Microsoft a publié hier une alerte de vulnérabilité concernant une faille assez critique présente dans Windows Vista, Windows 7 et Windows Server 2008. Trois fois rien, puisqu'elle permet à un attaquant d'exécuter du code à distance… en envoyant des paquets sur un port UDP… fermé.
Heureusement, Windows ayant un système de gestion des mises à jour beaucoup plus efficace que celui de Linux, on peut espérer que le correctif sera poussé sur la majorité du parc avant la publication d'un POC.
# Ouaah
Posté par Sébastien B. . Évalué à 5.
T'es sérieux là ? Comment c'est possible un truc pareil ????
[^] # Re: Ouaah
Posté par dalida . Évalué à 7.
Sûrement une backdoor de la NSA !
[^] # Re: Ouaah
Posté par Sytoka Modon (site web personnel) . Évalué à 6.
C'est sur que cela ressemble quand même fortement à cela !
gaby
[^] # Re: Ouaah
Posté par Olorim . Évalué à 1.
Je ne comprend pas pourquoi il y'a une application qui écoute sur ce port UDP alors que le firewall le bloque (par défaut à priori)... Logique Microsoft?
[^] # Re: Ouaah
Posté par Antoine . Évalué à 1.
Peut-être que c'est l'application qui fait les mises à jour de sécurité ?
[^] # Re: Ouaah
Posté par Olorim . Évalué à 1.
si c'est l'application qui fait les MAJ sécurité, pourquoi le firewall bloque cette application?
[^] # Re: Ouaah
Posté par Antoine . Évalué à 4.
Parce qu'il a détecté qu'elle n'est pas sûre !
[^] # Re: Ouaah
Posté par TImaniac (site web personnel) . Évalué à 6.
Ben si la faille est dans le firewall...
[^] # Re: Ouaah
Posté par Olorim . Évalué à 2.
...Si la faille est dans le firewall, c'est tout les ports UDP qui sont concernés.
Je suis sceptique malgré tout : Pour moi, pour exécuter du code à distance sur une machine, il faut un processus quelconque qui "écoute" sur un port donné. Le firewall n'écoute pas, il regarde juste le numéro de port et autorise, bloque ou rejette le paquet, il ne traite pas le contenu. Même si le firewall fonctionne à un niveau plus élevé (firewall dit applicatif), il se contente de lire "l'étiquette" du paquet, pas son contenu. Impossible alors d’exécuter du code avec le firewall.
Dans tout les cas, personne ne m'a encore donné une raison valable au fait de bloquer un port sur lequel une application écoute...
[^] # Re: Ouaah
Posté par Albert_ . Évalué à 4.
Même si le firewall fonctionne à un niveau plus élevé (firewall dit applicatif), il se contente de lire "l'étiquette" du paquet, pas son contenu.
Cela serait "rigolo" si en realite le firewall de ce systeme regardait le contenu...
[^] # Re: Ouaah
Posté par Olorim . Évalué à 3.
Arf, je viens de comprendre : on ne parle pas d'un port "bloqué", mais d'un port "fermé", donc sur lequel aucune application n'écoute...
[^] # Re: Ouaah
Posté par TImaniac (site web personnel) . Évalué à 5.
Pour le firewall, le paquet est le contenu, et pour décider quoi en faire, il le traite. Y'a de la données, un traitement logiciel, il y a donc de potentiels bugs/failles qui peuvent être mises en évidence avec des données corrompus (volontairement ou non).
[^] # Re: Ouaah
Posté par TImaniac (site web personnel) . Évalué à 7.
D'après le bulletin le problème vient de la façon dont sont manipulés en mémoire les paquets reçus par la stack TCP/IP du kernel en cas de réception d'un flot continue de paquets conçu spécialement pour exploiter le problème. On peut très bien imaginer un débordement de tampon, faille classique qui peut conduire à transformer de la donnée en code exécutable.
[^] # Re: Ouaah
Posté par Olorim . Évalué à -3.
Ok, je comprend mieux maintenant : c'est vraiment des tocards, si il y'a bien un truc à surveiller pour éviter les débordement de tampon, c'est la pile TCP/IP.
Enfin, c'est pas comme si ils n'avaient jamais eu ce genre de failles...
[^] # Re: Ouaah
Posté par TImaniac (site web personnel) . Évalué à 4.
Euh, c'est plutôt : pour éviter les failles il faut surveiller les débordement de tampon, pas plus dans la pile TCP/IP qu'ailleur. Dès que de la donnée est manipulée on y fait fasse.
Ensuite ce n'est qu'une hypothèse que j'émets, ca n'a peut être aucun rapport avec un débordement de tampon.
Oué des tocards y'en a beaucoup :
http://secunia.com/advisories/search/?search=buffer+overflow+linux
[^] # Re: Ouaah
Posté par zebra3 . Évalué à 5.
Toi, il faudrait que tu face attention à ton orthographe :-)
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ouaah
Posté par imr . Évalué à 8.
Le bug n'était pas que dans la pile.
[^] # Re: Ouaah
Posté par vg . Évalué à 5.
Une pile réseau est un code très complexe, difficile à maintenir et avec beaucoup d'états différents ; je ne connais pas un seul système mainstream qui n'ai jamais eu de vulnérabilités, même OpenBSD.
[^] # Re: Ouaah
Posté par zebra3 . Évalué à 3.
Même Haiku ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ouaah
Posté par Marotte ⛧ . Évalué à 3.
Le monsieur a dit mainstream.
[^] # Re: Ouaah
Posté par zebra3 . Évalué à 5.
BeOS alors ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ouaah
Posté par B16F4RV4RD1N . Évalué à 5.
le monsieur a dit OpenBSD...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Ouaah
Posté par Marotte ⛧ . Évalué à 2.
Avoue que OpenBSD est un poil plus répandu que Haïku.
[^] # Re: Ouaah
Posté par B16F4RV4RD1N . Évalué à 1.
honnêtement je n'en ai aucune idée, j'imagine que oui, en serveur. Vu que mainstream veut dire "grand public", je ne sais pas si OpenBSD est beaucoup plus grand public...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Ouaah
Posté par Marotte ⛧ . Évalué à 1.
Mainstream
C'est pas forcément grand public.
J'avoue que je pinaille.
[^] # Re: Ouaah
Posté par Albert_ . Évalué à -5.
Puis on sait qui a bosser sur cette pile. Cela etonne moins tout de suite...
[^] # Re: Ouaah
Posté par briaeros007 . Évalué à 2.
fait gaffe, on va bientôt dire que c'était une backdoor de linuxfr qui l'a lachement entrainé ici pour qu'il trolle et s'occupe moins de sa pile.
[^] # Re: Ouaah
Posté par Albert_ . Évalué à 1.
Comment peux tu poser cette question? On parle de Microsoft ici tout de meme et de son fabuleux systeme, seul systeme qui se fait foutre en l'air en quelques minutes si tu n'as pas d'antivirus...
[^] # Re: Ouaah
Posté par Grunt . Évalué à 9.
C'est très simple: ils ont cessé d'utiliser du code BSD pour la pile TCP/IP, et ils la développent en interne, maintenant. Ça explique tout :)
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Ouaah
Posté par Guillaume Knispel . Évalué à 6.
Pour mettre les choses en perspective, ça fait 17 ans qu'une release de Windows (NT 3.5) est sortie avec une stack TCP/IP développée en interne. Reçasser sans cesse l'histoire de la pile de Spider (celle qui était utilisée avant, pour NT 3.1) c'est bien gentil, mais c'est un peu comme si on se mettait aujourd'hui à balancer à tout va "ouai on peut faire du SMP sous Linux maintenant, c'est trop bien". (d'ailleurs en checkant les dates, je me rends compte qu'on peut faire du SMP sous Linux depuis moins de temps :P )
# Comment est-ce possible?
Posté par JoeltheLion (site web personnel) . Évalué à 2.
Si quelqu'un qui connaît bien le domaine pouvait m'expliquer pourquoi on a année après année ce genre de vulnérabilités, alors que pour sécuriser un port fermé, il me semble qu'il suffit d'ignorer ce qui y est envoyé. C'est si difficile que ça?
Sinon, je ne sais pas si la dernière phrase est ironique, mais je crois qu'on peut dire que le système de diffusion de correctifs de Microsoft est assez efficace, même si une option pour choisir quand ces mises à jour sont installées serait sympa. (et pas forcément quand on éteint le PC à la fin de la journée et qu'on a un train à attraper...
[^] # Re: Comment est-ce possible?
Posté par Rémi Laurent (site web personnel) . Évalué à 3.
http://blogs.technet.com/b/srd/archive/2011/11/08/assessing-the-exploitability-of-ms11-083.aspx
Visiblement c'est au niveau du tracking des connexions qu'il y a un soucis.
Une autre hypothèse à ce sujet a aussi été émise ici:
http://www.twitlonger.com/show/e30d0n
[^] # Re: Comment est-ce possible?
Posté par Krunch (site web personnel) . Évalué à 7.
Donc pour les mal comprenants il y a un leak d'un compteur de référence qui pourrait amener le noyau à libérer de la mémoire utilisée. Cette mémoire pourrait donc être réutilisée par quelque chose d'autre et si on a bien calculé son coup on peut potentiellement faire exécuter du code arbitraire.
Le payload n'a pas besoin d'être dans le paquet UDP. Il peut très bien se retrouver dans la mémoire du noyal via l'utilisation d'un service existant sur le même système (dans un header HTTP par exemple au hasard).
Bon en pratique si quelqu'un arrive à écrire un exploit pour ça, je demande quand même à voir.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Comment est-ce possible?
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 0.
C'est ça le pouvoir du clown
[^] # Re: Comment est-ce possible?
Posté par Krunch (site web personnel) . Évalué à 5.
J'ai toujours pas compris l'intérêt de ce genre de vidéo. Code or it didn't happen.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Comment est-ce possible?
Posté par lendemain . Évalué à 3.
C'est pour montrer qu'on peut faire des faille système en utilisant uniquement des printf.
[^] # Re: Comment est-ce possible?
Posté par vg . Évalué à 6.
Pour connaitre le port il faut déjà que tu puisses lire le paquet, sinon tu ne peux pas savoir si tu dois le rejeter ou pas, ca veut dire que le paquet doit passer par au moins une bonne partie de la pile UDP/IP et c'est à-prioris là où se trouve la vulnérabilité.
[^] # Re: Comment est-ce possible?
Posté par Olorim . Évalué à 1.
Je ne comprend pas : le paquet arrive sur le niveau UDP de la pile. Le programme traite l'entête du paquet en premier, histoire de savoir ce qu'il en fait de ce paquet, il ré assemble le message et cherche une application à qui transmettre le message, mais en aucun cas (a ma connaissance) il ne lit le champ DATA du datagramme. c'est le boulot de la couche application ça, mais si aucune application "n'écoute sur ce port", le paquet n'est pas lu il me semble.
A moins que je n'ai rien compris à TCP/IP, chaque couche ne lit que l'entête associé, pas le contenu.
[^] # Re: Comment est-ce possible?
Posté par vg . Évalué à 1.
Le port se trouve dans le header UDP, et pas dans les données du paquet.
[^] # Re: Comment est-ce possible?
Posté par Antoine . Évalué à 2.
Ça change rien, le tout arrive en un seul morceau.
[^] # Re: Comment est-ce possible?
Posté par briaeros007 . Évalué à 3.
pas forcément.
La carte réseau peut pousser directement le paquet udp en mémoire (dma toussa), et toi tu fais juste une lecture du header (pas de manipulation de donnée, juste de la lecture).
De cette façon, des données corrompues -> t'en fous, pas lu
des données trop grosses -> tu t'en fous, elles sont pas écrites (il faut que la carte réseau soit "ok" aussi et/ou une IOMMU. Mais bon, on va supposer que le matos n'est pas vérolé sinon on en sort pas ^^).
Un header corrompu -> euh c'est des champs de tailles fixes en udp, donc au pire un integer overflow, mais ca ce résoud assez facilement au niveau binaire.
(en supposant un paquet forger, ie avec un checksum correct).
buffer overflow -> ben non tu ne regardes que des données de tailles fixés et fixe (port)
Il n'y a aucune option en udp, donc toute l'entête est vraiment statique niveau taille.
Ensuite je suis une bille en dvp noyau, donc pe qu'il est plus intéressant pour eux de tout copier etc...
Mais bon, une attaque comme ça sur tcp serait plus logique (paramètres d'options), même si elles ne devraient arriver que pour le routage et/ou un port ouvert.
(Un port fermé, hop RST et basta.
En udp hop droppage paquet et basta).
[^] # Re: Comment est-ce possible?
Posté par Batchyx . Évalué à 2.
La couche UDP peut potentiellement avoir envie de vérifier le checksum du paquet, pour ça, il faut lire le champ data, en plus de lire le header udp et une partie du header IP...
Après, sous linux, ce checksum est fait après le routage, sauf s'il est déjà fait par la carte réseau.
[^] # Re: Comment est-ce possible?
Posté par briaeros007 . Évalué à 2. Dernière modification le 10 novembre 2011 à 10:10.
Autant pour moi, j'avais pas pensé au checksum sur les data, je suis resté sur celui ip qui est seulement sur les headers /o\
[^] # Re: Comment est-ce possible?
Posté par windu.2b . Évalué à 2.
Je ne vois pas où est ton problème : Windows sait parfaitement faire l'installation des mises à jour, puis éteindre la machine... Tu n'as donc pas à rester devant et à attendre !
[^] # Re: Comment est-ce possible?
Posté par MTux . Évalué à 10.
Ou alors il te vole le focus pendant que tu tape un texte et affiche la boite de dialogue pour redémarrer le système. Et comme tu tapais sur le clavier à ce moment là, ça lance le redémarrage et tu perd tout ton travail. True Story.
[^] # Re: Comment est-ce possible?
Posté par Psychofox (Mastodon) . Évalué à 3.
bon le problème c'est l'éternelle gestion des fenêtre pourrie de windows, pas tellement du processus de maj.
[^] # Re: Comment est-ce possible?
Posté par briaeros007 . Évalué à 10.
euh un process de maj qui vient te relancer toutes les 45 min "voulez vous redémarrer l'ordi j'ai installé des maj" alors que tu lui a dis "non" 15 fois, j'appelle ça un process un peu pourri quand même.
[^] # Re: Comment est-ce possible?
Posté par windu.2b . Évalué à 3.
La technique pour contrer ça : ne pas répondre à la question, et mettre la fenêtre dans un coin.
[^] # Re: Comment est-ce possible?
Posté par Albert_ . Évalué à 7.
Ah mais non c'est la qu'ils sont malins chez Microsoft. Si tu reponds pas cela redemarre tout seul au bout de quelques minutes. Non mais quand des c... veulent te faire chier il le font jusqu'au bout!
[^] # Re: Comment est-ce possible?
Posté par Grunt . Évalué à 2.
D'un autre côté, s'ils faisaient pas ça, y'aurait encore plus de gens qui ne feraient pas les MAJ de sécurité, et on dirait encore plus "Windows c'est sale, y'a 80% des Windows qui sont vérolés."
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Comment est-ce possible?
Posté par Albert_ . Évalué à 1.
Ben les rares fois ou je demarre mon ordi sous ce systeme (ben oui j'ai plus le temps de jouer) c'est pourtant ce que j'ai comme comportement mais cela a pu changer avec la version 7. Je suis en train de jouer et hop pop up qui me dit qu'il va faire un upgrade et rebooter et qui me pete mon jeu par la meme occasion.
[^] # Re: Comment est-ce possible?
Posté par TImaniac (site web personnel) . Évalué à 7.
J'hallucine ou le mec qui défèques sur Microsoft à longueur de journée l'utilise pour son plaisir ? (alors que pour jouer il aurait pu jouer à ces centaines de jeux libres dispo sur un OS libre)
[^] # Re: Comment est-ce possible?
Posté par gnumdk (site web personnel) . Évalué à 3.
Pff, faut suivre, il l'avait déjà dit qu'il avait un windows sur son ordinateur et je lui avait dit que c'était trop l'achouma :)
De toute façon, les gamers, moi je les aime pas trop, surtout quand il se proclame geeks tout cela parce qu'ils passent leur vie à jouer à des jeux vidéo ou à regarder noob-tv ...
[^] # Re: Comment est-ce possible?
Posté par TImaniac (site web personnel) . Évalué à 4.
oué mais ca aurait pu être une contrainte, genre utilisation d'un soft pour le taf ou une connerie dans le genre, non, là c'est pour s'amuser. Presqu'il serait content que Microsoft est construit avec d'autres éditeurs un éco-système vidéo-ludique.
C'est d'autant plus risible que sa posture est généralement purement idéologique sans aucune argumentation technique pragmatique.
[^] # Re: Comment est-ce possible?
Posté par Grunt . Évalué à 7.
D'un autre côté, je me demande combien de linuxiens qui se la jouent puriste ont à côté une console de jeu totalement propriétaire. Et je ne vois pas trop la différence entre un PC + Windows + jeux, et une console de jeu + jeux.
Si on revient aux "sources" des raisons d'utiliser des logiciels libres, certaines de ces raisons (la sécurité, la confidentialité des données personnelles, la possibilité de sauvegarder dans des formats ouverts..) deviennent caduques si on ne se sert de logiciels propriétaires que pour jouer.
Au contraire, mettre en avant les avantages du libre dans ces domaines, mais malgré tout confier des données personnelles, ou bien du travail important, à un système propriétaire, c'est ça qui est étonnant. Ne pas pouvoir récupérer ses sauvegardes de jeu sur une version plus récente du jeu est moins grave que de ne pas pouvoir récupérer son travail sur une version plus récente d'un progiciel. Se faire piquer ses meilleurs scores par un éditeur sournois est moins grave que se faire piquer son album de photos de famille, ou ses mails, par un éditeur sournois.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Comment est-ce possible?
Posté par briaeros007 . Évalué à 2.
j'ai une console de jeux propriétaire (enfin j'ai essayé d'installé tutux mais ils me l'ont viré ces cons :'( )... et un frigo propriétaire , et une montre propriétaire, et un bios propriétaire et ...
[^] # Re: Comment est-ce possible?
Posté par Albert_ . Évalué à 2.
s/plaisir/loisir/ mais bon demander a un fan boy de ne plus avoir d'oeilleres c'est un peu difficile...
Cela me rappelle le boulot ou les personnes developpant sous Linux et MacOSX font en sorte que leurs developpement soient au maximum multiplateformes alors que les windowsiens soit disant super ouvert et qui traitent d'integriste les linuxiens font en sorte de n'utiliser que des trucs tel que .Net et ActivX... Mais ce sont les linuxiens les integristes hein?
Je ne me sers pas de windows pour le boulot car c'est un systeme bien trop autodestructeurs pour des trucs important mais j'ai paye, contraint et force, un licence de ce systeme et j'ai des jeux (le dernier date de 3 ans et je ne l'ai toujours pas fini...) qui ne tournent pas sous wine (surprise non?) donc comme j'ai droit d'utiliser (que je sache) ce que j'ai paye j'utilise ce systeme car les jeux en questions sont pour ce systeme.
[^] # Re: Comment est-ce possible?
Posté par windu.2b . Évalué à 2.
Ah bon ? Ben, soit ça a changé depuis XP (que j'utilise au boulot), soit c'est dans des cas particuliers (correctifs super graves ?), car je ne rencontre pas cela, moi...
[^] # Re: Comment est-ce possible?
Posté par briaeros007 . Évalué à 2.
je l'ai eu sur des os serveur (2003).
(sisi, tiens un exemple :
http://serverfault.com/questions/63779/prevent-server-restart-after-windows-updates
)
Ensuite tu peux le configurer je crois, parce que suivant les souches que j'ai eu à utiliser, chez certains clients j'ai ça, chez d'autres j'ai rien ...
Mais encore faut il en avoir le droit ou autre
(certains fournissent des comptes "admin" de la machine sur lequelle tu peux pas forcément toucher les taches planifiés ou autre (ah si ... faut modifier la politique à la main, faire ta tache planifiée avant que la politique soit de nouveau appliqué ...
Par contre une fois créé ca passe, la sécu chez windows)
Ps: ah visiblement ca existe sur vista aussi :
http://www.howtogeek.com/howto/uncategorized/temporarily-disable-windows-updates-automatic-reboot-in-vista/
[^] # Re: Comment est-ce possible?
Posté par Antoine . Évalué à 2.
Non, il a juste l'opiniâtreté d'un Steve Jobs.
[^] # Re: Comment est-ce possible?
Posté par fearan . Évalué à 4.
Pas quand c'est un portable que tu dois ramener chez toi.
Et rabattre l'écran en plein milieu d'une mise à jour est dangereux, j'ai faillit péter mon 7 comme ça.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Comment est-ce possible?
Posté par B16F4RV4RD1N . Évalué à 5.
super quand on doit partir et qu'on veut être certain que l'ordinateur ne va pas resté allumé (en cas de gel complète du système), super quand un électricien vient pour faire une intervention et doit couper le courant, super quand il y a de l'orage et qu'on veut débrancher la prise en vitesse...
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Comment est-ce possible?
Posté par briaeros007 . Évalué à 3.
windows est pas fourni avec un onduleur ?
/me sort
[^] # Re: Comment est-ce possible?
Posté par gnumdk (site web personnel) . Évalué à 2.
Il faut faire redémarrer et l'éteindre au niveau du BIOS, c'est ca l'informatique par Microsoft.
[^] # Re: Comment est-ce possible?
Posté par Psychofox (Mastodon) . Évalué à 2.
euh le truc te demande si :
-tu veux arrêter l'ordinateur en passant les maj
-l'arrêter tout court.
En tout cas de ce que j'ai vu sur l'ordi de ma compagne c'est comme ça elle n'a jamais été forcée de les passer à l'arrêt de son portable.
Il y'a plein de trucs merdique sous windows, pas la peine d'en rajouter.
[^] # Re: Comment est-ce possible?
Posté par fearan . Évalué à 4.
ça doit dépendre de la conf alors. Sur mon portable (win7) ça me le fait systématiquement, j'ai pas le choix.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Comment est-ce possible?
Posté par gnumdk (site web personnel) . Évalué à 3.
Ceci n'existe plus depuis Windows Vista, maintenant, c'est arrêt avec mise à jour ou rien...
J'ai jamais essayé avec la commande shutdown pour voir si on pouvait s'en sortir par là.
[^] # Re: Comment est-ce possible?
Posté par Psychofox (Mastodon) . Évalué à 1.
ma compagne a un windows 7 donc soit ils ont réintroduit la fonctionnalité depuis, soit tu te trompes, soit ça dépend de "l'édition" (pro / home / premium ou pas) dudit windows 7 ?
[^] # Re: Comment est-ce possible?
Posté par Psychofox (Mastodon) . Évalué à 2.
après vérification, vous avez raison.
Cela-dit il préviens, donc comme tu le sais tu peux choisir de suspendre ou mettre en veille prolongée ton pc à la place dans le cas d'un besoin rapide. D'ailleur c'est ce qui se passe quand on rabat son écran par défaut non ?
[^] # Re: Comment est-ce possible?
Posté par TImaniac (site web personnel) . Évalué à 3.
Moi j'utilises une autre technique : je lui dis de me prévenir avant d'installer une mise à jour (il les télécharges et une notification me prévient). Comme ça, quelque soit sa technique pour l'appliquer, ca sera forcement à un moment où je l'aurai décidé.
# Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à -10.
Windows, lui, il a un système de mise à jour, ouais.
Mais linux, y'a un système de mise à jour (efficace ou non) ?
Ça « tout se taper à la main, téléchargement, configuration, installation, » j'appelle pas ça une mise à jour, mais une migration dans la douleur…
Tu m'aurais dit FreeBSD, j'aurais laissé passer, mais là, ton commentaire sent tellement l'ironie que je ne sais trop que penser…
[^] # Re: Ah ouais ?
Posté par Lutin . Évalué à 10.
ermerge --sync && emerge -auDNv world
apt-get upgrade
pacman -Syu
C'est super simple pourtant.
[^] # Re: Ah ouais ?
Posté par Fopossum . Évalué à 2.
Soyons honnêtes tout de même :)
Mais le fait est que ça fonctionne parfaitement en général quand on prend le temps de lire les messages post merge.
cd /pub && more beer
[^] # Re: Ah ouais ?
Posté par totof2000 . Évalué à 5.
Pour ceux qui préfèrent la MAJ via interface graphique, certaines distributions ont ce qu'il faut et te préviennent que des mises à jour sont dispo. Yakakliker pour ceux qui préfèrent.
[^] # Re: Ah ouais ?
Posté par Fopossum . Évalué à 4.
Je me rends compte que j'aurais dû détailler les commandes pour que tout le monde puisse comprendre le système de mise à jour sous Gentoo.
layman -S permet de mettre à jour les dépôts tiers (ou le dépotoir comme vous voulez). En général, ce sont des programmes qui ne seront jamais "main" ou dans des versions en avance sur l'arbre normale
emerge --sync récupère l'arbre portage, c'est à dire les ebuilds (qui décrivent comment compiler et installer les programmes avec les dépendances listées) et les patches spécifiques pour que cela compile
emerge -uDNq @installed permet de mettre à jour tout le système, pas uniquement le set "world" ou "system". Disponible avec portage 2.2.XX. Les options que j'utilise sont --update --deep --newuse --quiet, soit -uDNq. Le quiet n'est pas grave puisque je loggue toutes les sorties d'emerge séparément.
emerge -q @preserved-rebuild permet de recompiler les programmes cassés par une mise à jour. Alors, en fait, c'est un poil plus vicieux. Portage, lors d'une mise à joour d'une lib, garde les anciennes jusqu'à ce que l'on recompile les programmes en dépendant pour prendre en compte la nouvelle version. Donc, cette commande néttoie au passage les anciennes libs gardées pour ne pas casser complètement le système. Disponible avec pportage 2.2.XX. La comande pour les version de portage inférieures est revdep-rebuild, disponible dans le gentoolkit.
dispatch-conf permet de merger les nouveaux fichiers de configuration de manière intéractive. Il présente un diff des deux fichiers de conf et demande ce que l'utilisateur veut faire, soit, supprimer l'ancien, merger les deux.
cd /pub && more beer
[^] # Re: Ah ouais ?
Posté par gnumdk (site web personnel) . Évalué à 4.
Et c'est avec ce genre d'exemples que je comprends pourquoi je n'utilise pas une distrib comme Gentoo... :)
[^] # Re: Ah ouais ?
Posté par Marotte ⛧ . Évalué à 1.
Moi aussi je trouve ça plus simple chez Debian. Mais ce n'est probablement qu'une question d'habitude.
[^] # Re: Ah ouais ?
Posté par gnumdk (site web personnel) . Évalué à 2.
Mwai, enfin le principal problème, c'est surtout le temps que ca prend...
[^] # Re: Ah ouais ?
Posté par Fopossum . Évalué à 3.
Le problème si situe surtout lors de l'installation initiale de la machine.
Pour les mises à jour, si tu les fais au fil de l'eau, c'est plutôt transparent. Et vu les processeurs actuels, ça va de plus en plus vite.
Rajoutes à ça la possibilité de faire de la compilation distribuée avec distcc et tu gagnes encore plus en vitesse d'installation.
Après, chacun ses goûts :) Pour ma part, j'utilise Gentoo sur ma machine principale et sur mon HTPC. Le netbook est sous Mageia et le NAS sous OpenMediaVault (Debian).
Le gros avantage de Gentoo, c'est la customisation des dépendances. L'amélioration des performances, c'est du pipeau, ça fonctionne aussi vite ou aussi lentement que le reste. Mais pouvoir mettre un "USE=-gnome" ça n'a pas de prix :)
Un des autres avantages est que la distrib est comme Debian, une de celle qui supporte le plus d'architectures. Donc, ça fonctionne aussi bien sur du SPARC que sur du amd64 et ça, c'est plutôt pas mal.
cd /pub && more beer
[^] # Re: Ah ouais ?
Posté par claudex . Évalué à 2.
Ce n'est pas le même but non plus. Le but avec Gentoo, c'est de te faire configurer tout (ou presque) toi-même. On peut ne pas aimer mais it's not a bug, it's a feature.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Ah ouais ?
Posté par Anonyme . Évalué à 4.
Pour rejoindre le commentaire de Fopossum< :
pacman -Syucorrespond àaptitude update && aptitude full-upgrade.[^] # Re: Ah ouais ?
Posté par Lutin . Évalué à 1.
J'ai regardé la doc debian en vitesse, au temps pour moi.
[^] # Re: Ah ouais ?
Posté par Niniryoku . Évalué à 1.
Ou pas… Chez moi, j'ai une notification « mise à jour disponible » avec une belle notification Gnome 3*. Je clique, ça fait tout à ma place, pas besoin de taper
sudo yum -y upgradeet mon mot de passe.* Oui, je sais, je suis un Kevin.
Knowing the syntax of Java does not make someone a software engineer.
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à -6.
Aucun n'est propre à Linux.
Ce sont des outils fournis par certaines distributions.
[^] # Re: Ah ouais ?
Posté par briaeros007 . Évalué à 2.
en même temps, un peu normal qu'aucun outil ne soit propre à un noyau, non ?
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 1.
Ouais, c'est bien ce que je dis…
[^] # Re: Ah ouais ?
Posté par zebra3 . Évalué à 10.
LOL. Le gars qui est resté sur une distribution de 1993.
Quand je me loggue, j'ai dans le coin un message « x nouvelles mises à jour », je clique sur « mettre à jour », je clique sur OK sur la fenêtre qui s'ouvre et le téléchargement, la configuration et l'installation se font tous seuls.
Et j'ai rarement à redémarrer.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ah ouais ?
Posté par totof2000 . Évalué à 2.
Il y a quand même un bémol dans le procédé de mise à jour : le systèmefait la mise à jour des paquets un à un, et demande parfois des renseignements du style "voulez vous mettre à jour les fichiers de conf", ou "voulez vous accepter telm ou tel contrat de licence". C'est assez gênant : ça impose de rester à côté de la machine pendant la mise à jour, et exclut par exemple de faire une mise à jour la nuit.
[^] # Re: Ah ouais ?
Posté par Marotte ⛧ . Évalué à 2.
Dans le manuel d'aptitude
Je ne sais pas si ça s'applique à l'installation d'un nouveau fichier de configuration. De toute façon si on a modifié le fichier de configuration d'un serveur, il vaut mieux bien regarder quelles modifications vont être effectuées par la mise à jour, et éditer à la main si la fusion est impossible...
[^] # Re: Ah ouais ?
Posté par totof2000 . Évalué à 2.
C'est pas propre à un serveur, mais à un poste bureautique, et c'est sous Ubuntu. avec MAJ via interface graphique.
[^] # Re: Ah ouais ?
Posté par Grunt . Évalué à 5.
Accepter des CLUF sans les lire, en utilisant la commande "-y", c'est un peu comme pré-signer des chèques en blanc, non?
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Ah ouais ?
Posté par Marotte ⛧ . Évalué à 0.
Oui mais quand tu as lu le CLUF une fois, t'as pas forcément envie de le relire à chaque mise à jour. Oui je sais il a pu changer mais bon...
[^] # Re: Ah ouais ?
Posté par totof2000 . Évalué à 1.
Le processus de mise à jour pourrait également te proposer tous les CLUF avant la phase d'installation.
[^] # Re: Ah ouais ?
Posté par Kerro . Évalué à 1.
Tient, ben comme sous Windows :-)
[^] # Re: Ah ouais ?
Posté par totof2000 . Évalué à 3.
Hereusement qu'il y a quand même des trucs bien sous Windows :)
Je n'aime pas windws, mais tout n'est pas à jeter, loin de là.
[^] # Re: Ah ouais ?
Posté par briaeros007 . Évalué à 6.
suffit de n'avoir que le dépot "main" non ?
[^] # Re: Ah ouais ?
Posté par zebra3 . Évalué à 2.
Ça dépend du système. C'est le comportement d'APT, mais pas de PackageKit qui peut l'utiliser comme backend.
De plus, l'affichage de la licence me paraît tout de même assez rare, le seul cas que je connaisse est la JVM de Sun, sinon je ne l'ai jamais vu.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ah ouais ?
Posté par totof2000 . Évalué à 2.
licences Microsoft pour certaines polices utilisées dans Wine par exemple.
[^] # Re: Ah ouais ?
Posté par nono14 (site web personnel) . Évalué à 3.
DPkg::Options --force-confold ?
Système - Réseau - Sécurité Open Source
[^] # Re: Ah ouais ?
Posté par Altor . Évalué à 1.
Tiens, moi à la fin des mises à jour, il me demande ce que je veux faire des nouveaux fichiers de configuration. Au choix, je peux garder les anciens, les remplacer par les nouveaux, effectuer un diff, garder les anciens et nommer les nouveaux .new (pour voir plus tard) et enfin, merger les deux fichiers.
Du coup, la mise à jour se fait tranquillement, et à la fin je décide.
Tout est tellement plus simple avec slackware.
[^] # Re: Ah ouais ?
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 1.
Idem sous Salix.
Tu peux installer les mises à jour, et voir pour les nouveaux de fichiers de conf plus tard, quand tu veux, quand t'as le temps. Pas de question, pas d’interaction quelconque lors de la mise à jour d'un ou plusieurs paquet sous Slackware/Salix.
Et y'a un système de notification des mises à jour sur Salix entièrement graphique pour ceux qui veulent tout faire au clic...Cette notification est une notification classique avec une icone qui s'ajoute dans la zone de notification (d'où son nom), quand tu cliques dessus, ça lance le gestionnaire de paquet pour installer les mises à jour.
Ça t'empêche pas de bosser, ça te (re)demande pas 15 fois d'installer les mises à jour ou de redémarrer. C'est quand même pas compliqué de faire un système de mise à jour simple.
[^] # Re: Ah ouais ?
Posté par gnumdk (site web personnel) . Évalué à 2.
Mwai, enfin c'est pareil sur toute les distribs à base de dpkg, faut sortir de votre grotte les gars :) J'imagine que Gentoo le gère aussi.
[^] # Re: Ah ouais ?
Posté par briaeros007 . Évalué à 4.
Ah ? moi il a la mauvaise manie de me poser les questions au beau milieu.
Tu as une idée de l'option à mettre dans apt-conf ou équivalent ?(oui j'ai pas envie de chercher).
[^] # Re: Ah ouais ?
Posté par Fopossum . Évalué à 2.
Toutafé, c'est que je signalais par le "dispatch-conf" de mon commentaire plus haut. On peut aussi utiliser "etc-update".
Il est vrai que j'aurais p'tet dû décortiquer un peu la longue suite de commandes pour les non-utilisateurs de gentoo.
cd /pub && more beer
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à -3.
Quand je me loggue, j'ai une console, tt aucun message dans un coin me disant qu'il y a des mises à jour.
Par ailleurs, c'est encore un truc de ta distribution, pas de Linux.
Je me gourre peut-être, mais je pense que la plupart des gens qui utilisent une LFS n'a pas ton petit message dans le coin.
[^] # Re: Ah ouais ?
Posté par totof2000 . Évalué à 2.
On s'en fiche que ce soit un truc propre à la distribution ou pas. Le principal est que si tu veux ne pas te prendre la tête avec les mises à jour, tu peux.
L'ordinateur de ma femme et de ma fille sont sous Ubuntu : ma femme lance elle-même les mises à jour mineures, et je m'occupe des mises à jour majeures.
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Ben non, c'est justement ça que je commente.
C'est la distro qui file les outils, pas Linux.
D'où mon commentaire sur FreeBSD qui, lui, est un OS, et qui file de quoi mettre à jour.
[^] # Re: Ah ouais ?
Posté par zebra3 . Évalué à 4.
Et alors ? Tu utilises Linux sans distro, toi ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 1.
Aucun rapport avec le sujet…
Et de toute façon, les distros sans système de mise-à-jour existent…
[^] # Re: Ah ouais ?
Posté par zebra3 . Évalué à 1.
Comment ça, aucun rapport ?
Tu affirmes que Linux n'a pas de système de mise à jour, je te réponds que si, avec les distributions.
Oui, mais celles avec aussi. Donc dire que Linux est pourri parce que Windows en a un et pas Linux, c'est faux.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Tu seras gentil de citer le passage où je dis que linux est « pourri. »
Je fais simplement la distinction entre Linux et les distros. Certaines distros ont des systèmes de mise-à-jour, et c'est orthogonal à Linux. Je commente donc le fait qu'on puisse avoir linux sans système de mise-à-jour (donc le « oui, mais celles avec aussi » est aussi pertinent que de répondre « oui, mais il y a du saucisson » à celui qui te dit qu'il n'y a plus de coca dans le frigo…)
Je crois bien en revanche que tous les windows actuellement en vente ont un système de mise-à-jour, et tant pis pour ton amour propre.
[^] # Re: Ah ouais ?
Posté par totof2000 . Évalué à 2.
Sur ubuntu, quand je me logue en console, j'ai un message qui me dit qu'il y a des mises à jour disponible. Il est possible que ce soit le cas pour d'autres distributions.
[^] # Re: Ah ouais ?
Posté par gnumdk (site web personnel) . Évalué à 1.
C'est pas un truc propre à la distribution, toute les distribs avec un gestionnaire de paquet ont ce genre d'utilitaires.
[^] # Re: Ah ouais ?
Posté par zebra3 . Évalué à 2.
En même temps, Linux arrive rarement tout seul. Avec juste le noyau, je ne fais rien.
Quand tu utilises Linux, c'est forcément avec une distribution, et chacune utilise un système de paquets.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ahouais ?
Posté par Juke (site web personnel) . Évalué à 6.
non
non
[^] # Re: Ah ouais ?
Posté par wismerhill . Évalué à 6.
Ça aussi c'est pas dans Linux, si tu as une console c'est que tu a installé des trucs en plus.
(quand on jour au con, autant aller jusqu'au bout)
[^] # Re: Ah ouais ?
Posté par Albert_ . Évalué à 2.
http://www.zdnet.co.uk/blogs/jamies-mostly-linux-stuff-10006480/windows-update-never-stops-sucking-10024734/
C'est tellement mieux en effet les mises a jour Windows. :D
[^] # Re: Ah ouais ?
Posté par alice . Évalué à 10.
Windows, lui, il a un système de mise à jour, ouais.
Qui a le bon goût de se lancer lorsque tu éteins ta machine en te disant "surtout n'éteignez pas votre machine".
C'est tellement pratique, surtout sur un portable...
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 0.
J'ai jamais dit qu'il était bien…
[^] # Re: Ah ouais ?
Posté par zebra3 . Évalué à 6.
Non, mais critiquer les systèmes de mises à jours des distributions de Linux en citant celui de Windows, faut oser…
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à -4.
Windows est un OS, il a un système de mise-à-jour.
FreeBSD est un OS, il a un système de mise-à-jour.
Linux n'est pas un OS, et il n'a pas de système de mise-à-jour.
La distribution Machin est un OS, et elle a (souvent) un système de mise-à-jour quand l'OS utilise Linux.
Mais Machin/Linux n'est pas Linux.
[^] # Re: Ah ouais ?
Posté par Marotte ⛧ . Évalué à 1.
La distribution Debian GNU/kFreeBSD est un OS, elle a un système de mise à jour malgré qu'elle n'utilise pas Linux :)
Comment ça c'est juste pour contredire ? Ah oui tiens.
[^] # Re: Ah ouais ?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Ben, ça me contredit pas. J'ai rien dit que la distribution utilise un autre noyau, et c'est justement pour ça que j'ai précisé.
Quand A implique B et qu'on n'a pas A, ça ne veut pas dire qu'on n'a pas B non plus, hein…
[^] # Re: Ah ouais ?
Posté par Marotte ⛧ . Évalué à 0.
Une logique approximative ça ne pardonne pas sur linuxfr !
Effectivement tu as raison. Tu avais dit quand et pas seulement quand. Je file réciter cent fois mes tables de vérité...
[^] # Re: Ah ouais ?
Posté par zebra3 . Évalué à 6.
Ben si c'est pas la même chose, pourquoi tu compares un noyau à des OS ?
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: Ah ouais ?
Posté par gnumdk (site web personnel) . Évalué à 6.
Kernel32 n'est pas un OS, il n'a pas de système de mise à jour.
Tu veux en venir ou au fait, parce que on comprend rien là ...
[^] # Re: Ah ouais ?
Posté par Laurent Mouillart . Évalué à 0.
Sur MacOS c'est le même bazar.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.