ubuntu vs macosx

• [^]Re: ubuntu vs macosx

  Posté par hiphopmomo () le 13/03/2006 à 10:45. (lien). Évalué à 3.

  ouais, enfin bon.
  
  dans les 2 cas, ca reste une escalade de privilege, pas un exploit distante.
  T'avoueras que donner un shell a qui le demande via apache, c'est quand meme chercher le trouble (et donc le trouver).
  
  Donc ca reste relativement confiné comme probleme (mouhahaha).
  
  Par contre c'est vrai qu'ils ont fait fort sur le coup chez booboontoo

  --
  Les doigts dans les poches et les mains de le nez

  • [^]Re: ubuntu vs macosx

    Posté par alexissoft (Jabber id, page perso, ) le 13/03/2006 à 12:24. (lien). Évalué à 2.

    La seule chose c'est que pour MacOSX c'est une faille locale, les participants avaient un accès ssh utilisateur sur la machine.

    • [^]Re: ubuntu vs macosx

      Posté par hiphopmomo () le 13/03/2006 à 12:25. (lien). Évalué à 2.

      ben oui, c'est ce que je dis.

      --
      Les doigts dans les poches et les mains de le nez

      • [^]Re: ubuntu vs macosx

        Posté par Michel Galle () le 13/03/2006 à 13:05. (lien). Évalué à 2.

        oui mais dit avec des termes sérieux, ca ne compte pas :)
        
        (humour du désespoir :( )

correction :

• [^]Re: correction :

  Posté par Nahuel ANGELINETTI (Jabber id, page perso, ) le 13/03/2006 à 08:12. (lien). Évalué à 1.

  Ou il suffit juste de mettre à jour :)

  --
  Jabber/XMPP : nahuel@ahtna.org

  • [^]Re: correction :

    Posté par dwd () le 13/03/2006 à 10:53. (lien). Évalué à 1.

    Bizarre, chez moi :
    
    cat /var/log/installer/cdebconf/questions.dat
    cat: /var/log/installer/cdebconf/questions.dat: Permission non accordée
    
    et sudo cat /var/log/installer/cdebconf/questions.dat | grep "monmotdepasseroot" ne donne rien....
    
    Ou est la faille si d'une part, je dois déjà donner mon pass root (avec sudo) pour voir ce fichier, et d'autre part, si ce fichier ne contient pas mon pass root ?????!!!

    • [^]Re: correction :

      Posté par Nahuel ANGELINETTI (Jabber id, page perso, ) le 13/03/2006 à 11:03. (lien). Évalué à 2.

      tu dois etre sous dapper et à jour.
      à l'origine justement ce fichier etait accessible à n'importe quel utilisateur sans restriction ( testé sur l'ordi de mon coloc ).

      --
      Jabber/XMPP : nahuel@ahtna.org

    • [^]Re: correction :

      Posté par Yusei () le 13/03/2006 à 11:04. (lien). Évalué à 2.

      Est-ce que par hasard, tu auras une version d'Ubtuntu qui n'est pas Breezy, ou bien une Breezy avec toutes les mises à jour de sécurité ? Parce que bon, c'est corrigé, et si tu es à jour c'est normal de ne pas avoir le problème.

      • [^]Re: correction :

        Posté par dwd () le 13/03/2006 à 17:38. (lien). Évalué à 1.

        Je m'en serais aperçu si j'avais une Dapper !!!!
        Breezy installée depuis 1 mois, MAJ installées régulièrement, c'est vrai !

        • [^]Re: correction :

          Posté par Yusei () le 13/03/2006 à 18:01. (lien). Évalué à 2.

          Tu aurais pu aussi avoir une Warty ou une Hoary, qui n'ont pas l'air touchées, d'après ce que j'ai lu.

    • [^]Re: correction :

      Posté par durandal () le 13/03/2006 à 18:10. (lien). Évalué à 7.

      et sudo cat /var/log/installer/cdebconf/questions.dat | grep "monmotdepasseroot" ne donne rien....
      
      grep "tonmotdepasseroot" ~/.bash_history
      
      Et là ça marche ? ;)

Si vous avez des installations automatisées

Si vous voulez des infos en francais

• [^]Re: Si vous voulez des infos en francais

  Posté par Julien Catalano (page perso, ) le 13/03/2006 à 13:31. (lien). Évalué à 4.

  
  Vous n'etes pas touche par ce bug si :
  
  - Vous avez modifie le mot de passe du premier utilisateur depuis
  l'installation
  OU
  - Vous etes le seul utilisateur de la machine
  

  
  Ben moi j'ai changé mon mot de passe sur mon serveur breezy et je suis le seul utilisateur sur mon laptop... Mais je vais quand meme mettre à jour, c'est plus prudent...
  
  C'est le genre de faille qui discrédite toute une distribution en moins de temps qu'il ne faut pour le dire... Ca fait presque 6 mois que c'est comme ca, et en plus c'était super simple. Je pense que beaucoup de systèmes doivent être considérés comme compromis.
  
  Bonne réinstallation ;-)

  • [+] [^]Re: Si vous voulez des infos en francais

    Posté par hiphopmomo () le 13/03/2006 à 14:02. (lien). Évalué à -4.

    Mais je vais quand meme mettre à jour, c'est plus prudent...
    
    toi t'es le genre a porter des bretelles en plus de la ceinture pour etre sur que ton pantalon il tombe pas?

    --
    Les doigts dans les poches et les mains de le nez

Plus serieusement

• [^]Re: Plus serieusement

  Posté par Calim' Héros (Jabber id, page perso, ) le 13/03/2006 à 13:35. (lien). Évalué à 4.

  2) Comment se fait il que personne ne l'ai remarque plus tot? L'argument de pleins d'yeux qui auditent le code serait il en fait du flan?

  
  Je sais pas d'ou tu sort cet argument, le vrai c'est plein d'yeux qui peuvent auditer le code, ce qui ne veux aucunement dire qu'ils le font...

  --
  Ce commentaire est :
  Génial, Nul, 42

  • [^]Re: Plus serieusement

    Posté par hiphopmomo () le 13/03/2006 à 14:03. (lien). Évalué à 1.

    Bopf, c'est pas trop ce qu'on entend repeter un peu partout chez les libristes.

    --
    Les doigts dans les poches et les mains de le nez

    • [^]Re: Plus serieusement

      Posté par Calim' Héros (Jabber id, page perso, ) le 13/03/2006 à 14:39. (lien). Évalué à 4.

      Mauvais libriste, changer libriste (tm).
      
      En attendant c'est ce que moi j'entends et dis.
      
      Enfin il ne faut pas oublier le Do It Yourself [Or Shut Up] qui reste quand même une des premieres règles chez les libristes.

      --
      Ce commentaire est :
      Génial, Nul, 42

• [^]Re: Plus serieusement

  Posté par efbie () le 13/03/2006 à 13:40. (lien). Évalué à 1.

  J'espère que ça motivera les développeurs à faire beaucoup plus attention pour la dapper et les versions suivantes.

• [^]Re: Plus serieusement

  Posté par Pascal Terjan (Jabber id, page perso, ) le 13/03/2006 à 13:43. (lien). Évalué à 7.

  Et aussi, comment se fait-il que c'était déja corrigé dans la version de dev mais celui qui a corrigé ne l'avait pas signalé ?

  • [^]Re: Plus serieusement

    Posté par lorill (page perso, ) le 13/03/2006 à 14:44. (lien). Évalué à 5.

    c'est expliqué dans le bug report, ca a été corrigé "par accident" (effet de bord serait plus juste) en changeant d'autres trucs.

    • [^]Re: Plus serieusement

      Posté par Farvardin (page perso, ) le 13/03/2006 à 16:07. (lien). Évalué à 6.

      c'est à dire en repiquant un peu plus fidèlement des parties de la Debian plutôt que de se la jouer "on réinvente la roue" ?
      
      Peut-être qu'un jour ils auront des paquets un peu plus compatible avec Debian...
      ce qui serait la moindre des choses.

      --
      You can't grep dead trees...

      • [^]Re: Plus serieusement

        Posté par lorill (page perso, ) le 14/03/2006 à 10:05. (lien). Évalué à 1.

        c'est à dire en repiquant un peu plus fidèlement des parties de la Debian plutôt que de se la jouer "on réinvente la roue" ?
        
        j'en sais rien, je ne suis pas ce genre de choses... j'ai juste lu un lien posté quelques commentaires plus haut.

      • [^]Re: Plus serieusement

        Posté par hiphopmomo () le 14/03/2006 à 10:15. (lien). Évalué à 1.

        c'est sur qu'utiliser debconf depuis la premiere release, c'est vraiment reinventer la roue..
        
        qu'est ce qu'on peut lire comme conneries des fois.
        
        ce qui serait la moindre des choses.
        ben d'un autre cote, vu le retard que prend (et continue a accumuler) debian, c'est pas franchement de leur faute non plus.

        --
        Les doigts dans les poches et les mains de le nez