Journal [MS11-083] Vulnérabilité dans la pile TCP/IP de Windows permettant l'execution distante de code

23
9
nov.
2011

Microsoft a publié hier une alerte de vulnérabilité concernant une faille assez critique présente dans Windows Vista, Windows 7 et Windows Server 2008. Trois fois rien, puisqu'elle permet à un attaquant d'exécuter du code à distance… en envoyant des paquets sur un port UDP… fermé.

Heureusement, Windows ayant un système de gestion des mises à jour beaucoup plus efficace que celui de Linux, on peut espérer que le correctif sera poussé sur la majorité du parc avant la publication d'un POC.

  • # Ouaah

    Posté par . Évalué à  5 .

    T'es sérieux là ? Comment c'est possible un truc pareil ????

    • [^] # Re: Ouaah

      Posté par . Évalué à  7 .

      Sûrement une backdoor de la NSA !

    • [^] # Re: Ouaah

      Posté par . Évalué à  1 .

      Je ne comprend pas pourquoi il y'a une application qui écoute sur ce port UDP alors que le firewall le bloque (par défaut à priori)... Logique Microsoft?

      • [^] # Re: Ouaah

        Posté par . Évalué à  1 .

        Peut-être que c'est l'application qui fait les mises à jour de sécurité ?

        • [^] # Re: Ouaah

          Posté par . Évalué à  1 .

          si c'est l'application qui fait les MAJ sécurité, pourquoi le firewall bloque cette application?

          • [^] # Re: Ouaah

            Posté par . Évalué à  4 .

            Parce qu'il a détecté qu'elle n'est pas sûre !

      • [^] # Re: Ouaah

        Posté par (page perso) . Évalué à  6 .

        Ben si la faille est dans le firewall...

        • [^] # Re: Ouaah

          Posté par . Évalué à  2 .

          ...Si la faille est dans le firewall, c'est tout les ports UDP qui sont concernés.
          Je suis sceptique malgré tout : Pour moi, pour exécuter du code à distance sur une machine, il faut un processus quelconque qui "écoute" sur un port donné. Le firewall n'écoute pas, il regarde juste le numéro de port et autorise, bloque ou rejette le paquet, il ne traite pas le contenu. Même si le firewall fonctionne à un niveau plus élevé (firewall dit applicatif), il se contente de lire "l'étiquette" du paquet, pas son contenu. Impossible alors d’exécuter du code avec le firewall.

          Dans tout les cas, personne ne m'a encore donné une raison valable au fait de bloquer un port sur lequel une application écoute...

          • [^] # Re: Ouaah

            Posté par . Évalué à  4 .

            Même si le firewall fonctionne à un niveau plus élevé (firewall dit applicatif), il se contente de lire "l'étiquette" du paquet, pas son contenu.

            Cela serait "rigolo" si en realite le firewall de ce systeme regardait le contenu...

          • [^] # Re: Ouaah

            Posté par . Évalué à  3 .

            Arf, je viens de comprendre : on ne parle pas d'un port "bloqué", mais d'un port "fermé", donc sur lequel aucune application n'écoute...

          • [^] # Re: Ouaah

            Posté par (page perso) . Évalué à  5 .

            Le firewall n'écoute pas, il regarde juste le numéro de port et autorise, bloque ou rejette le paquet, il ne traite pas le contenu.

            Pour le firewall, le paquet est le contenu, et pour décider quoi en faire, il le traite. Y'a de la données, un traitement logiciel, il y a donc de potentiels bugs/failles qui peuvent être mises en évidence avec des données corrompus (volontairement ou non).

            • [^] # Re: Ouaah

              Posté par (page perso) . Évalué à  7 .

              D'après le bulletin le problème vient de la façon dont sont manipulés en mémoire les paquets reçus par la stack TCP/IP du kernel en cas de réception d'un flot continue de paquets conçu spécialement pour exploiter le problème. On peut très bien imaginer un débordement de tampon, faille classique qui peut conduire à transformer de la donnée en code exécutable.

              • [^] # Re: Ouaah

                Posté par . Évalué à  -3 .

                Ok, je comprend mieux maintenant : c'est vraiment des tocards, si il y'a bien un truc à surveiller pour éviter les débordement de tampon, c'est la pile TCP/IP.

                Enfin, c'est pas comme si ils n'avaient jamais eu ce genre de failles...

                • [^] # Re: Ouaah

                  Posté par (page perso) . Évalué à  4 .

                  Euh, c'est plutôt : pour éviter les failles il faut surveiller les débordement de tampon, pas plus dans la pile TCP/IP qu'ailleur. Dès que de la donnée est manipulée on y fait fasse.
                  Ensuite ce n'est qu'une hypothèse que j'émets, ca n'a peut être aucun rapport avec un débordement de tampon.

                  c'est vraiment des tocards

                  Oué des tocards y'en a beaucoup :
                  http://secunia.com/advisories/search/?search=buffer+overflow+linux

                  • [^] # Re: Ouaah

                    Posté par . Évalué à  5 .

                    on y fait fasse

                    Toi, il faudrait que tu face attention à ton orthographe :-)

                    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                    • [^] # Re: Ouaah

                      Posté par . Évalué à  8 .

                      Le bug n'était pas que dans la pile.

                • [^] # Re: Ouaah

                  Posté par . Évalué à  5 .

                  Une pile réseau est un code très complexe, difficile à maintenir et avec beaucoup d'états différents ; je ne connais pas un seul système mainstream qui n'ai jamais eu de vulnérabilités, même OpenBSD.

                  • [^] # Re: Ouaah

                    Posté par . Évalué à  3 .

                    Même Haiku ?

                    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                    • [^] # Re: Ouaah

                      Posté par . Évalué à  3 .

                      Le monsieur a dit mainstream.

                      • [^] # Re: Ouaah

                        Posté par . Évalué à  5 .

                        BeOS alors ?

                        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                      • [^] # Re: Ouaah

                        Posté par . Évalué à  5 .

                        le monsieur a dit OpenBSD...

                        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

                        • [^] # Re: Ouaah

                          Posté par . Évalué à  2 .

                          Avoue que OpenBSD est un poil plus répandu que Haïku.

                          • [^] # Re: Ouaah

                            Posté par . Évalué à  1 .

                            honnêtement je n'en ai aucune idée, j'imagine que oui, en serveur. Vu que mainstream veut dire "grand public", je ne sais pas si OpenBSD est beaucoup plus grand public...

                            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

                  • [^] # Re: Ouaah

                    Posté par . Évalué à  -5 .

                    Puis on sait qui a bosser sur cette pile. Cela etonne moins tout de suite...

                    • [^] # Re: Ouaah

                      Posté par . Évalué à  2 .

                      fait gaffe, on va bientôt dire que c'était une backdoor de linuxfr qui l'a lachement entrainé ici pour qu'il trolle et s'occupe moins de sa pile.

    • [^] # Re: Ouaah

      Posté par . Évalué à  1 .

      Comment peux tu poser cette question? On parle de Microsoft ici tout de meme et de son fabuleux systeme, seul systeme qui se fait foutre en l'air en quelques minutes si tu n'as pas d'antivirus...

    • [^] # Re: Ouaah

      Posté par . Évalué à  9 .

      C'est très simple: ils ont cessé d'utiliser du code BSD pour la pile TCP/IP, et ils la développent en interne, maintenant. Ça explique tout :)

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: Ouaah

        Posté par . Évalué à  6 .

        Pour mettre les choses en perspective, ça fait 17 ans qu'une release de Windows (NT 3.5) est sortie avec une stack TCP/IP développée en interne. Reçasser sans cesse l'histoire de la pile de Spider (celle qui était utilisée avant, pour NT 3.1) c'est bien gentil, mais c'est un peu comme si on se mettait aujourd'hui à balancer à tout va "ouai on peut faire du SMP sous Linux maintenant, c'est trop bien". (d'ailleurs en checkant les dates, je me rends compte qu'on peut faire du SMP sous Linux depuis moins de temps :P )

  • # Comment est-ce possible?

    Posté par (page perso) . Évalué à  2 .

    Si quelqu'un qui connaît bien le domaine pouvait m'expliquer pourquoi on a année après année ce genre de vulnérabilités, alors que pour sécuriser un port fermé, il me semble qu'il suffit d'ignorer ce qui y est envoyé. C'est si difficile que ça?

    Sinon, je ne sais pas si la dernière phrase est ironique, mais je crois qu'on peut dire que le système de diffusion de correctifs de Microsoft est assez efficace, même si une option pour choisir quand ces mises à jour sont installées serait sympa. (et pas forcément quand on éteint le PC à la fin de la journée et qu'on a un train à attraper...

    • [^] # Re: Comment est-ce possible?

      Posté par (page perso) . Évalué à  3 .

      http://blogs.technet.com/b/srd/archive/2011/11/08/assessing-the-exploitability-of-ms11-083.aspx

      Visiblement c'est au niveau du tracking des connexions qu'il y a un soucis.

      Une autre hypothèse à ce sujet a aussi été émise ici:
      http://www.twitlonger.com/show/e30d0n

      • [^] # Re: Comment est-ce possible?

        Posté par (page perso) . Évalué à  7 .

        Donc pour les mal comprenants il y a un leak d'un compteur de référence qui pourrait amener le noyau à libérer de la mémoire utilisée. Cette mémoire pourrait donc être réutilisée par quelque chose d'autre et si on a bien calculé son coup on peut potentiellement faire exécuter du code arbitraire.

        Le payload n'a pas besoin d'être dans le paquet UDP. Il peut très bien se retrouver dans la mémoire du noyal via l'utilisation d'un service existant sur le même système (dans un header HTTP par exemple au hasard).

        Bon en pratique si quelqu'un arrive à écrire un exploit pour ça, je demande quand même à voir.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question. | Free Softwares Users Group Arlon, Belgique : http://fsugar.be/

    • [^] # Re: Comment est-ce possible?

      Posté par . Évalué à  6 .

      Pour connaitre le port il faut déjà que tu puisses lire le paquet, sinon tu ne peux pas savoir si tu dois le rejeter ou pas, ca veut dire que le paquet doit passer par au moins une bonne partie de la pile UDP/IP et c'est à-prioris là où se trouve la vulnérabilité.

      • [^] # Re: Comment est-ce possible?

        Posté par . Évalué à  1 .

        Je ne comprend pas : le paquet arrive sur le niveau UDP de la pile. Le programme traite l'entête du paquet en premier, histoire de savoir ce qu'il en fait de ce paquet, il ré assemble le message et cherche une application à qui transmettre le message, mais en aucun cas (a ma connaissance) il ne lit le champ DATA du datagramme. c'est le boulot de la couche application ça, mais si aucune application "n'écoute sur ce port", le paquet n'est pas lu il me semble.

        A moins que je n'ai rien compris à TCP/IP, chaque couche ne lit que l'entête associé, pas le contenu.

        • [^] # Re: Comment est-ce possible?

          Posté par . Évalué à  1 .

          Le port se trouve dans le header UDP, et pas dans les données du paquet.

          • [^] # Re: Comment est-ce possible?

            Posté par . Évalué à  2 .

            Ça change rien, le tout arrive en un seul morceau.

            • [^] # Re: Comment est-ce possible?

              Posté par . Évalué à  3 .

              pas forcément.

              La carte réseau peut pousser directement le paquet udp en mémoire (dma toussa), et toi tu fais juste une lecture du header (pas de manipulation de donnée, juste de la lecture).

              De cette façon, des données corrompues -> t'en fous, pas lu
              des données trop grosses -> tu t'en fous, elles sont pas écrites (il faut que la carte réseau soit "ok" aussi et/ou une IOMMU. Mais bon, on va supposer que le matos n'est pas vérolé sinon on en sort pas ^^).
              Un header corrompu -> euh c'est des champs de tailles fixes en udp, donc au pire un integer overflow, mais ca ce résoud assez facilement au niveau binaire.
              (en supposant un paquet forger, ie avec un checksum correct).
              buffer overflow -> ben non tu ne regardes que des données de tailles fixés et fixe (port)

              Il n'y a aucune option en udp, donc toute l'entête est vraiment statique niveau taille.

              Ensuite je suis une bille en dvp noyau, donc pe qu'il est plus intéressant pour eux de tout copier etc...

              Mais bon, une attaque comme ça sur tcp serait plus logique (paramètres d'options), même si elles ne devraient arriver que pour le routage et/ou un port ouvert.
              (Un port fermé, hop RST et basta.
              En udp hop droppage paquet et basta).

        • [^] # Re: Comment est-ce possible?

          Posté par . Évalué à  2 .

          La couche UDP peut potentiellement avoir envie de vérifier le checksum du paquet, pour ça, il faut lire le champ data, en plus de lire le header udp et une partie du header IP...

          Après, sous linux, ce checksum est fait après le routage, sauf s'il est déjà fait par la carte réseau.

          • [^] # Re: Comment est-ce possible?

            Posté par . Évalué à  2 . Dernière modification : le 10/11/11 à 10:10

            Autant pour moi, j'avais pas pensé au checksum sur les data, je suis resté sur celui ip qui est seulement sur les headers /o\

    • [^] # Re: Comment est-ce possible?

      Posté par . Évalué à  2 .

      même si une option pour choisir quand ces mises à jour sont installées serait sympa. (et pas forcément quand on éteint le PC à la fin de la journée et qu'on a un train à attraper...

      Je ne vois pas où est ton problème : Windows sait parfaitement faire l'installation des mises à jour, puis éteindre la machine... Tu n'as donc pas à rester devant et à attendre !

      • [^] # Re: Comment est-ce possible?

        Posté par . Évalué à  10 .

        Ou alors il te vole le focus pendant que tu tape un texte et affiche la boite de dialogue pour redémarrer le système. Et comme tu tapais sur le clavier à ce moment là, ça lance le redémarrage et tu perd tout ton travail. True Story.

        • [^] # Re: Comment est-ce possible?

          Posté par . Évalué à  3 .

          bon le problème c'est l'éternelle gestion des fenêtre pourrie de windows, pas tellement du processus de maj.

          • [^] # Re: Comment est-ce possible?

            Posté par . Évalué à  10 .

            euh un process de maj qui vient te relancer toutes les 45 min "voulez vous redémarrer l'ordi j'ai installé des maj" alors que tu lui a dis "non" 15 fois, j'appelle ça un process un peu pourri quand même.

            • [^] # Re: Comment est-ce possible?

              Posté par . Évalué à  3 .

              La technique pour contrer ça : ne pas répondre à la question, et mettre la fenêtre dans un coin.

              • [^] # Re: Comment est-ce possible?

                Posté par . Évalué à  7 .

                Ah mais non c'est la qu'ils sont malins chez Microsoft. Si tu reponds pas cela redemarre tout seul au bout de quelques minutes. Non mais quand des c... veulent te faire chier il le font jusqu'au bout!

                • [^] # Re: Comment est-ce possible?

                  Posté par . Évalué à  2 .

                  D'un autre côté, s'ils faisaient pas ça, y'aurait encore plus de gens qui ne feraient pas les MAJ de sécurité, et on dirait encore plus "Windows c'est sale, y'a 80% des Windows qui sont vérolés."

                  THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                  • [^] # Re: Comment est-ce possible?

                    Posté par . Évalué à  1 .

                    Ben les rares fois ou je demarre mon ordi sous ce systeme (ben oui j'ai plus le temps de jouer) c'est pourtant ce que j'ai comme comportement mais cela a pu changer avec la version 7. Je suis en train de jouer et hop pop up qui me dit qu'il va faire un upgrade et rebooter et qui me pete mon jeu par la meme occasion.

                    • [^] # Re: Comment est-ce possible?

                      Posté par (page perso) . Évalué à  7 .

                      J'hallucine ou le mec qui défèques sur Microsoft à longueur de journée l'utilise pour son plaisir ? (alors que pour jouer il aurait pu jouer à ces centaines de jeux libres dispo sur un OS libre)

                      • [^] # Re: Comment est-ce possible?

                        Posté par (page perso) . Évalué à  3 .

                        Pff, faut suivre, il l'avait déjà dit qu'il avait un windows sur son ordinateur et je lui avait dit que c'était trop l'achouma :)

                        De toute façon, les gamers, moi je les aime pas trop, surtout quand il se proclame geeks tout cela parce qu'ils passent leur vie à jouer à des jeux vidéo ou à regarder noob-tv ...

                        • [^] # Re: Comment est-ce possible?

                          Posté par (page perso) . Évalué à  4 .

                          oué mais ca aurait pu être une contrainte, genre utilisation d'un soft pour le taf ou une connerie dans le genre, non, là c'est pour s'amuser. Presqu'il serait content que Microsoft est construit avec d'autres éditeurs un éco-système vidéo-ludique.
                          C'est d'autant plus risible que sa posture est généralement purement idéologique sans aucune argumentation technique pragmatique.

                          • [^] # Re: Comment est-ce possible?

                            Posté par . Évalué à  7 .

                            D'un autre côté, je me demande combien de linuxiens qui se la jouent puriste ont à côté une console de jeu totalement propriétaire. Et je ne vois pas trop la différence entre un PC + Windows + jeux, et une console de jeu + jeux.

                            Si on revient aux "sources" des raisons d'utiliser des logiciels libres, certaines de ces raisons (la sécurité, la confidentialité des données personnelles, la possibilité de sauvegarder dans des formats ouverts..) deviennent caduques si on ne se sert de logiciels propriétaires que pour jouer.

                            Au contraire, mettre en avant les avantages du libre dans ces domaines, mais malgré tout confier des données personnelles, ou bien du travail important, à un système propriétaire, c'est ça qui est étonnant. Ne pas pouvoir récupérer ses sauvegardes de jeu sur une version plus récente du jeu est moins grave que de ne pas pouvoir récupérer son travail sur une version plus récente d'un progiciel. Se faire piquer ses meilleurs scores par un éditeur sournois est moins grave que se faire piquer son album de photos de famille, ou ses mails, par un éditeur sournois.

                            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                            • [^] # Re: Comment est-ce possible?

                              Posté par . Évalué à  2 .

                              j'ai une console de jeux propriétaire (enfin j'ai essayé d'installé tutux mais ils me l'ont viré ces cons :'( )... et un frigo propriétaire , et une montre propriétaire, et un bios propriétaire et ...

                      • [^] # Re: Comment est-ce possible?

                        Posté par . Évalué à  2 .

                        s/plaisir/loisir/ mais bon demander a un fan boy de ne plus avoir d'oeilleres c'est un peu difficile...

                        Cela me rappelle le boulot ou les personnes developpant sous Linux et MacOSX font en sorte que leurs developpement soient au maximum multiplateformes alors que les windowsiens soit disant super ouvert et qui traitent d'integriste les linuxiens font en sorte de n'utiliser que des trucs tel que .Net et ActivX... Mais ce sont les linuxiens les integristes hein?

                        Je ne me sers pas de windows pour le boulot car c'est un systeme bien trop autodestructeurs pour des trucs important mais j'ai paye, contraint et force, un licence de ce systeme et j'ai des jeux (le dernier date de 3 ans et je ne l'ai toujours pas fini...) qui ne tournent pas sous wine (surprise non?) donc comme j'ai droit d'utiliser (que je sache) ce que j'ai paye j'utilise ce systeme car les jeux en questions sont pour ce systeme.

                • [^] # Re: Comment est-ce possible?

                  Posté par . Évalué à  2 .

                  Ah bon ? Ben, soit ça a changé depuis XP (que j'utilise au boulot), soit c'est dans des cas particuliers (correctifs super graves ?), car je ne rencontre pas cela, moi...

            • [^] # Re: Comment est-ce possible?

              Posté par . Évalué à  2 .

              Non, il a juste l'opiniâtreté d'un Steve Jobs.

      • [^] # Re: Comment est-ce possible?

        Posté par . Évalué à  4 .

        Pas quand c'est un portable que tu dois ramener chez toi.

        Et rabattre l'écran en plein milieu d'une mise à jour est dangereux, j'ai faillit péter mon 7 comme ça.

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: Comment est-ce possible?

        Posté par . Évalué à  5 .

        super quand on doit partir et qu'on veut être certain que l'ordinateur ne va pas resté allumé (en cas de gel complète du système), super quand un électricien vient pour faire une intervention et doit couper le courant, super quand il y a de l'orage et qu'on veut débrancher la prise en vitesse...

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: Comment est-ce possible?

          Posté par . Évalué à  3 .

          windows est pas fourni avec un onduleur ?
          /me sort

        • [^] # Re: Comment est-ce possible?

          Posté par (page perso) . Évalué à  2 .

          Il faut faire redémarrer et l'éteindre au niveau du BIOS, c'est ca l'informatique par Microsoft.

        • [^] # Re: Comment est-ce possible?

          Posté par . Évalué à  2 .

          euh le truc te demande si :
          -tu veux arrêter l'ordinateur en passant les maj
          -l'arrêter tout court.

          En tout cas de ce que j'ai vu sur l'ordi de ma compagne c'est comme ça elle n'a jamais été forcée de les passer à l'arrêt de son portable.

          Il y'a plein de trucs merdique sous windows, pas la peine d'en rajouter.

          • [^] # Re: Comment est-ce possible?

            Posté par . Évalué à  4 .

            ça doit dépendre de la conf alors. Sur mon portable (win7) ça me le fait systématiquement, j'ai pas le choix.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

          • [^] # Re: Comment est-ce possible?

            Posté par (page perso) . Évalué à  3 .

            Ceci n'existe plus depuis Windows Vista, maintenant, c'est arrêt avec mise à jour ou rien...

            J'ai jamais essayé avec la commande shutdown pour voir si on pouvait s'en sortir par là.

            • [^] # Re: Comment est-ce possible?

              Posté par . Évalué à  1 .

              ma compagne a un windows 7 donc soit ils ont réintroduit la fonctionnalité depuis, soit tu te trompes, soit ça dépend de "l'édition" (pro / home / premium ou pas) dudit windows 7 ?

              • [^] # Re: Comment est-ce possible?

                Posté par . Évalué à  2 .

                après vérification, vous avez raison.

                Cela-dit il préviens, donc comme tu le sais tu peux choisir de suspendre ou mettre en veille prolongée ton pc à la place dans le cas d'un besoin rapide. D'ailleur c'est ce qui se passe quand on rabat son écran par défaut non ?

            • [^] # Re: Comment est-ce possible?

              Posté par (page perso) . Évalué à  3 .

              Moi j'utilises une autre technique : je lui dis de me prévenir avant d'installer une mise à jour (il les télécharges et une notification me prévient). Comme ça, quelque soit sa technique pour l'appliquer, ca sera forcement à un moment où je l'aurai décidé.

  • # Ah ouais ?

    Posté par (page perso) . Évalué à  -10 .

    Heureusement, Windows ayant un système de gestion des mises à jour beaucoup plus efficace que celui de Linux,

    Windows, lui, il a un système de mise à jour, ouais.

    Mais linux, y'a un système de mise à jour (efficace ou non) ?
    Ça « tout se taper à la main, téléchargement, configuration, installation, » j'appelle pas ça une mise à jour, mais une migration dans la douleur…

    Tu m'aurais dit FreeBSD, j'aurais laissé passer, mais là, ton commentaire sent tellement l'ironie que je ne sais trop que penser…

    • [^] # Re: Ah ouais ?

      Posté par (page perso) . Évalué à  10 .

      ermerge --sync && emerge -auDNv world
      apt-get upgrade
      pacman -Syu

      C'est super simple pourtant.

      • [^] # Re: Ah ouais ?

        Posté par . Évalué à  2 .

        ermerge --sync && emerge -auDNv world

        machine ~ # layman -S && emerge --sync && emerge -uDNq @installed && emerge -q @preserved-rebuild
        machine ~ # dispatch-conf
        
        

        Soyons honnêtes tout de même :)

        Mais le fait est que ça fonctionne parfaitement en général quand on prend le temps de lire les messages post merge.

        cd /pub && more beer

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  5 .

          Pour ceux qui préfèrent la MAJ via interface graphique, certaines distributions ont ce qu'il faut et te préviennent que des mises à jour sont dispo. Yakakliker pour ceux qui préfèrent.

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  4 .

          Je me rends compte que j'aurais dû détailler les commandes pour que tout le monde puisse comprendre le système de mise à jour sous Gentoo.

          layman -S permet de mettre à jour les dépôts tiers (ou le dépotoir comme vous voulez). En général, ce sont des programmes qui ne seront jamais "main" ou dans des versions en avance sur l'arbre normale

          emerge --sync récupère l'arbre portage, c'est à dire les ebuilds (qui décrivent comment compiler et installer les programmes avec les dépendances listées) et les patches spécifiques pour que cela compile

          emerge -uDNq @installed permet de mettre à jour tout le système, pas uniquement le set "world" ou "system". Disponible avec portage 2.2.XX. Les options que j'utilise sont --update --deep --newuse --quiet, soit -uDNq. Le quiet n'est pas grave puisque je loggue toutes les sorties d'emerge séparément.

          emerge -q @preserved-rebuild permet de recompiler les programmes cassés par une mise à jour. Alors, en fait, c'est un poil plus vicieux. Portage, lors d'une mise à joour d'une lib, garde les anciennes jusqu'à ce que l'on recompile les programmes en dépendant pour prendre en compte la nouvelle version. Donc, cette commande néttoie au passage les anciennes libs gardées pour ne pas casser complètement le système. Disponible avec pportage 2.2.XX. La comande pour les version de portage inférieures est revdep-rebuild, disponible dans le gentoolkit.

          dispatch-conf permet de merger les nouveaux fichiers de configuration de manière intéractive. Il présente un diff des deux fichiers de conf et demande ce que l'utilisateur veut faire, soit, supprimer l'ancien, merger les deux.

          cd /pub && more beer

          • [^] # Re: Ah ouais ?

            Posté par (page perso) . Évalué à  4 .

            Et c'est avec ce genre d'exemples que je comprends pourquoi je n'utilise pas une distrib comme Gentoo... :)

            • [^] # Re: Ah ouais ?

              Posté par . Évalué à  1 .

              Moi aussi je trouve ça plus simple chez Debian. Mais ce n'est probablement qu'une question d'habitude.

              • [^] # Re: Ah ouais ?

                Posté par (page perso) . Évalué à  2 .

                Mwai, enfin le principal problème, c'est surtout le temps que ca prend...

                • [^] # Re: Ah ouais ?

                  Posté par . Évalué à  3 .

                  Mwai, enfin le principal problème, c'est surtout le temps que ca prend...

                  Le problème si situe surtout lors de l'installation initiale de la machine.

                  Pour les mises à jour, si tu les fais au fil de l'eau, c'est plutôt transparent. Et vu les processeurs actuels, ça va de plus en plus vite.

                  Rajoutes à ça la possibilité de faire de la compilation distribuée avec distcc et tu gagnes encore plus en vitesse d'installation.

                  Après, chacun ses goûts :) Pour ma part, j'utilise Gentoo sur ma machine principale et sur mon HTPC. Le netbook est sous Mageia et le NAS sous OpenMediaVault (Debian).

                  Le gros avantage de Gentoo, c'est la customisation des dépendances. L'amélioration des performances, c'est du pipeau, ça fonctionne aussi vite ou aussi lentement que le reste. Mais pouvoir mettre un "USE=-gnome" ça n'a pas de prix :)

                  Un des autres avantages est que la distrib est comme Debian, une de celle qui supporte le plus d'architectures. Donc, ça fonctionne aussi bien sur du SPARC que sur du amd64 et ça, c'est plutôt pas mal.

                  cd /pub && more beer

            • [^] # Re: Ah ouais ?

              Posté par (page perso) . Évalué à  2 .

              Ce n'est pas le même but non plus. Le but avec Gentoo, c'est de te faire configurer tout (ou presque) toi-même. On peut ne pas aimer mais it's not a bug, it's a feature.

              « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

      • [^] # Re: Ah ouais ?

        Posté par . Évalué à  4 .

        Pour rejoindre le commentaire de Fopossum< : pacman -Syu correspond à aptitude update && aptitude full-upgrade.

      • [^] # Re: Ah ouais ?

        Posté par . Évalué à  1 .

        ermerge --sync && emerge -auDNv world
        apt-get upgrade
        pacman -Syu

        C'est super simple pourtant.

        Ou pas… Chez moi, j'ai une notification « mise à jour disponible » avec une belle notification Gnome 3*. Je clique, ça fait tout à ma place, pas besoin de taper sudo yum -y upgrade et mon mot de passe.

         

         

        * Oui, je sais, je suis un Kevin.

        Knowing the syntax of Java does not make someone a software engineer.

      • [^] # Re: Ah ouais ?

        Posté par (page perso) . Évalué à  -6 .

        Aucun n'est propre à Linux.
        Ce sont des outils fournis par certaines distributions.

    • [^] # Re: Ah ouais ?

      Posté par . Évalué à  10 .

      Ça « tout se taper à la main, téléchargement, configuration, installation, » j'appelle pas ça une mise à jour, mais une migration dans la douleur…

      LOL. Le gars qui est resté sur une distribution de 1993.

      Quand je me loggue, j'ai dans le coin un message « x nouvelles mises à jour », je clique sur « mettre à jour », je clique sur OK sur la fenêtre qui s'ouvre et le téléchargement, la configuration et l'installation se font tous seuls.

      Et j'ai rarement à redémarrer.

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: Ah ouais ?

        Posté par . Évalué à  2 .

        Il y a quand même un bémol dans le procédé de mise à jour : le systèmefait la mise à jour des paquets un à un, et demande parfois des renseignements du style "voulez vous mettre à jour les fichiers de conf", ou "voulez vous accepter telm ou tel contrat de licence". C'est assez gênant : ça impose de rester à côté de la machine pendant la mise à jour, et exclut par exemple de faire une mise à jour la nuit.

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  2 .

          Dans le manuel d'aptitude

          -y, --assume-yes
          Répond « oui » à toute question de type oui/non. En fait, cette
          option supprime l'invite (le prompt) qui apparaît quand on
          installe, met à jour ou supprime des paquets. N'affecte pas les
          réponses aux questions particulièrement dangereuses, telles que la
          suppression des paquets essentiels. A priorité sur -P.

          Je ne sais pas si ça s'applique à l'installation d'un nouveau fichier de configuration. De toute façon si on a modifié le fichier de configuration d'un serveur, il vaut mieux bien regarder quelles modifications vont être effectuées par la mise à jour, et éditer à la main si la fusion est impossible...

          • [^] # Re: Ah ouais ?

            Posté par . Évalué à  2 .

            C'est pas propre à un serveur, mais à un poste bureautique, et c'est sous Ubuntu. avec MAJ via interface graphique.

          • [^] # Re: Ah ouais ?

            Posté par . Évalué à  5 .

            Accepter des CLUF sans les lire, en utilisant la commande "-y", c'est un peu comme pré-signer des chèques en blanc, non?

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: Ah ouais ?

              Posté par . Évalué à  0 .

              Oui mais quand tu as lu le CLUF une fois, t'as pas forcément envie de le relire à chaque mise à jour. Oui je sais il a pu changer mais bon...

              • [^] # Re: Ah ouais ?

                Posté par . Évalué à  1 .

                Le processus de mise à jour pourrait également te proposer tous les CLUF avant la phase d'installation.

                • [^] # Re: Ah ouais ?

                  Posté par . Évalué à  1 .

                  Tient, ben comme sous Windows :-)

                  • [^] # Re: Ah ouais ?

                    Posté par . Évalué à  3 .

                    Hereusement qu'il y a quand même des trucs bien sous Windows :)
                    Je n'aime pas windws, mais tout n'est pas à jeter, loin de là.

            • [^] # Re: Ah ouais ?

              Posté par . Évalué à  6 .

              suffit de n'avoir que le dépot "main" non ?

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  2 .

          Ça dépend du système. C'est le comportement d'APT, mais pas de PackageKit qui peut l'utiliser comme backend.

          De plus, l'affichage de la licence me paraît tout de même assez rare, le seul cas que je connaisse est la JVM de Sun, sinon je ne l'ai jamais vu.

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: Ah ouais ?

            Posté par . Évalué à  2 .

            licences Microsoft pour certaines polices utilisées dans Wine par exemple.

        • [^] # Re: Ah ouais ?

          Posté par (page perso) . Évalué à  3 .

          DPkg::Options --force-confold ?

          Système - Réseau - Sécurité Open Source

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  1 .

          Tiens, moi à la fin des mises à jour, il me demande ce que je veux faire des nouveaux fichiers de configuration. Au choix, je peux garder les anciens, les remplacer par les nouveaux, effectuer un diff, garder les anciens et nommer les nouveaux .new (pour voir plus tard) et enfin, merger les deux fichiers.

          Du coup, la mise à jour se fait tranquillement, et à la fin je décide.

          Tout est tellement plus simple avec slackware.

          • [^] # Re: Ah ouais ?

            Posté par (page perso) . Évalué à  1 .

            Idem sous Salix.
            Tu peux installer les mises à jour, et voir pour les nouveaux de fichiers de conf plus tard, quand tu veux, quand t'as le temps. Pas de question, pas d’interaction quelconque lors de la mise à jour d'un ou plusieurs paquet sous Slackware/Salix.
            Et y'a un système de notification des mises à jour sur Salix entièrement graphique pour ceux qui veulent tout faire au clic...Cette notification est une notification classique avec une icone qui s'ajoute dans la zone de notification (d'où son nom), quand tu cliques dessus, ça lance le gestionnaire de paquet pour installer les mises à jour.
            Ça t'empêche pas de bosser, ça te (re)demande pas 15 fois d'installer les mises à jour ou de redémarrer. C'est quand même pas compliqué de faire un système de mise à jour simple.

          • [^] # Re: Ah ouais ?

            Posté par (page perso) . Évalué à  2 .

            Du coup, la mise à jour se fait tranquillement, et à la fin je décide.

            Mwai, enfin c'est pareil sur toute les distribs à base de dpkg, faut sortir de votre grotte les gars :) J'imagine que Gentoo le gère aussi.

            • [^] # Re: Ah ouais ?

              Posté par . Évalué à  4 .

              Ah ? moi il a la mauvaise manie de me poser les questions au beau milieu.
              Tu as une idée de l'option à mettre dans apt-conf ou équivalent ?(oui j'ai pas envie de chercher).

            • [^] # Re: Ah ouais ?

              Posté par . Évalué à  2 .

              Toutafé, c'est que je signalais par le "dispatch-conf" de mon commentaire plus haut. On peut aussi utiliser "etc-update".

              Il est vrai que j'aurais p'tet dû décortiquer un peu la longue suite de commandes pour les non-utilisateurs de gentoo.

              cd /pub && more beer

      • [^] # Re: Ah ouais ?

        Posté par (page perso) . Évalué à  -3 .

        Quand je me loggue, j'ai dans le coin un message « x nouvelles mises à jour », je clique sur « mettre à jour », je clique sur OK sur la fenêtre qui s'ouvre et le téléchargement, la configuration et l'installation se font tous seuls.

        Quand je me loggue, j'ai une console, tt aucun message dans un coin me disant qu'il y a des mises à jour.

        Par ailleurs, c'est encore un truc de ta distribution, pas de Linux.
        Je me gourre peut-être, mais je pense que la plupart des gens qui utilisent une LFS n'a pas ton petit message dans le coin.

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  2 .

          On s'en fiche que ce soit un truc propre à la distribution ou pas. Le principal est que si tu veux ne pas te prendre la tête avec les mises à jour, tu peux.

          L'ordinateur de ma femme et de ma fille sont sous Ubuntu : ma femme lance elle-même les mises à jour mineures, et je m'occupe des mises à jour majeures.

          • [^] # Re: Ah ouais ?

            Posté par (page perso) . Évalué à  2 .

            On s'en fiche que ce soit un truc propre à la distribution ou pas.

            Ben non, c'est justement ça que je commente.
            C'est la distro qui file les outils, pas Linux.

            D'où mon commentaire sur FreeBSD qui, lui, est un OS, et qui file de quoi mettre à jour.

            • [^] # Re: Ah ouais ?

              Posté par . Évalué à  4 .

              C'est la distro qui file les outils, pas Linux.

              Et alors ? Tu utilises Linux sans distro, toi ?

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

              • [^] # Re: Ah ouais ?

                Posté par (page perso) . Évalué à  1 .

                Aucun rapport avec le sujet…

                Et de toute façon, les distros sans système de mise-à-jour existent…

                • [^] # Re: Ah ouais ?

                  Posté par . Évalué à  1 .

                  Comment ça, aucun rapport ?

                  Tu affirmes que Linux n'a pas de système de mise à jour, je te réponds que si, avec les distributions.

                  Et de toute façon, les distros sans système de mise-à-jour existent…

                  Oui, mais celles avec aussi. Donc dire que Linux est pourri parce que Windows en a un et pas Linux, c'est faux.

                  Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                  • [^] # Re: Ah ouais ?

                    Posté par (page perso) . Évalué à  2 .

                    Tu seras gentil de citer le passage où je dis que linux est « pourri. »

                    Je fais simplement la distinction entre Linux et les distros. Certaines distros ont des systèmes de mise-à-jour, et c'est orthogonal à Linux. Je commente donc le fait qu'on puisse avoir linux sans système de mise-à-jour (donc le « oui, mais celles avec aussi » est aussi pertinent que de répondre « oui, mais il y a du saucisson » à celui qui te dit qu'il n'y a plus de coca dans le frigo…)
                    Je crois bien en revanche que tous les windows actuellement en vente ont un système de mise-à-jour, et tant pis pour ton amour propre.

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  2 .

          Sur ubuntu, quand je me logue en console, j'ai un message qui me dit qu'il y a des mises à jour disponible. Il est possible que ce soit le cas pour d'autres distributions.

        • [^] # Re: Ah ouais ?

          Posté par (page perso) . Évalué à  1 .

          C'est pas un truc propre à la distribution, toute les distribs avec un gestionnaire de paquet ont ce genre d'utilitaires.

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  2 .

          Par ailleurs, c'est encore un truc de ta distribution, pas de Linux.

          En même temps, Linux arrive rarement tout seul. Avec juste le noyau, je ne fais rien.

          Quand tu utilises Linux, c'est forcément avec une distribution, et chacune utilise un système de paquets.

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: Ahouais ?

            Posté par (page perso) . Évalué à  6 .

            Quand tu utilises Linux, c'est forcément avec une distribution,

            non

            et chacune utilise un système de paquets.

            non

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  6 .

          Quand je me loggue, j'ai une console

          Ça aussi c'est pas dans Linux, si tu as une console c'est que tu a installé des trucs en plus.
          (quand on jour au con, autant aller jusqu'au bout)

    • [^] # Re: Ah ouais ?

      Posté par . Évalué à  2 .

    • [^] # Re: Ah ouais ?

      Posté par . Évalué à  10 .

      Windows, lui, il a un système de mise à jour, ouais.

      Qui a le bon goût de se lancer lorsque tu éteins ta machine en te disant "surtout n'éteignez pas votre machine".

      C'est tellement pratique, surtout sur un portable...

      • [^] # Re: Ah ouais ?

        Posté par (page perso) . Évalué à  0 .

        J'ai jamais dit qu'il était bien…

        • [^] # Re: Ah ouais ?

          Posté par . Évalué à  6 .

          Non, mais critiquer les systèmes de mises à jours des distributions de Linux en citant celui de Windows, faut oser…

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: Ah ouais ?

            Posté par (page perso) . Évalué à  -4 .

            Windows est un OS, il a un système de mise-à-jour.
            FreeBSD est un OS, il a un système de mise-à-jour.
            Linux n'est pas un OS, et il n'a pas de système de mise-à-jour.
            La distribution Machin est un OS, et elle a (souvent) un système de mise-à-jour quand l'OS utilise Linux.
            Mais Machin/Linux n'est pas Linux.

            • [^] # Re: Ah ouais ?

              Posté par . Évalué à  1 .

              La distribution Machin est un OS, et elle a (souvent) un système de mise-à-jour quand l'OS utilise Linux.

              La distribution Debian GNU/kFreeBSD est un OS, elle a un système de mise à jour malgré qu'elle n'utilise pas Linux :)

              Comment ça c'est juste pour contredire ? Ah oui tiens.

              • [^] # Re: Ah ouais ?

                Posté par (page perso) . Évalué à  2 .

                Ben, ça me contredit pas. J'ai rien dit que la distribution utilise un autre noyau, et c'est justement pour ça que j'ai précisé.
                Quand A implique B et qu'on n'a pas A, ça ne veut pas dire qu'on n'a pas B non plus, hein…

                • [^] # Re: Ah ouais ?

                  Posté par . Évalué à  0 .

                  Une logique approximative ça ne pardonne pas sur linuxfr !

                  Effectivement tu as raison. Tu avais dit quand et pas seulement quand. Je file réciter cent fois mes tables de vérité...

            • [^] # Re: Ah ouais ?

              Posté par . Évalué à  6 .

              Ben si c'est pas la même chose, pourquoi tu compares un noyau à des OS ?

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: Ah ouais ?

              Posté par (page perso) . Évalué à  6 .

              Windows est un OS, il a un système de mise-à-jour.

              Kernel32 n'est pas un OS, il n'a pas de système de mise à jour.

              Tu veux en venir ou au fait, parce que on comprend rien là ...

      • [^] # Re: Ah ouais ?

        Posté par . Évalué à  0 .

        Sur MacOS c'est le même bazar.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.