Je n'ai pas parut calme ? toute mes excuses dans ce cas, je l'étais pourtant :c/

J'ai relu de nouveau calmement (de nouveau aussi) ce que tu as dis, et je persiste... on n'est pas obligé de se tourner vers d'autres alternatives Libres si le mainteneur principal d'un projet a foutu le camp :c/ A moins que la phrase en italique citée plus haut ne soit pas de toi (ou soit une reformulation menant à démontrer une erreur)... auquel cas, soit, tu as raison.

[ Répondre ]

si le mainteneur upstream de tel ou tel package se moque de tel ou tel bug ou a disparu dans la nature et que personne n'as repris le logiciel, tu est exactement dans la meme situation qu'un logiciel proprietaire.

ben non ce n'est pas la mm chose...

- si un mainteneur "upstream" veut pas intégrer la correction d'un bug, deux choix : soit tu patches pour ta gueule (distro, @home, @work) en ayant de préférence publier les sources sous GPL qqpart, soit tu forkes.

- si un mainteneur a disparut dans la nature, là encore tu as faux. Si le projet est à l'abandon, soit tu trouves un moyen pour en récupérer le leadership, soit tu forkes...

Tu vois qu'on est pas autant dans la merde avec du logiciel libre (notez le petit "L") qu'avec du soft proprio...

[ Répondre ]

- Oui on connait la date exacte [ http://www.wiggy.net/debian/explanation/(...) ]
- Oui on est surs que les serveurs n'étaient pas patchés
- Tu as raison, une fois le rootkit en place, on se fout de cette faille ;)

Je connais des paranos chez Debian, entre autres, qui vont froler la crise épileptique après ce genre de merdier à force d'ultra-paranoia ! :cb

[ Répondre ]

et il n'apparaît à personne que ce bug était un trou de sécurité

Dès le départ il a été possible d'imaginer des exploits il me semble... un bufferoverflow est toujours extremement dangereux sur x86 et assimilé (je précise ca à cause de GMsoft et ses FOUTUS HPPA !!!! ;c)

Bref, pour le reste il me semble que tu aies raison... par contre, les petits vicieux qui épluchent les changelogs, ca court la planete !!! sinon, on se ferait pas chier à patché tout le temps nos systemes ;c)

Cela dit, je me souviens d'un MISC présentant les risques d'un cyberterrorisme mieux organisé qu'actuellement........

[ Répondre ]

oui oui, j'avais compris le merdier :cb C'est aussi pour ca que j'ai rajouté le changelog de marcelo... Cela dit, je pige pas pkoi le DSA dit qu'il s'agit d'un patch de Morton... :c/

Rendons à César ce qui appartient à César !! ;c)

[ Répondre ]

oui oui, je sais... se répondre à soi-même, c pas très poli... mais je regardais le changelog du 2.4.23... et je n'ai rien trouvé en relation avec ce bug :c/

Je n'ai trouvé que 3 interventions de Morton... donc aucune ne parle de cette faille.

Andrew Morton:
o make printk more robust with "null" pointers
o sis900 skb free fix
o [netdrvr 3c527] add MODULE_LICENSE tag

Andrew Morton:
o inodes_stat.nr_inodes race fix

Andrew Morton:
o fix possible busywait in rtc_read()
o tty oops fix

Je n'ai trouvé qu'un seul corrictif sur le code de brk... mais pas fait par Morton, fait par marcelo :

<marcelo:dmt.cyclades>:
o Fix missing part of Centrino cache detection change
o Add TASK_SIZE check to do_brk()

bref... j'ai besoin de lumiere dans ma lanterne :c/

[ Répondre ]

Juste un mot pour dire deux choses (oulà... c contradictoire tout ca, malgré l'existance de jeux de mot... mais là je me barre en couilles ;c) :

- le bug a été connu et corrigé bien avant l'exploit des serveurs debian, puisque cela date de septembre, juste après la sortie du 2.4.22 (ce qui explique sa vulnérabilité)

- ce qui s'est passé montre une faiblesse de l'OSS : le bug a été connu, "annoncé" (mais pas crié sur tous les toits) et corrigé... mais juste après la sortie d'une release... donc on a attendu qqs mois et la release suivante pour avoir un noyau patché "par défaut" contre cette faille.

Donc moi je dis bravo au Libre.... mais zut pour cette foutue faille connue depuis un moment qui n'a pas accéléré la sortie d'un nouveau noyau... pourtant cette faille était suffisament importante à mes yeux pour amployer de "grands" moyens ! L'acces au kernelspace par n'importe quel user dans le userland... ca fait mal au c** qd mm !

allez bonne nuité

[ Répondre ]

pour le cas 3, il ne faut pas forcément etre root pour voler la clé pv SSH d'un user. il suffit d'etre le user en question (qui a forcément besoin d'avoir le droit en lecture sur le fichier contenant sa clé pv).

[ Répondre ]

Pas forcé d'avoir à exploiter une faille logicielle connue pour obtenir les droits root en tant que user lambda. Prends l'exemple du binaire /bin/passwd : Il a (normalement et logiquement) un bit SUID et est la propriété de root, ce qui permet à quiconque de passer momentanément root à l'exécution de ce programme.

Le souci c'est s'il existe un bug sur ce genre de soft. Alors il n'est pas très compliqué d'obtenir un shell root. Vous allez dire qu'il "suffit" de se tenir à jour ? oui mais dans le cas du srv "Master", il existait une copie brute (suffisament ancienne) de son système contenant des binaires SUID non mis à jour. CQFD...

Résultat, ici, pour master, la faille a été dans les actions humaines, et non dans les outils installés eux mm. Donc comme d'hab', on retrouve l'erreur la plus commune dans tout système de sécu : l'Homme. C'est inévitable et incontournable, quoi qu'on fasse.

[ Répondre ]

sauf que... quel est le plus dur ? Topper un mot de passe écrit uniquement dans la tete de son possesseur... ou récupérer une clé privée ? Je n'ai pas de réponse... et je pense que l'une comme l'autre, ces méthodes sont faillibles (la faiblesse humaine est la pire invention de l'Homme, et des clés réparties sur 200 systemes maintenus par 200 personnes totalement indépendantes n'est guere une meilleure solution à mes yeux)

Cela dit, c'est vrai, l'auth par clés pub/pv est une bonne chose, merci OpenSSH :c)

[ Répondre ]

D'après moi, même si je ne suis pas juriste et jamais je ne me prétendrais l'être, la GPL ne stipule pas que l'auteur doive mettre en ligne ses "sources". Elle stipule que toute personne possédant un outil doit pouvoir trouver ses sources, les recopier, les modifier, les publier, etc...

Donc le truc est que qqn qui achète un soft GPL non distribué gratuitement a tout à fait le droit de le publier, le modifier, etc... mm si la boite éditrice a décidé de ne pas le rendre dispo au départ.

[ Répondre ]

pas forcément... j'ai des potes qui jouent sur leur portable... et sérieux ca le fait !! bien entendu, ils rajoutent qd mm une vraie souris, voire un vrai clavier... mais pour ce qui est de la bébete et de l'écran, c très souvent d'origine !

[ Répondre ]

mais c'est bien sur !!! J'oubliais Battle Ground. Sur le coup, j'avais confondu avec Battle Fields... :cb Bref, Gueben, bien entendu que y'aura moyen de se déplacer pour se faire un battle ground ce WE là !! :c)

[ Répondre ]

> Dis moi mon cher BeTa... y'a de la place pour combien de personnes en gros ?

Y'a de la place pour une bonne trentaine de personnes si on est pret à se tenir chaud (mais je crois qu'on en aura besoin) je pense.

> Faut apporter sa multiprise, des switchs autre chose ?

Il faut amener toute sa connectique réseau telle qu'on peut l'imaginer minimale... après si tu as des switches ou autre hubs... Par contre, les multiprises sont _fortement_ appréciées !!

> Sinon j'ai America's Army qui tourne bien...

J'ai un TRES FORT a priori sur ce jeu... mais bien entendu que je pense qu'on le verra passer :c) d'autant qu'avec le live cd gentoo permettant de jouer à ce jeu sous nux sans l'installer forcément... c'est de la balle pour faire découvrir nux aux potentiels windowsiens.

Pour wine(x), moins on l'utilisera mieux ca sera. Wine passera encore peut-être... mais winex, c'est presque déjà bcp trop. C'est vraiment fait pour des jeux qui n'ont rien à faire de GNU/Linux (ou autre)... et là... ca va un peu à l'encontre de l'idée instigatrice de la LAN je pense.

> For King and country !
> Freeeeeeeeeeedom !!!!

Je vois que tu as d'EXCELLENTES références ;c) tu seras encore plus le bienvenu dans ces conditions :c)

[ Répondre ]

en fait, l'idée, c'est de faire découvrir le Libre par des moyens plus plaisant que de simples portes ouvertes ou des linux-parties qui demandent d'être vraiment motivé vers le Libre au préalable. Ici, on met une revetement plaisant et non contraignant pour amené les gens à découvrir le monde des LL.

Ensuite, j'espère, et c'est en ca que je dis d'amener sa distro préférée sous le coude, qu'on arrivera à convaincre certains participants à passer de Windows(tm) à GNU/Linux... mais pour ca, je compte sur tout le monde, ce qui implique que ce monde là ai les moyens de faire découvrir à sa manière ce qu'il aime des LL. Dans un cadre plus restreint, toute rencontre entre geeks est aussi une manière plaisante de découvrir des choses, et donc de vouloir les tester..... ;c)

[ Répondre ]

juste comme ca...

- LN@Game c un jeu de mot avec LAN@GAME, rien à voir autrement.... :c)
- pour dormir, ca sera possible sur place, mais à même le sol... prévoir ce qu'il faut pour...
- pour le "repas", il vous faut impérativement nous avertir par mail de votre venue !!

gloppement :c)

[ Répondre ]

et c'est quoi son petit nom ? ;c)

[ Répondre ]

ahaha... tu sais pkoi j'écris mon nom de famille en majuscules ? tout simplement parce que "Simon" et "Baptiste" sont deux prénoms...

et j'aime pas entendre :
"he Simon, tu vas bien, ca faisait une paie !"

ou encore :
"Mr Baptiste, comment allez-vous ?"

alors... à la place d'etre grossier, je me limiterais à : no comment

[ Répondre ]

> # Licence : Les ebuilds sont tous sous GPL et la documentation est passée sous creative common

Attention... dire "la documentation est passée sous creative common" est un abus de langage si on veut dire un truc positif.

dans l'ordre :
- trouver la licence de : [ http://www.gentoo.org/doc/en/vi-guide.xml(...) ] (c'est le premier lien que j'ai essayé au hasard)
- regarder les différentes licences de créative commons et bien les comprendre. J'en trouve qu'une qui soit Libre au sens de la FSF : la CC/by-sa. Bien providentiellement, c'est celle qui a été choisie en théorie par la core team Gentoo.

Bref........

[ Répondre ]

c'est là que l'envie me prend fortement de porter baselayout (le systeme de rc-scripts Gentoo) sur Debian !! avec des apache-rc-gentoo et des slapd-rc-gentoo pour les rc-scripts appropriés... pk sinon, franchement... c'est vraiment trop nul, je suis bien d'accord.

[ Répondre ]