Oups, petit problème de copier coller, sur les titres des trois premières questions. Au lieu d'être trois fois * Ma première visite sur LinuxFr date de :
Il s'agissait de * Ma première visite sur LinuxFr date de : * Je visite LinuxFr :
et * Quelle type de connexion Internet avez-vous :
* Ma première visite sur LinuxFr date de :
il manque [] je ne m'en souviens plus
C'est vrai quoi, comme si on avait tous noté ça dans nos agenda...
* Ma première visite sur LinuxFr date de :
il manque [] je suis une moule de la tribune
* Ma première visite sur LinuxFr date de :
estimes-tu qu'il est important de pouvoir différencier entre ces trois choix ? [ ] ADSL, Wanadoo
[ ] ADSL, Nerim!
[ ] ADSL, autres
Et si, au boulot, tu as, mettons, ADSL, et à la maison un modem, pourra-t-on cocher plusieurs cases ?
* Les dépêches de LinuxFr devraient être :
il manque [] non anti-Microsoft primaire
parce que ça gonfle à force...
* Je soumets des dépêches sur LinuxFr :
plutôt que [] Jamais
j'estime que [] Je n'en ai encore jamais eu l'occasion
serait plus près de la vérité. Ou alors un [] plutôt crever
ou [] je boycotte !
* Quand vous faites une critique injustifiée, acerbe envers le site, les modérateurs, les développeurs, ou les administrateurs :
[] Vous savez qu'ils sont tous bénévoles, vous faites ça pour faire avancer les choses
[] Vous ne saviez pas qu'ils étaient tous bénévoles, maintenant vous le savez et vous arreterez les critiques qui ne sont pas constructives.
Bien essayé, mais je doute du résultat (-:
Et puis d'abord, pour ne citer que lui, Benoît Sibaud (Oumph) n'est pas bénévole, il est payé à ne rien faire et s'occupe comme il le peut.
* Les sondages disponibles sur la page princpale :
au lieu de [] On devrait pouvoir les commenter
mettre [] Il faudrait que le «commentaires» dessous soit un vrai lien et pas un élément décoratif
* Rapport rapidité du site / fonctionnalité
il manque [] Ça m'est égal
Si NetBSD est effectivement moins populaire qu'un FreeBSD ou un OpenBSD, il reste effectivement que pour certains types de matériel, il s'agit du seul système libre existant...
Bien sûr, des portages sur console de jeu ou PDA sont totalement inutiles, mais il n'y a pas de développement de qualité sans petits plaisirs...
Il cite «Unauthorized Windows 95» de Schulman, édité par Addison-Wesley, et effectivement ce qu'il cite est véridique : Microsoft a contribué à la conception (et aux spécifications) du mode «Virtual 8086» des processeurs 80386 et supérieurs, et à la spécification DPMI, en collaboration avec Intel dans les deux cas, mais loin d'être un simple spectateur.
Je sais c'est pas une nouvelle qui concerne Linux, mais Microsoft reste quand même l'ennemi juré des manchots et démons de tous bords, non?
Et accessoirement, sans vouloir marcher dans le troll, c'est ce genre de propos qui font que la communauté du libre passe pour être une bandes d'intégristes fanatiques.
D'une part, l'ennemi juré du libre, c'est le logiciel propriétaire, et pas une (ou plusieurs) entreprises particulères, et d'autre part, le libre c'est aussi la tolérance : les logiciels propriétaires doivent continuer à exister. Il faut juste que plus personne ne les utilise.
J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
Attention, ils ne sont pas vulnérables à l'exploit publié par Gobbles.
Comme le dit l'advisory, il reste une vulnérabilité dans auth2-pam.c, mais personne ne s'est donné jusqu'à présent la peine de vérifier si elle était exploitable, et de publier un exploit le cas échéant.
C'est le cas en France, mais il y a des exceptions.
Comme l'«avenue Charles Trénet» inaugurée par le Fou Chantant il y a quelques années...
-1 hors sujet
(disclémeure : je suis suffisamment mouillé dans le déroulement de ces événements pour que mon opinion ne soit pas objective)
Si j'avais su qu'il y avait une solution aussi facile...
Eh oui, mais si tu l'avais su, d'autres personnes l'auraient su. Et au lieu d'avoir un exploit non publié, on aurait eu une foultitude d'exploits en circulation, dont un dans Télé 7 jours.
Pour la première fois dans l'histoire d'OpenSSH, la vulnérabilité pouvait facilement être inhibée d'une façon simple (privsep), qui présentait l'avantage de ne pas attirer l'attention sur la partie du code vulnérable. D'où les efforts faits pour inciter les gens à utiliser privsep.
Malheureusement, si privsep était validé et éprouvé sous OpenBSD, le support privsep dans la version portable était un ton en-dessous (absent pour bon nombre de systèmes, non fonctionnel sous d'autres comme Linux 2.2 par exemple). Et devant le manque de réaction des éditeurs de ces systèmes, il a été demandé un délai supplémentaire à ISS, et une annonce aussi vague que possible a été faite, afin de renforcer l'incitation à passer à privsep. Oui, par certains côtés, cela ressemble à crier «au loup» - surtout quand il n'est pas possible de divulguer plus d'informations sous peine de réduire le plan à néant.
Malheureusement, alors que bon gré mal gré les différents vendeurs s'alignaient sur OpenSSH 3.3, et que les problèmes soulevés par privsep sur certains systèmes commençaient a être découverts et corrigés, ISS a estimé qu'attendre lundi était trop, et a insisté pour publier la vulnérabilité, avec les détails cette fois, dans le courant de mercredi. Il a donc fallu sortir OpenSSH 3.4 plus tôt que prévu, alors que les packages 3.3 commençaient seulement a être utilisés... ce qui donne vraiment une mauvaise impression d'ensemble, pour sûr.
Maintenant, en commençant à prendre du recul, comment ce problème aurait-il pu être traité autrement ?
Publier la vulnérabilité avec les détails en même temps qu'une version corrigée d'OpenSSH, c'était lancer une nouvelle course à la mise à jour par rapport à la fabrication des exploits de cette faille.
Prendre le temps d'avoir un support privsep éprouvé sur la plupart des systèmes du marché, c'était impossible avec ISS insistant pour rendre publique la vulnérabilité le plus rapidement possible.
Des choix ont été faits. Il n'est pas possible de satisfaire tout le monde, mais dans l'ensemble, les choses auraient pu bien plus mal se passer...
Maintenant que tu connais plus de données du problème, prends quelques jours de recul, et demande-toi ce que tu aurais fait à notre place.
C'est une carte mère R5 ou plus ancienne sa BeBox, pour ne pas booter ?
Car si c'est une R6 ou plus, non seulement il n'y a rien qui ne soit irréparable dessus, mais en plus toutes les versions de BeOS tournent...
-1 hors sujet et puis quasiment plus personne n'a de BeBox de toutes façons.
Ceci étant c'est le deuxième exploit d'OpenSSH en un mois (un autre impliquait l'utilisation d'YP avec Netgroup dans la base des mots de passes). C'est pas bon pour ma paranoia ca :).
Ce qui est intéressant, c'est que, juste après le précédent problème dans OpenSSH, les développeurs ont mené une réflexion sur comment empêcher une faille future de profiter des privilèges de sshd, et c'est pourquoi privsep a été développé.
Savoir que la première faille trouvée après l'introduction de privsep n'est pas utilisable si privsep est activé prouve que privsep est plus qu'un concept académique...
Je pense que, dans le cas de cette faille, tes critiques sur ISS sont injustifiées.
Une faille dans OpenSSH (et peut-être d'autres implémentations) a été trouvée. Bon. ISS aurait très bien pu contacter l'équipe d'OpenSSH en disant «voilà les gars, vous avez tel trou, on le publie, avec un exploit, dans 48 heures». Or, ils ne l'ont pas fait.
A la place, la publication de la faille est reportée afin que les gens aient la possibilité de mettre à jour leur OpenSSH, non pas pour corriger le bug (puisque la disponibilité de la correction permettrait à tout un chacun de cuisiner un exploit dans son coin), mais pour le rendre inopérant grâce à privsep.
Dans un monde parfait, tous les vendeurs auraient fourni des mises à jour d'OpenSSH lundi au plus tard, et la faille aurait été publiée mercredi - c'est ce qui avait été négocié. Comme les vendeurs font de la résistance parce que la faille n'a pas été publiée sur le thème de «j'y croirai quand je me prendrai un exploit dans la figure», il a fallu faire un peu plus de bruit autour de ce problème, et laisser plus de temps avant la publication.
Dans tout ça, que peux-tu reprocher à ISS? Leur attitude est très correcte jusqu'à présent.
Oui, c'est justement pour ça qu'on demande à tout le monde de passer en OpenSSH 3.3, car c'est justement cette version qui introduit cette option !
Non, privsep est plus ancien, mais un gros effort (à cause de l'existence de cette faille) a été fait afin que privsep soit disponibles sur plus de systèmes dans la version portable d'OpenSSH.
Par contre, à partir d'OpenSSH 3.3, privsep est activé par défaut, ce qui n'était pas le cas avant.
Un système OpenBSD 3.1 (donc sous OpenSSH 3.2) dont la configuration du sshd a été modifiée afin d'activer privsep, n'est pas plus vulnérable qu'un OpenSSH 3.3.
> Tu connais un OS à base de micro-noyau multi-serveurs qui
> soit réellement utilisable, toi ? T'appelle pas ça révolutionnaire ?
Non, je n'en connais pas. Et ne va pas prétendre que Hurd est utilisable dans l'état actuel des choses.
> Alors, avant de juger qu'un OS n'est pas révolutionnaire, regarde
> ce qu'est GNU, comment il est conçu et ce qu'il permet(tera) de faire.
D'une part, dans le propos de TSelek, j'avais compris «GNU» au sens «le projet GNU», pas «le système GNU». D'autre part, j'insiste, un système qui n'existe que sur le papier n'est pas révolutionnaire à mon avis. Quant le Hurd sera une réalité, je changerai peut-être d'avis.
[^] # Re: Copier-coller ?
Posté par Miod in the middle . En réponse à la dépêche Arrivée de [Mandrakefr.org]. Évalué à -2.
(-1 et je sors)
[^] # Re: Et combien savent compter ?
Posté par Miod in the middle . En réponse à la dépêche Bien configurer ses visiteurs. Évalué à 8.
[^] # Re: news en retard MAIS QUE FAIT LA POLICE ?!
Posté par Miod in the middle . En réponse à la dépêche Nmap 3.0. Évalué à -1.
(-1 et je sors)
[^] # Re: Utilisable ?
Posté par Miod in the middle . En réponse à la dépêche Le Hurd nouveau est arrivé. Évalué à 2.
[^] # Re: Windows 2000...
Posté par Miod in the middle . En réponse à la dépêche Windows .Net et Solaris 9. Évalué à 6.
[^] # Re: Mon avis à moi qui n'engage que moi et que je partage...
Posté par Miod in the middle . En réponse à la dépêche L'avenir de LinuxFr, formulaire en préparation. Évalué à 3.
* Ma première visite sur LinuxFr date de :
Il s'agissait de
* Ma première visite sur LinuxFr date de :
* Je visite LinuxFr :
et
* Quelle type de connexion Internet avez-vous :
Désolé!
# Mon avis à moi qui n'engage que moi et que je partage...
Posté par Miod in the middle . En réponse à la dépêche L'avenir de LinuxFr, formulaire en préparation. Évalué à 10.
il manque
[] je ne m'en souviens plus
C'est vrai quoi, comme si on avait tous noté ça dans nos agenda...
* Ma première visite sur LinuxFr date de :
il manque
[] je suis une moule de la tribune
* Ma première visite sur LinuxFr date de :
estimes-tu qu'il est important de pouvoir différencier entre ces trois choix ?
[ ] ADSL, Wanadoo
[ ] ADSL, Nerim!
[ ] ADSL, autres
Et si, au boulot, tu as, mettons, ADSL, et à la maison un modem, pourra-t-on cocher plusieurs cases ?
* Les dépêches de LinuxFr devraient être :
il manque
[] non anti-Microsoft primaire
parce que ça gonfle à force...
* Je soumets des dépêches sur LinuxFr :
plutôt que
[] Jamais
j'estime que
[] Je n'en ai encore jamais eu l'occasion
serait plus près de la vérité. Ou alors un
[] plutôt crever
ou
[] je boycotte !
* Quand vous faites une critique injustifiée, acerbe envers le site, les modérateurs, les développeurs, ou les administrateurs :
[] Vous savez qu'ils sont tous bénévoles, vous faites ça pour faire avancer les choses
[] Vous ne saviez pas qu'ils étaient tous bénévoles, maintenant vous le savez et vous arreterez les critiques qui ne sont pas constructives.
Bien essayé, mais je doute du résultat (-:
Et puis d'abord, pour ne citer que lui, Benoît Sibaud (Oumph) n'est pas bénévole, il est payé à ne rien faire et s'occupe comme il le peut.
* Les sondages disponibles sur la page princpale :
au lieu de
[] On devrait pouvoir les commenter
mettre
[] Il faudrait que le «commentaires» dessous soit un vrai lien et pas un élément décoratif
* Rapport rapidité du site / fonctionnalité
il manque
[] Ça m'est égal
* Vous visitez http://new.linuxfr.org/(...) :
il manque
[] non
Voilà voilà... qu'est-ce qu'on gagne ?
[^] # Re: No comment ?
Posté par Miod in the middle . En réponse à la dépêche Sortie de NetBSD 1.5.3. Évalué à 9.
Bien sûr, des portages sur console de jeu ou PDA sont totalement inutiles, mais il n'y a pas de développement de qualité sans petits plaisirs...
[^] # Re: Demande d'explication.
Posté par Miod in the middle . En réponse à la dépêche Portage de macosx: S. Jobs rouvre le débat. Évalué à 10.
[^] # Re: Sacrée soirée !
Posté par Miod in the middle . En réponse à la dépêche Sortie de la Debian GNU/Linux 3.0 « Woody ». Évalué à 0.
Tu oublies Window Maker 0.80.1 !
(-1 déjà vu et je sors)
[^] # Re: AMA
Posté par Miod in the middle . En réponse à la dépêche Top 10 Things Wrong With Linux. Évalué à 2.
apropos == "man -k"
si tu avais lu la page de manuel de man, tu l'aurai su...
[-1 fourbe]
# Avançons le schmilblick
Posté par Miod in the middle . En réponse à la dépêche Microsoft forever. Évalué à 9.
Et accessoirement, sans vouloir marcher dans le troll, c'est ce genre de propos qui font que la communauté du libre passe pour être une bandes d'intégristes fanatiques.
D'une part, l'ennemi juré du libre, c'est le logiciel propriétaire, et pas une (ou plusieurs) entreprises particulères, et d'autre part, le libre c'est aussi la tolérance : les logiciels propriétaires doivent continuer à exister. Il faut juste que plus personne ne les utilise.
# Attention à l'excès d'optimisme..
Posté par Miod in the middle . En réponse à la dépêche news sur les problèmes de OpenSSH. Évalué à 10.
Attention, ils ne sont pas vulnérables à l'exploit publié par Gobbles.
Comme le dit l'advisory, il reste une vulnérabilité dans auth2-pam.c, mais personne ne s'est donné jusqu'à présent la peine de vérifier si elle était exploitable, et de publier un exploit le cas échéant.
[^] # Re: Une seule ligne à changer
Posté par Miod in the middle . En réponse à la dépêche Les détails de la faille d'OpenSSH. Évalué à 1.
Je rapelle l'url:
http://openssh.com/txt/preauth.adv(...)
[^] # Re: Un élément de réponse:
Posté par Miod in the middle . En réponse à la dépêche Une étude met dos-à-dos logiciels libres et propriétaires. Évalué à -3.
[^] # Re: Une seule ligne à changer
Posté par Miod in the middle . En réponse à la dépêche Les détails de la faille d'OpenSSH. Évalué à 8.
Les systèmes utilisant PAM sont vulnérables, et peut-être exploitables.
[^] # Re: Une seule ligne à changer
Posté par Miod in the middle . En réponse à la dépêche Les détails de la faille d'OpenSSH. Évalué à 10.
Si j'avais su qu'il y avait une solution aussi facile...
Eh oui, mais si tu l'avais su, d'autres personnes l'auraient su. Et au lieu d'avoir un exploit non publié, on aurait eu une foultitude d'exploits en circulation, dont un dans Télé 7 jours.
Pour la première fois dans l'histoire d'OpenSSH, la vulnérabilité pouvait facilement être inhibée d'une façon simple (privsep), qui présentait l'avantage de ne pas attirer l'attention sur la partie du code vulnérable. D'où les efforts faits pour inciter les gens à utiliser privsep.
Malheureusement, si privsep était validé et éprouvé sous OpenBSD, le support privsep dans la version portable était un ton en-dessous (absent pour bon nombre de systèmes, non fonctionnel sous d'autres comme Linux 2.2 par exemple). Et devant le manque de réaction des éditeurs de ces systèmes, il a été demandé un délai supplémentaire à ISS, et une annonce aussi vague que possible a été faite, afin de renforcer l'incitation à passer à privsep. Oui, par certains côtés, cela ressemble à crier «au loup» - surtout quand il n'est pas possible de divulguer plus d'informations sous peine de réduire le plan à néant.
Malheureusement, alors que bon gré mal gré les différents vendeurs s'alignaient sur OpenSSH 3.3, et que les problèmes soulevés par privsep sur certains systèmes commençaient a être découverts et corrigés, ISS a estimé qu'attendre lundi était trop, et a insisté pour publier la vulnérabilité, avec les détails cette fois, dans le courant de mercredi. Il a donc fallu sortir OpenSSH 3.4 plus tôt que prévu, alors que les packages 3.3 commençaient seulement a être utilisés... ce qui donne vraiment une mauvaise impression d'ensemble, pour sûr.
Maintenant, en commençant à prendre du recul, comment ce problème aurait-il pu être traité autrement ?
Publier la vulnérabilité avec les détails en même temps qu'une version corrigée d'OpenSSH, c'était lancer une nouvelle course à la mise à jour par rapport à la fabrication des exploits de cette faille.
Prendre le temps d'avoir un support privsep éprouvé sur la plupart des systèmes du marché, c'était impossible avec ISS insistant pour rendre publique la vulnérabilité le plus rapidement possible.
Des choix ont été faits. Il n'est pas possible de satisfaire tout le monde, mais dans l'ensemble, les choses auraient pu bien plus mal se passer...
Maintenant que tu connais plus de données du problème, prends quelques jours de recul, et demande-toi ce que tu aurais fait à notre place.
[^] # Re: man ssh / UsePrivilegeSeparation
Posté par Miod in the middle . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 1.
Si on pousse tout le monde à passer à privsep, c'est justement parce que privsep permet de rendre la vulnérabilité inutilisable.
Elle reste présente, mais ses effets sont suffisamments limités pour qu'elle ne puisse servir à rien.
[^] # Re: hum...
Posté par Miod in the middle . En réponse à la dépêche Palladium : la sécurité selon Microsoft. Évalué à 6.
Car si c'est une R6 ou plus, non seulement il n'y a rien qui ne soit irréparable dessus, mais en plus toutes les versions de BeOS tournent...
-1 hors sujet et puis quasiment plus personne n'a de BeBox de toutes façons.
[^] # Re: Euh, y a un trou là...
Posté par Miod in the middle . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 10.
Par contre, sshd l'est, et effectivement les cinq ans tomberont à la publication de la vulnérabilité.
[^] # Re: Euh, y a un trou là...
Posté par Miod in the middle . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 10.
Ce qui est intéressant, c'est que, juste après le précédent problème dans OpenSSH, les développeurs ont mené une réflexion sur comment empêcher une faille future de profiter des privilèges de sshd, et c'est pourquoi privsep a été développé.
Savoir que la première faille trouvée après l'introduction de privsep n'est pas utilisable si privsep est activé prouve que privsep est plus qu'un concept académique...
[^] # Re: Réponse chez Debian
Posté par Miod in the middle . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 10.
Une faille dans OpenSSH (et peut-être d'autres implémentations) a été trouvée. Bon. ISS aurait très bien pu contacter l'équipe d'OpenSSH en disant «voilà les gars, vous avez tel trou, on le publie, avec un exploit, dans 48 heures». Or, ils ne l'ont pas fait.
A la place, la publication de la faille est reportée afin que les gens aient la possibilité de mettre à jour leur OpenSSH, non pas pour corriger le bug (puisque la disponibilité de la correction permettrait à tout un chacun de cuisiner un exploit dans son coin), mais pour le rendre inopérant grâce à privsep.
Dans un monde parfait, tous les vendeurs auraient fourni des mises à jour d'OpenSSH lundi au plus tard, et la faille aurait été publiée mercredi - c'est ce qui avait été négocié. Comme les vendeurs font de la résistance parce que la faille n'a pas été publiée sur le thème de «j'y croirai quand je me prendrai un exploit dans la figure», il a fallu faire un peu plus de bruit autour de ce problème, et laisser plus de temps avant la publication.
Dans tout ça, que peux-tu reprocher à ISS? Leur attitude est très correcte jusqu'à présent.
[^] # Re: man ssh / UsePrivilegeSeparation
Posté par Miod in the middle . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 8.
Non, privsep est plus ancien, mais un gros effort (à cause de l'existence de cette faille) a été fait afin que privsep soit disponibles sur plus de systèmes dans la version portable d'OpenSSH.
Par contre, à partir d'OpenSSH 3.3, privsep est activé par défaut, ce qui n'était pas le cas avant.
Un système OpenBSD 3.1 (donc sous OpenSSH 3.2) dont la configuration du sshd a été modifiée afin d'activer privsep, n'est pas plus vulnérable qu'un OpenSSH 3.3.
[^] # Re: c'est qd même un faiceau de preuves convergeant
Posté par Miod in the middle . En réponse à la dépêche faille dans apache. Évalué à 4.
> soit réellement utilisable, toi ? T'appelle pas ça révolutionnaire ?
Non, je n'en connais pas. Et ne va pas prétendre que Hurd est utilisable dans l'état actuel des choses.
> Alors, avant de juger qu'un OS n'est pas révolutionnaire, regarde
> ce qu'est GNU, comment il est conçu et ce qu'il permet(tera) de faire.
D'une part, dans le propos de TSelek, j'avais compris «GNU» au sens «le projet GNU», pas «le système GNU». D'autre part, j'insiste, un système qui n'existe que sur le papier n'est pas révolutionnaire à mon avis. Quant le Hurd sera une réalité, je changerai peut-être d'avis.
[^] # Re: Précisions
Posté par Miod in the middle . En réponse à la dépêche faille dans apache. Évalué à 5.