Pour l'instant on ne peut pas trop mettre à jour... la série 2.2 va jusqu'au 2.2.20, et la 2.4 jusqu'au 2.4.18 !
Il n'y a rien à faire sinon attendre le prochain noyau, en se disant que cette fois-ci on a une bonne raison pour migrer.
exemple de chose réalisable avec cette faille : lister le contenu d'un répertoire auquel on n'a pas accès normalement. En théorie, on devrait aussi pouvoir le faire via des démons, par exemple avec un serveur web filtrant mal les arguments en faisant un GET /argument qui sera passé à d_path().
Donc ceux qui réagissent en disant "ce n'est qu'une faille locale, j'ai que moi comme utilisateur donc je m'en fous" (si si, il y en a ;) se trompent.
ouais, et puis surtout rien n'empêche le méchant pirate de modifier tout ce qui est en mémoire - ou sur ramdisk (par exemple pour les répertoire /var, /tmp, etc...)
Ca empêche juste au pirate d'installer des backdoors durable, puisqu'en cas de reboot tout redeviendra propre (mais avec les mêmes failles).
Donc à moins de rebooter régulièrement, il n'y a pas de réelle sécurité additionnelle.
(et puis faut se regraver un CD à chaque patch, c'est lourd).
Quand on parle de DoS, on ne parle pas nécéssairement de saturation du processeur ! Une pile IP, ça peut s'exploser,
la table contenant la liste des sessions TCP ouvertes est de taille limitée (donc saturable, donc DoS), etc...
Donc si, les DoS ca existe toujours, malgré les performances processeur !
Si c'est le cas, tous les hébergeurs américains vont réfléchir sur des solutions d'hébergement alternatifs : canada, europe...
On risquerait alors de voir une évolution de la carte mondiale d'internet - et peut-être du coup une variation des coûts... (où qu'ils déménagent, ils feront chuter le prix de la bande passante).
Ce n'est pas parce que SSH est sécurisé que son implémentation est sûre... Tout logiciel a des bugs. Certains sont bénins, d'autres sont génants pour la sécurité.
Profitez-en, la concurrence est faible (à 15h, il n'y avait eu en tout et pour tout que 2 participants...), et "la liberté" peut s'exprimer de plein de façons différentes !
(tiens, j'aurais dû rendre une feuille blanche pour la liberté moi...)
an effort to create an Open Source implementation of the .NET Development Framework
Je vois mal comment il pourrait s'éloigner de l'open source, vu que c'est son concept de base... Je doute que ca devienne un jour une implémentation propriétaire du .NET sur plateforme UNIX.
je suis d'accord avec toi, en général on (les modérateurs) essaye de rajouter ce genre de chose dans le corps de la news au moment de la modération, pour qu'on sache de quoi il s'agit dès la page principale :)
> Aujourd'hui, si je met mes idees sur le web, je suis un dangereux activiste,
> et en plus de cela, j'ai une chance sur deux de me prendre un proces au cul...
oui et non... il y a maintenant un texte (une jurisprudence je crois) définissant la viabilité d'une information sur le WEB à 3 mois. Donc tu peux te prendre un procès dans les 3 mois.
Il semble tout de même normal de pouvoir appliquer au web les mêmes règles que la presse écrite, en ce qui concerne les idées exprimées (racisme, négationisme, diffamation, etc...).
L'aspect de la LSQ dont tu parles ici ne fait que légiférer sur quelque chose que tout un chacun est censé appliquer... la netiquette !
Attention, je ne parle que de cet aspect de la LSQ. Je suis évidement contre tout ce qui concerne l'instrusion dans la vie privée (fichage, lecture des emails, etc...), mais tu parles ici d'idées exprimées publiquement - et qui doivent à mon sens suivre les mêmes règles que toutes les idées exprimées publiquement, quelles qu'en soient les médias.
Si c'était le cas, je pense que plusieurs personnes (ou groupes de personnes) auraient déjà tenté ! Ceci dit, si ce que tu dis est vrai, cela voudrait dire que cette loi existe déjà en France ? J'ai tout de même du mal à y croire...
Face à ce projet, je me pose juste la question : un développeur du libre pourra donc être poursuivi pour des failles de sécurité dans son programme ?
Plus qu'une loi, il faudrait simplement éduquer le consommateur pour qu'il regarde ce qu'il achète... s'il veut acheter des trous de sécu, c'est son problème - il peut ensuite faire un procès à l'éditeur, mais je ne vois pas en quoi le gouvernement peut édicter une loi. S'il est client de Microsoft, il peut lui faire un procès.
Pour l'interconnexion avec Domino, il faudrait pour ça que Lotus rende public l'API du serveur... Mais non seulement c'est pas gagné, mais en plus quand on voit tout ce qui passe dans ce protocole, il y a de quoi haluciner : le "client" Notes n'est en fait qu'un interpréteur de script, quand un utilisateur "ouvre" un mail, en fait il retélécharge du serveur toute la "structure" mail correspondante, y compris le code des boutons "reply", "forward", etc...
Le tout en utilisant une clé magique, le fameux "ID" que tout utilisateur Notes possède et qui lui sert à s'identifier. C'est un certificat, reste encore à trouver l'algo utilisé pour le crypter... et donc celui pour le décrypter avant de l'utiliser ! (100% Propriétaire).
Mais bon, IBM cherchant à attirer à lui les partisans de Linux, qui sait... ils rendront peut-être tout ça public un jour ? (Lotus est une filiale d'IBM).
This vulnerability was initially scheduled for public release on December 3, 2001. Red Hat pre-emptively released an advisory on November 27, 2001. As a result, other vendors may not yet have fixes available.
La vulnérabilité n'a pas été découverte par RedHat, mais par CORE. C'est eux qui ont apparement décidé de ne pas publier tout de suite le problème, et qui ont suivi la règle tacitement en usage actuellement : prévenir les développeurs et les fournisseurs, avec une deadline.
ATTENTION : ne vous méprenez pas, il ne s'agit pas d'attendre que le patch soit sorti pour annoncer la vulnérabilité, il s'agit simplement de laisser le temps de faire un patch. Si ce n'est pas le cas, la vulnérabilité est quand même annoncée.
If we find a security flaw, hole, or bug in software, we will first work to
verify the basics surrounding said problem. Once we have done that, we will
contact the vendor with enough technical details to reproduce the problem, and
might supply source code for an exploit if it seems appropriate.
If the problem is considered a very high priority problem, we will give the
vendor a month's notice before we go public. Otherwise they have a week to
respond.
Oui, la news est en page principale car il me semble qu'elle concerne directement le monde du logiciel libre, et qu'il est important de savoir par qui sont dirigés les grands projets tels que Gnome.
Dans cette news on voit que Compaq sait s'investir dans le libre, plus discretement - mais peut-être plus efficacement - qu'IBM, qui cherche à acheter la communauté à grand coup de pub...
Et pour faire du VPN derrière une passerelle qui fait du masquage, il y a le VPN-Masquerade HOWTO, http://www.linuxdoc.org/HOWTO/VPN-Masquerade-HOWTO.html(...) - également disponible très prochainement en français (celui-ci la relecture est finie ;-))
Pour ceux que ca intéresse, il est possible de faire tourner X en utilisant le framebuffer et XFree86 4.1. Après quelques heures de galère, j'ai récupéré un fichier XF86Config-4 qui marche (l'auteur de la pétition me l'a gentillement donné). Si vous aussi vous avez une Kyro (ou Kyro II), et si vous aussi vous galérez pour faire marcher X avec... allez le voir ! http://perso.linuxfr.org/hirou/XF86Config-4(...)
# Mettre à jour...
Posté par Yann Hirou . En réponse à la dépêche Faille de sécurité dans les noyaux Linux. Évalué à 10.
Il n'y a rien à faire sinon attendre le prochain noyau, en se disant que cette fois-ci on a une bonne raison pour migrer.
exemple de chose réalisable avec cette faille : lister le contenu d'un répertoire auquel on n'a pas accès normalement. En théorie, on devrait aussi pouvoir le faire via des démons, par exemple avec un serveur web filtrant mal les arguments en faisant un GET /argument qui sera passé à d_path().
Donc ceux qui réagissent en disant "ce n'est qu'une faille locale, j'ai que moi comme utilisateur donc je m'en fous" (si si, il y en a ;) se trompent.
[^] # Re: eeeeh.....ça tue !!
Posté par Yann Hirou . En réponse à la dépêche Firewall FreeBSD sur un CD. Évalué à 10.
Ca empêche juste au pirate d'installer des backdoors durable, puisqu'en cas de reboot tout redeviendra propre (mais avec les mêmes failles).
Donc à moins de rebooter régulièrement, il n'y a pas de réelle sécurité additionnelle.
(et puis faut se regraver un CD à chaque patch, c'est lourd).
[^] # Re: RE: Attention au changement de règles
Posté par Yann Hirou . En réponse à la dépêche Firewall toujours en fonction sur un Linux arrêté!. Évalué à 10.
la table contenant la liste des sessions TCP ouvertes est de taille limitée (donc saturable, donc DoS), etc...
Donc si, les DoS ca existe toujours, malgré les performances processeur !
[^] # Re: Impact...
Posté par Yann Hirou . En réponse à la dépêche Le procès de l'hyperlien s'ouvre ce lundi. Évalué à 10.
On risquerait alors de voir une évolution de la carte mondiale d'internet - et peut-être du coup une variation des coûts... (où qu'ils déménagent, ils feront chuter le prix de la bande passante).
[^] # Re: Quelques remarques:
Posté par Yann Hirou . En réponse à la dépêche La France, pays de pirates???. Évalué à 10.
cf les liens suivants
Local (ssh UseLogin option) : http://www.securitybugware.org/Other/4895.html(...)
Remote (ssh crc32 attack) : http://www.securitybugware.org/mUNIXes/4636.html(...)
# Y a pas foule, et pourtant... !
Posté par Yann Hirou . En réponse à la dépêche Concours de création graphique Parinux. Évalué à 10.
(tiens, j'aurais dû rendre une feuille blanche pour la liberté moi...)
[^] # Re: Légal ?
Posté par Yann Hirou . En réponse à la dépêche Secure Internet Live Conferencing. Évalué à 1.
[^] # Re: La licence "open source" d'Intel est BSD
Posté par Yann Hirou . En réponse à la dépêche Mono change de licence. Évalué à -1.
Tu parles des recommandations d'intel en interne, ou tu lances un troll sur les licences à utiliser ? ;-)
[^] # Re: doutes
Posté par Yann Hirou . En réponse à la dépêche Mono change de licence. Évalué à 0.
an effort to create an Open Source implementation of the .NET Development Framework
Je vois mal comment il pourrait s'éloigner de l'open source, vu que c'est son concept de base... Je doute que ca devienne un jour une implémentation propriétaire du .NET sur plateforme UNIX.
[^] # Re: Bin voilà :)
Posté par Yann Hirou . En réponse à la dépêche Mono change de licence. Évalué à 2.
[^] # Re: C'est quoi Mono ?
Posté par Yann Hirou . En réponse à la dépêche Mono change de licence. Évalué à 10.
cf http://www.go-mono.com(...(...)) pour leur site.
[^] # Re: Fallait s'y attendre....
Posté par Yann Hirou . En réponse à la dépêche Réactions à la LSQ. Évalué à 10.
> et en plus de cela, j'ai une chance sur deux de me prendre un proces au cul...
oui et non... il y a maintenant un texte (une jurisprudence je crois) définissant la viabilité d'une information sur le WEB à 3 mois. Donc tu peux te prendre un procès dans les 3 mois.
Il semble tout de même normal de pouvoir appliquer au web les mêmes règles que la presse écrite, en ce qui concerne les idées exprimées (racisme, négationisme, diffamation, etc...).
L'aspect de la LSQ dont tu parles ici ne fait que légiférer sur quelque chose que tout un chacun est censé appliquer... la netiquette !
Attention, je ne parle que de cet aspect de la LSQ. Je suis évidement contre tout ce qui concerne l'instrusion dans la vie privée (fichage, lecture des emails, etc...), mais tu parles ici d'idées exprimées publiquement - et qui doivent à mon sens suivre les mêmes règles que toutes les idées exprimées publiquement, quelles qu'en soient les médias.
[^] # Re: Et les logiciels libres ?
Posté par Yann Hirou . En réponse à la dépêche Une loi sur la sécurité des logiciels. Évalué à 3.
# Et les logiciels libres ?
Posté par Yann Hirou . En réponse à la dépêche Une loi sur la sécurité des logiciels. Évalué à 10.
Plus qu'une loi, il faudrait simplement éduquer le consommateur pour qu'il regarde ce qu'il achète... s'il veut acheter des trous de sécu, c'est son problème - il peut ensuite faire un procès à l'éditeur, mais je ne vois pas en quoi le gouvernement peut édicter une loi. S'il est client de Microsoft, il peut lui faire un procès.
[^] # Re: Comprendre.
Posté par Yann Hirou . En réponse à la dépêche Evolution 1.0 est sorti... pas (entièrement) libre. Évalué à 1.
Le tout en utilisant une clé magique, le fameux "ID" que tout utilisateur Notes possède et qui lui sert à s'identifier. C'est un certificat, reste encore à trouver l'algo utilisé pour le crypter... et donc celui pour le décrypter avant de l'utiliser ! (100% Propriétaire).
Mais bon, IBM cherchant à attirer à lui les partisans de Linux, qui sait... ils rendront peut-être tout ça public un jour ? (Lotus est une filiale d'IBM).
[^] # Re: Bof...
Posté par Yann Hirou . En réponse à la dépêche Vulnerabilité dans wu-ftpd et problème de communication entre Redhat et ses concurrents. Évalué à 1.
Du "non exploitable" avec l'exploit fourni, c'est fort tout de même, non ? ;-)
(cf l'annonce de SecurityFocus, qui contient aussi l'exploit... http://www.securityfocus.com/archive/1/242750(...) )
[^] # Re: Appel à trolls ?
Posté par Yann Hirou . En réponse à la dépêche Vulnerabilité dans wu-ftpd et problème de communication entre Redhat et ses concurrents. Évalué à 1.
(cf commentaire plus bas sur la réponse faite par Dave Ahmad, de SecurityFocus, et modérateur de BugTraq, à l'annonce prématurée de RedHat).
# Réponse de SecurityFocus
Posté par Yann Hirou . En réponse à la dépêche Vulnerabilité dans wu-ftpd et problème de communication entre Redhat et ses concurrents. Évalué à 1.
This vulnerability was initially scheduled for public release on December 3, 2001. Red Hat pre-emptively released an advisory on November 27, 2001. As a result, other vendors may not yet have fixes available.
La vulnérabilité n'a pas été découverte par RedHat, mais par CORE. C'est eux qui ont apparement décidé de ne pas publier tout de suite le problème, et qui ont suivi la règle tacitement en usage actuellement : prévenir les développeurs et les fournisseurs, avec une deadline.
ATTENTION : ne vous méprenez pas, il ne s'agit pas d'attendre que le patch soit sorti pour annoncer la vulnérabilité, il s'agit simplement de laisser le temps de faire un patch. Si ce n'est pas le cas, la vulnérabilité est quand même annoncée.
Voir pour exemple le Disclosure Policy du NMRC ( http://www.nmrc.org/advise/policy.txt(...) )
If we find a security flaw, hole, or bug in software, we will first work to
verify the basics surrounding said problem. Once we have done that, we will
contact the vendor with enough technical details to reproduce the problem, and
might supply source code for an exploit if it seems appropriate.
If the problem is considered a very high priority problem, we will give the
vendor a month's notice before we go public. Otherwise they have a week to
respond.
[^] # Re: ca va troller sec...
Posté par Yann Hirou . En réponse à la dépêche RMS jeté du Gnome Foundation Board. Évalué à 1.
Dans cette news on voit que Compaq sait s'investir dans le libre, plus discretement - mais peut-être plus efficacement - qu'IBM, qui cherche à acheter la communauté à grand coup de pub...
[^] # Re: Un autre beau lien
Posté par Yann Hirou . En réponse à la dépêche VPN, Freeswan. Évalué à 1.
[^] # Re: Config qui marche
Posté par Yann Hirou . En réponse à la dépêche Kyro : Pétition pour des drivers linux. Évalué à 1.
Alors à choisir... autant avoir un truc pas super rapide, mais utilisable :)
# Config qui marche
Posté par Yann Hirou . En réponse à la dépêche Kyro : Pétition pour des drivers linux. Évalué à 1.
http://perso.linuxfr.org/hirou/XF86Config-4(...)
[^] # Re: Savoir et suivre
Posté par Yann Hirou . En réponse à la dépêche Sécurité Linux - Guide rapide de mise en uvre. Évalué à 1.
http://www.securitybugware.org(...) , http://www.packetstormsecurity.org(...) , http://www.linuxsecurity.com(...) , et encore quelques autres... mais c'est déjà un bon début :)
# Non, il n'y a pas de troll dans la news !
Posté par Yann Hirou . En réponse à la dépêche Conclusion du premier concours logiciel libre d'Ada-France. Évalué à 7.
Attention, lisez-bien avant de troller... on y parle de développements répartis, donc de programmation parallèle.
# LinuxFR itou
Posté par Yann Hirou . En réponse à la dépêche Webalizer : le bug du 4 octobre 2001. Évalué à 2.
Personne n'est à l'abri ! :-)
Bon, allez, zou, mode téléchargement on.