )

Le modérateur avait vu passer les mails sur bugtraq, et donc était au courant du problème :-)

(cf commentaire plus bas sur la réponse faite par Dave Ahmad, de SecurityFocus, et modérateur de BugTraq, à l'annonce prématurée de RedHat).

Dave Ahmad, le modérateur de BugTraq, a posté l'alerte ( http://www.securityfocus.com/archive/1/242750(...) ), expliquant qu'elle n'était pas spécifique à RedHat, et surtout :

This vulnerability was initially scheduled for public release on December 3, 2001. Red Hat pre-emptively released an advisory on November 27, 2001. As a result, other vendors may not yet have fixes available.

La vulnérabilité n'a pas été découverte par RedHat, mais par CORE. C'est eux qui ont apparement décidé de ne pas publier tout de suite le problème, et qui ont suivi la règle tacitement en usage actuellement : prévenir les développeurs et les fournisseurs, avec une deadline.

ATTENTION : ne vous méprenez pas, il ne s'agit pas d'attendre que le patch soit sorti pour annoncer la vulnérabilité, il s'agit simplement de laisser le temps de faire un patch. Si ce n'est pas le cas, la vulnérabilité est quand même annoncée.

Voir pour exemple le Disclosure Policy du NMRC ( http://www.nmrc.org/advise/policy.txt(...) )

If we find a security flaw, hole, or bug in software, we will first work to
verify the basics surrounding said problem. Once we have done that, we will
contact the vendor with enough technical details to reproduce the problem, and
might supply source code for an exploit if it seems appropriate.

If the problem is considered a very high priority problem, we will give the
vendor a month's notice before we go public. Otherwise they have a week to
respond.

Oui, la news est en page principale car il me semble qu'elle concerne directement le monde du logiciel libre, et qu'il est important de savoir par qui sont dirigés les grands projets tels que Gnome.

Dans cette news on voit que Compaq sait s'investir dans le libre, plus discretement - mais peut-être plus efficacement - qu'IBM, qui cherche à acheter la communauté à grand coup de pub...

Et pour faire du VPN derrière une passerelle qui fait du masquage, il y a le VPN-Masquerade HOWTO, http://www.linuxdoc.org/HOWTO/VPN-Masquerade-HOWTO.html(...) - également disponible très prochainement en français (celui-ci la relecture est finie ;-))

ouaips, mais c'est toujours mieux qu'en 320x200... !
Alors à choisir... autant avoir un truc pas super rapide, mais utilisable :)

Pour ceux que ca intéresse, il est possible de faire tourner X en utilisant le framebuffer et XFree86 4.1. Après quelques heures de galère, j'ai récupéré un fichier XF86Config-4 qui marche (l'auteur de la pétition me l'a gentillement donné). Si vous aussi vous avez une Kyro (ou Kyro II), et si vous aussi vous galérez pour faire marcher X avec... allez le voir !
http://perso.linuxfr.org/hirou/XF86Config-4(...)

a citer aussi, pèle-mêle :
http://www.securitybugware.org(...) , http://www.packetstormsecurity.org(...) , http://www.linuxsecurity.com(...) , et encore quelques autres... mais c'est déjà un bon début :)

Ada est en effet truffé de qualités qui font une nette différence dans les developpements répartis typique du logiciel libre.

Attention, lisez-bien avant de troller... on y parle de développements répartis, donc de programmation parallèle.

cf http://linuxfr.org/stats/usage_200110.php3(...)
Personne n'est à l'abri ! :-)

Bon, allez, zou, mode téléchargement on.