Matthias Saou a écrit 72 commentaires

On va essayer de faire en sorte d'avoir les documents des conférenciers en ligne après ces journées, ou mieux, un petit résumé de chaque présentation... mais pour ça il faudra que quelqu'un s'y colle, croisons les doigts!

Bon, c'est pas le tout, mais faut que je me sauve... ça va bientôt commencer!!!

Matthias, (accessoirement président de l'ALDIL) qui commence à avoir le trac :-)

Ceux qui veulent tester Gabber (le client Jabber en GTK+) dans sa dernière version sur une Red Hat 7 peuvent trouver un joli RPM sur :
http://seawolf.freshrpms.net/(...)

Il faut aussi télécharger gnomemm et gtkmm pour pouvoir l'installer (ah le C++!).

Il y a aussi disponible un RPM du serveur Jabber lui-même pour ceux qui veulent experimenter encore plus :-)

Matthias

Toi t'as pas lu l'article jusqu'au bout :

"Après une première expérience pour le moins confidentielle avec Voila Messager, un clône d'ICQ basé sur la technologie Microsoft Netmeeting, Jabber pourrait ainsi permettre à France Telecom et à ses filiales (wanadoo, voila, Orange) de s'imposer sur ce marché ultra concurrentiel."

Lu sur le site de SGI :

* 2 Terabyte filesystem limitation

Currently XFS is limited to filesystems smaller that 2 terabytes. This is due to limitations in the Linux block device I/O layers.

The XFS team is working with Linux developers to improve the Linux I/O layers. The improvements will include the support necessary to exceed 2 Tbyte filesystems.

Donc pour l'instant ce n'est pas 9000000 Teras mais "seulement" 2 :-)

Matthias

Ben moi je suis impressionné! J'ai fais trois recherches sur trois mots :
- "aldil" : avec les résultats, on voit tout de suite que tout tourne autour de l'associatif, de Lyon et du logiciel libre, chapeau!
- "marmotte" : j'ai vu mon www.marmotte.net dans un coin ;-)
- "milka" : il propose des trucs en rapport avec le chocolat et là encore mon www.marmotte.net pointe le bout du nez!

Surement que sur des recherches plus techniques les résultats sont plus aléatoires, mais là je dois dire que j'en reste plutôt impressionné pas les associations de mots et la présentation des résultats!

Matthias

C'est le 1.0.8 qui est sur mon site!<br>
Les RPMS que j'ai pu faire pour la 7.0 et qui font désormais partie de la 7.1 dans leur version la plus à jour (c'est le cas de Tuxracer par exemple), je ne m'amuse pas à les refaire, je te rassure tout de suite! :-)

Ces patchs là ne sont pas prévus pour les 2.4 officiels malheureusement... à priori ça restera "non officiel" jusqu'aux 2.5 experimentaux, dixit Alan Cox :-(

Un article complet et des liens vers les patchs :
http://www.lwn.net/2001/0301/kernel.php3(...)

Personnellement j'utilise un 2.4.3-pre8 auquel j'ai appliqué les patchs pour -pre6 sans soucis! J'ai fait des "crash-tests" (sauf que ça crashe même pas ;-)) et pour moi ça roule.

Matthias

Moi je propose :

1) autorpm (dans les powertools de la RedHat) qui fontionne très bien, lancé par la crontab et très configurable : Moi j'aime bien faire en sorte qu'il installe automatiquement les RPMs mis à jour qu'il trouve dont il reconnaît la signature GPG et qu'il me demande pour les autres :-)

2) Red Carpet (gratuit pour l'instant, ça va durer?) qui permet de faire ce que up2date faisait en mode graphique et tout et tout.

3) S'abonner aux listes d'annonces des mises à jour RedHat et faire un bon vieux "rpm" à la main après avoir récupéré les paquets dont on veut une mise à jour.

Personnellement je n'utilise que la Red Hat, et je n'ai jamais utilisé up2date... :-)

Personnellement je trouve que tu fais un peu trop de "tapage" avec le fait que ton serveur ftp n'a jamais eu aucune faille connue et tout et tout... surtout étant donné sa "jeunnesse". Autant un programme comme qmail, on peut vraiment clamer qu'il est sécurisé (encore que... personne ne peut vraiment savoir! m'enfin à une époque y'avait des sousous pour celui qui prouvait le contraire), autant pure-ftpd...

C'est un avis personnel (en rien une attaque personnelle) et dans l'absolu, soit j'ai tort, soit tu t'en rendra compte avec un peu de recul, mais je trouve aussi ton comportement sur BUGTRAQ et ton test dirigé directement vers le serveur ProFTPD officiel un peu exagérés. Sans parler de la news quasi-instantanée sur linuxfr...

Ouaip, le post d'après sur BUGTRAQ... qui montre bien qu'à trop l'ouvrir... :-)

--

[NOTE to the fellow readership: "Frank DENIS (Jedi/Sector One)" is
the author of Pure-FTPD]

On Thu, Mar 15, 2001 at 09:34:09AM +0100, Frank DENIS (Jedi/Sector One) wrote:
> - Proftpd built-in 'ls' command has a globbing bug that allows remote
> denial-of-service.
>
> Here's a simple exploit, tested on the Proftpd site :

That's really great. Very convenient for you to run DoS attacks against
the main distribution site of ProFTPD.

> - PureFTPd (any version) is not vulnerable. Result is "Simplified wildcard
> expression to *" and the 'ls *' output.

It is not vulnerable to the simple attack, but to more "sophisticated"
attacks it is. 20 seconds spent looking into the source reveals:

from pure-ftpd-0.96/src/ls.c:

/* try to defend against wildcard denial-of-service attack */
doshack = strstr(arg, "/../");
if (doshack) {
/* first eliminate those at the start */
if (doshack == arg) {
while (strncmp(arg, "/../", 4) == 0) {
size_t cpa = strlen(arg + 4) + 1U;
memmove(arg, arg + 4, cpa);
}
doshack = strstr(arg, "/../");
}
/* next, eliminate /../ in the middle of the string */
while (doshack) {
char *nextcomponent = doshack + 4;
size_t cpa;

if (doshack != arg && *doshack == '/')
doshack--;
while (doshack != arg && *doshack != '/')
doshack--;
if (*doshack == '/')
doshack++;
cpa = strlen(nextcomponent) + 1U;
memmove(doshack, nextcomponent, cpa);
doshack = strstr(arg, "/../");
}
addreply(0, "Simplified wildcard expression to %s", arg);
}

So your defense is just removing "/../" sequences. That's not enough.

ls .*./*?/.*./*?/.*./*?/.*./*?/.*./*?/.*./*?/.*./*?/.*./*?/.*./*?/

ls */.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/

These lead exactly to the same problems ProFTPD has. You've only gone
half-way. Thanks to John Morrissey <jwm@horde.net> for verifying this
on a test installation of Pure-FTPD.

BTW: Flood (Jesse Sipprell <jss@inflicted.net>) found that you are using
unprotected calls to glob() all over the place and concludes that it
would be trivial to launch this attack against other FTP commands (DELE
etc.) against Pure-FTPD as well.

I guess you should re-think your Skill inventory on Sourceforge:
http://sourceforge.net/people/viewprofile.php?user_id=37669(...)

Same with the statement "Unlike other popular FTP servers, it has no
known security flaw" on the Pure-FTPD homepage.

King for a day, fool for a lifetime, eh?

> Maintainers of vulnerable servers have been warned of this bug.

Yes. 15 *minutes* before you sent this posting off to Bugtraq. I'm not
going into the usual discussion about how to handle security problems.
May the fellow readership judge for themselves how responsible your
behaviour was.

You may want to take a look at http://www.wiretrip.net/rfp/policy.html(...)


For ProFTPD users: an official response with a workaround to the problem
is being released right now here to Bugtraq.


Daniel
ProFTPD RPM packaging maintainer

Les deux étant sous la GPL... liberté quand tu nous tiens... :-)

Hum... fais un lien /dev/dvd vers ton lecteur DVD (/dev/hdd par exemple) et tu pourras lancer un film directement en cliquant sur le bouton "DVD"! Et c'est même pas nouveau :-)

Sinon, j'ai refait des RPMS pour RedHat 7.0, mais un lien est sur la page officielle maintenant de toute façon :
http://redhat.aldil.org/(...)

Matthias

Si, il est possible d'utiliser le mode DMA par défaut en recompilant un noyau (les distribs ne l'activent pas par défaut pour des raisons évidentes).
Sinon sur Red Hat 7, il sufft de mettre les paramètres que l'on veut dans le fichier /etc/sysconfig/harddisks (qui est très bien commenté d'ailleurs) et cela s'appliquera automatiquement au démarrage.

J'ai fait un package qui contient un service "adsl" qui se lance au démarrage et maintient la connexion établie. Il marche avec les modems Alcatel qui nécessitent un pptp patché.
Le package pptp-alcatel : http://redhat.aldil.org/rpm.html?id=92(...)

Ben ben, j'en profite pour signaler que la beta 2 de la prochaine Red Hat est elle aussi disponible en téléchargement. D'ailleurs, elle a un nom un peu plus "cool" à mon goût : "Wolverine".

Elle est disponible sur ftp.redhat.com et des mirroirs dans /pub/redhat/beta/wolverine/ et elle est très prometteuse!

Matthias

A priori si tu es un particulier (ça doit être le cas à tes heures perdues ;-) et si c'est une utilisation à titre personnel, l'emploi d'OpenSSH ou de SSH2 ne pose pas de problèmes.
En revanche pour les entreprises, il faut "normalement" rester en SSF, mais avec tous les exploits connus, ça craint vraiment... surtout pour une entreprise justement!

Merci la législation française ;-p

Heu, pourquoi il est modéré à -1 ce commentaire??? Il est pile dans l'esprit de la news...

...comprends pas :-/...

M'est d'avis que soit il ne fallait pas faire passer cette news, soit il fallait le laisser à 1.

Ou alors pour nous, des domaines genre "je.suis.la" ou "qui.est.la" :-)

Tout à l'opposé on a les .fr dont la gestion est radicalement différente mais tout aussi controversée!
A l'heure actuelle il n'y a qu'un seul organisme (le NIC France) habilité à les attribuer et les conditions d'obtention pour les noms de domaines sont vraiment très strictes.
Concrètement, il y a eu l'apparition des .com.fr et des .nom.fr qui devaient permettre à Mr tout-le-monde-en-france d'avoir son nom de domaine français, mais il faut bien se rendre à l'évidence : On voit très peu de .com.fr car ils sont à la fois redondants avec les .fr et les .com, quant aux .nom.fr ils n'interessent personne car ils sont bien plus chers qu'un chouette .net, et également car le nom de domaine devait contenir le nom de famille de la personne qui le déposait (c'est devenu un peu plus "libre" depuis il me semble).

Tout ça pour dire que j'éspère vraiment qu'ils vont (et qu'il est possible) de trouver un juste milieu car dans un cas comme dans l'autre, c'est pas terrible...

Matthias

Décembre 2001!? Mais ils ont trois fois le temps de couler d'ici-là...
Plus sérieusement (quoique, va pour quatre fois), moi je n'aime PAS ce genre de barres-à-la-c*n, c'est bien la dernière des choses qui me manque sous Linux. D'ailleurs je crois bien ne pas être le seul à penser ça!

Matthias

Il y a des RPMS faits pour RedHat 6.2 et 7.0 (i386, alpha et sparc) par ce gentil Mr Blizzard... de chez RedHat justement :-)
http://people.redhat.com/blizzard/software/(...)

Je viens de finir de tester OMS/OMI dans tous les sens et je suis relativement déçu. Il a fallu que je mette à jour ma SDL, smpeg aussi (il segfaultait avec la nouvelle SDL) et j'ai finalement installé libcss, oms et omi sans trop de soucis.
Seulement pour la lecture, c'est horrible : Sur un DVD, ça stagne à 15 images/s alors que sur un autre, c'est 45, mais dans les deux cas ça saccade et c'est tout simplement in-regardable :-(
Le saut de chapitres avant/arrière semble me figer le bestiau (j'arrive encore à le quitter proprement mais le panneau de contrôle graphique ne répond plus) que ce soit par les touches ou directement dans la playlist.

Bref, xine 0.3.7 fonctionne à la perfection, avec le plugin DeCSS, la recherche des IFO et les sous-titres. J'y trouve mon bonheur et je crois que je vais m'en contenter avec grand plaisir :-)

Matthias

Ma config pour info :
RedHat Linux 7.0, XFree86 4.0.1
NVidia GeForce 2 MX, drivers 0.9-6 en 1280x960 (Xv marche impec')
P3 550 avec 128Mo de RAM

Mais si, mais si :-)
D'ailleurs, tant qu'à faire de la promotion, j'invite tous les lyonnais à aller voir le site de notre LUG local (l'ALDIL) : http://www.aldil.org/(...) :-)

Matthias

Bof, je ne sais pas trop... personnellement je suis autant anti-MPAA qu'anti-piratage et tout ce que je cherche c'est pouvoir lire la cinquantaine de DVDs que j'ai achetés, dont certains sont cryptés.
Quelque part, ça m'embête presque plus de mettre avifile (qui lit les DivX ;-), bien souvent des copies illégales de DVDs) que de mettre xine en version decss... :-/

Je ne suis pas trop au courant de la légalité de DeCSS en France, j'aime autant rester dans mon ignorance.

Matthias

Alors, déjà, RedHat ne développe pas d'outils propriétaires, contrairement à SuSE (!!).
Deuxièmement, je ne crois pas qu'on puisse parler de "petits nouveaux" pour Turbolinux et Stormix car l'un est déjà assez ancien, et est basé sur une RedHat, et l'autre a fait faillite dernièrement.
Troisième et dernier point, je me demande comment on peut se permettre de faire des critiques aussi peu fondées avec une orthographe aussi mauvaise... mystère!

Matthias