Tous à vos patches! De multiples vulnérabilités ayant différents impacts ont été trouvées dans BIND, client/serveur de nom bien connu par l'Internet Software Consortium (ISC).
Certaines de ces vulnérabilités peuvent permettre aux attaquants externes d'exécuter arbitrairement du code avec les droits de l'utilisateur faisant tourner named (typiquement root), ou avec les droits d'applications clientes vulnérables.
Une autre vulnérabilité permet à l'attaquant distant de désorganiser le fonctionnement normal du service DNS sur le serveur victime.
Tous à vos patches!
Aller plus loin
- L'annonce du CERT (8 clics)
- Les updates pour RedHat (3 clics)
# Re: Nouvelle vulnérabilité dans BIND
Posté par zeDek . Évalué à 10.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Anonyme . Évalué à 0.
Ca fait assez « pro » mais on ne peut pas dire que ça éclaire la discussion... Comme souvent lorsqu'on a recours à des anglicismes.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Sebastien (site web personnel) . Évalué à 4.
> Il aurait été bon de dire que seul les versions 8.x de Bind sont impactées.
Les versions 8 et 4 sont impactées.
Quand on sait que la version 4 est encore livrée de base sur OpenBSD et sur pas mal d'Unix commerciaux, ça représente du monde ...
> Aussi nul besoin de patch, il suffit de passer à Bind9 qui au passage est nettement mieux AMHA
Ouais, enfin, suffit ... Bind9 n'est pas compatible à 100% et semble plus lourd qu'un Bind 4 ou 8. Et je parle pas des fonctionnalités (intéressantes pour certains) que beaucoup de monde n'utilisera jamais.
Sans compter que cette version n'a pas encore été aussi utilisée que les précédentes ...
seb.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par zeDek . Évalué à 1.
Oui c'est vrai la 4 est aussi concerné (mea culpa).
>Quand on sait que la version 4 est encore livrée de base sur OpenBSD et sur pas mal d'Unix commerciaux, ça représente du monde ...
Oui c'est sûr mais vu le nombre de vulnérabilités qui ont été découvertes récemment sur Bind, je pense vraiment qu'il serait temps de passer à la version 9 surtout que je suis à peu près sûr que niveau maintenance c'est beaucoup plus tranquille.
>Sans compter que cette version n'a pas encore été aussi utilisée que les précédentes ...
Ben justement, pourquoi ne pas franchir le pas ? Enfin, "it's up to you" :)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par PLuG . Évalué à 1.
bref bind 9 est mieux fonctionnellement (le forwarder est BIEN mieux), mais il n'est pas encore stable AMHA.
# Re: Nouvelle vulnérabilité dans BIND
Posté par erwuanito (site web personnel) . Évalué à 3.
http://www.openbsd.org/errata.html(...)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par benja . Évalué à 2.
# « Internet » Software Consortium ?
Posté par Jar Jar Binks (site web personnel) . Évalué à 4.
Source : DSA-196
http://lists.debian.org/debian-security-announce/debian-security-an(...)
Voilà qui rappelle furieusement l'affaire d'OpenSSH, et qui pose une question nouvelle au sujet de la sécurité des systèmes Open Source : si on peut faire confiance à la disponibilité des sources pour avoir un correctif rapidement, peut-on pour autant faire confiance à tous les auteurs de logiciels pour coordonner efficacement le correctif en question ?
[^] # Re: « Internet » Software Consortium ?
Posté par Éric (site web personnel) . Évalué à 2.
Bof, je sais que ca peut etre pire chez les concurents mais 1 mois ce n'est pas ce que j'appelle rapide. Le jour ou les temps de "mise sous secret" afin d'attendre les patch seront d'une semaine ou moins on en reparlera. Pour l'instant cette réactivité miracle n'est pas tant au rendez vous que ca. Moins dépendant d'une source unique oui, mais plus réactif ....
peut-on pour autant faire confiance à tous les auteurs de logiciels pour coordonner efficacement le correctif en question ?
Moi je vais répondre simplement en me basant (uniquement) sur la news : non.
[^] # Re: « Internet » Software Consortium ?
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
[^] # Re: « Internet » Software Consortium ?
Posté par Foxy (site web personnel) . Évalué à 4.
Si ça se trouve, cette faille est connue depuis plus longtemps que ça et c'est une histoire de business qui a entrainé sa publication :-(
[^] # Re: « Internet » Software Consortium ?
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: « Internet » Software Consortium ?
Posté par Misc (site web personnel) . Évalué à 1.
Je connait pas la licence de bind, mais doit y avoir un petit " utilisable a vos risques et perils", comme tout les LL...
Y a pas de loi qui oblige a divulguer une faille, ni a la reporter a son auteur.
Enfin, je suppose.
Qu'en pensez vous ?
[^] # Re: « Internet » Software Consortium ?
Posté par ours Ours (site web personnel) . Évalué à 2.
dc à priori c du BSD ;o)
[^] # Re: « Internet » Software Consortium ?
Posté par Moby-Dik . Évalué à 1.
# Bind vs DJBDns
Posté par Foxy (site web personnel) . Évalué à 1.
D'après DJB (et d'autres), DJBDns serait très sûr et plus performant que Bind... Néanmoins, il faut mettre les mains dans le cambouis pour installer DJBDns et refaire sa config (très différente de Bind).
Si certains ici tournent avec DJBDns, ce serait bien qu'ils donnent leurs avis sur la question et leurs expériences.
On peut aussi envisager de passer à MaraDNS : http://www.maradns.org(...)
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 3.
[^] # Re: Bind vs DJBDns
Posté par Foxy (site web personnel) . Évalué à 1.
DJB est un intégriste obtus ("pas touche à mon code") et a une politique de licence très spéciale ("pas touche à mes binaires et à mon install par défaut").
Mais c'est juste le plan technique qui m'intéresse...
[^] # Re: Bind vs DJBDns
Posté par Anonyme . Évalué à 4.
[^] # Re: Bind vs DJBDns
Posté par boubou (site web personnel) . Évalué à 1.
[^] # Re: Bind vs DJBDns
Posté par Anonyme . Évalué à 1.
Définit l'expression « affirmation gratuite », je ne te comprend aps.
« Bind et sendmail sont deux merdes très très mal conçues, exactement le contraire de djbdns et qmail. Pour l'instant, il y a deux choix. Serrer les fesses avec des logiciels libres pourris ou prendre des logiciels de Bernstein. Vu que les logiciels de Bernstein implantent scrupuleusement les standards et en établissent de nouveau (par exemple le maildir supporté par de plus en plus de serveur SMTP), je ne vois vraiment pas pourquoi (à part l'intégrisme) ne pas utiliser ces derniers. »
Parce qu'ils ne sont pas libre ?
« Bien sûr pour SMTP on peut toujours prendre postfix, mais je ne sais pas pourquoi, j'ai plutôt peur d'un logiciel dans lequel on a déjà trouvé des bugs de sécurité (mêmes minimes). »
Ca me semble pas très rationnel de croire qu'il puisse exister de logiciel sans failles. Bien sur, sur les logiciels qui ont 4 utilisateurs, on les trouve moins facilement.
Bref, tu parles « d'affirmation gratuite » et d' « intégrisme » - de bien beaux termes en vérité - mais tu ne sembles pas avoir saisi ce qui nous génait avec les logiciels de DJB. A moins que tu résume la liberté en informatique au mot « intégrisme » ?
[^] # Re: Bind vs DJBDns
Posté par boubou (site web personnel) . Évalué à 1.
Quant au fait que les logiciels de Bernstein n'ont que 4 utilisateurs, c'est tellement pitoyable que je n'ajouterai rien de plus.
[^] # Re: Bind vs DJBDns
Posté par Olivier Jeannet . Évalué à 3.
J'ai un ami qui a monté sa boîte d'hébergement de sites et de services, et il ne jure que par les outils de Daniel Bernstein, en particulier QMail et DJBDns. Je crois qu'il utilise aussi un syslog amélioré (du point de vue sécurité) produit par DJB.
D'après ce que je sais, non seulement son code est très sérieusement audité, mais en plus est assez performant, que ce soit QMail par rapport à sendmail, ou djbdns par rapport à bind.
La licence est en effet particulière, on ne peut pas redistribuer les sources modifiées, on peut seulement redistribuer les sources originales, accompagnées d'un (ou plusieurs) patch(s) à appliquer. En effet, DJB ne garantit que son propre code, qui a été audité. Si on veut faire inclure une modification, il faut lui soumettre le code, qu'il inclura éventuellement après inspection minutieuse.
Ca dérange certains, mais si le but c'est d'avoir quelque chose qui marche bien, dont on contrôle le fonctionnement (on a les sources et on peut les modifier pour son usage), et dont la sécurité soit béton, c'est parfait.
Le personnage a un profil élevé, c'est un mathématicien de talent (dont recherche en crypto), il a même attaqué le gouvernement américain pour défendre ses droits à plusieurs reprises (cf http://cr.yp.to/donations.html(...) par ex) :
The Bernstein v. United States court case has won four First Amendment decisions against the government's previous regulations. The court decisions established that publication of source code is speech, and that the regulations were an unconstitutional censorship system. However, the government has appealed the decisions.
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
Il n'empêche que ce n'est pas libre. Tu peux t'amuser à faire des exceptions dans ce genre de cas pour te donner bonne conscience, mais ce genre de licence pose les mêmes problèmes pratiques que de nombreux logiciels propriétaires. Tu choisi donc ces logiciels pour leur intérêt nechnique, mais tu prends de gros risques à d'autres niveaux.
[^] # Re: Bind vs DJBDns
Posté par Olivier Jeannet . Évalué à 3.
Je n'ai aucune bonne conscience à avoir, qu'est-ce que c'est que ce charabia ?
Assimiler djbdns à un logiciel propriétaire est une drôle d'idée, pour ne pas dire que c'est idiot.
Je ne vois pas quel problème pratique ça pose, étant donné que tu peux faire ce que tu veux de DJBdns, appliquer les patches que tu veux, etc... Il existe des sites consacrés aux extensions qu'on peut apporter à djbdns, pour ceux à qui il manque des fonctionnalités. DJB veut juste garder le contrôle de ce qui est publié sous son nom, pour le reste tu peux publier JJBdns si tu veux à partir de son code source.
(se reporter aux autres réponses plus bas pour plus d'informations, dont celles de Thomas Mangin)
[^] # Re: Bind vs DJBDns
Posté par Moby-Dik . Évalué à 1.
Non, c'est simplement vrai. C'est un logiciel qui ne répond pas aux exigences du logiciel libre.
[^] # Re: Bind vs DJBDns
Posté par Anonyme . Évalué à 1.
Et le redistribuer ?
L'intéret du logiciel libre, c'est de partager n'est-ce pas ?
[^] # Re: Bind vs DJBDns
Posté par Olivier Jeannet . Évalué à 2.
[^] # Re: Bind vs DJBDns
Posté par boubou (site web personnel) . Évalué à -1.
Donnes moi simplement quelques exemples des risques en question...
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
[^] # Re: Bind vs DJBDns
Posté par boubou (site web personnel) . Évalué à -1.
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Bind vs DJBDns
Posté par bleh . Évalué à 1.
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
[^] # Re: Bind vs DJBDns
Posté par bleh . Évalué à 1.
[^] # Re: Bind vs DJBDns
Posté par cornofulgur . Évalué à 2.
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
[^] # Re: Bind vs DJBDns
Posté par bleh . Évalué à 1.
je cite :
Dire "je m'en fiche que DJBDNS ne soit pas libre vu qu'il a de grandes qualités" c'est accepter la licence par un accord tacite. Evidemment après que tu ais fait un nombre incalculable de remarques sur le fait que la licence n'est pas libre, les gens en ont parlé mais ce n'était pas le début du thread. Tu sors toujours des phrases sentencieuses avec un brin de suffisance mais tu n'argumentes pas. Je suis ouvert à la discussion et contrairement à toi je n'insulte personne. Prouve moi que le thread de départ parlait d'éthique.
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Je vais aller de ce pas m'installer Netscape 7, Oracle, DJBDns et pine, et m'acheter une carte nvidia flambant neuve.
[^] # Re: Bind vs DJBDns
Posté par boubou (site web personnel) . Évalué à 1.
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
[^] # Re: Bind vs DJBDns
Posté par boubou (site web personnel) . Évalué à 0.
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Bind vs DJBDns
Posté par Anonyme . Évalué à 1.
Si j'avais le temps, je pourrais aussi faire une compile de citations cocasse, comme
« Ca, c'est un argumentaire général qui ne s'applique pas vraiment au cas des logiciels de Bernstein. Le problème c'est que tu ne sembles pas disposer à dépasser le stade enfantin, "ce n'est pas libre, donc ce n'est pas bien". Dommage. »
==>
« Ca, c'est un argumentaire général qui ne s'applique pas vraiment au cas des logiciels de Bernstein. »
Pas d'argument.
« Le problème c'est que tu ne sembles pas disposer à dépasser le stade enfantin,»
Dénigrement de l'interlocuteur.
« "ce n'est pas libre, donc ce n'est pas bien". Dommage. »
Pas d'argument.
C'est maigre non ?
<==
Mais je n'ai pas le temps, dommage.
[^] # Re: Bind vs DJBDns
Posté par boubou (site web personnel) . Évalué à 1.
[^] # Re: Bind vs DJBDns
Posté par bleh . Évalué à 2.
Ses commentaires sont généralement bien plus aboutis que bien des commentaires que j'ai pu lire sur ce thread (je pourrai aussi faire une compilation des arguments de JJB qui se résument souvent à "va faire joujou"). Il a dès le départ donné des arguments pour le choix de DJBDNS en lieu et place de BIND, je les rappelle (quitte à faire une compilation autant qu'elle soit complète) :
- Les logiciels de Bernstein implantent scrupuleusement les standards
- Le code source est disponible et est sérieusement audité (la réputation de Bernstein question code n'est plus à faire)
- Il est toujours possible de modifier les sources pour un usage personnel et si le besoin se fait sentir, il est possible d'envoyer un patch à Bernstein.
- Qmail n'a pratiquement jamais eu de vulnéraibilité, de même pour DJBDNS.
Ce à quoi tu opposes : "ce n'est pas libre". Soit. Maintenant la problématique posée par boubou est toujours valable : "Pour l'instant, il y a deux choix. Serrer les fesses avec des logiciels libres pourris ou prendre des logiciels de Bernstein". C'est bien tout le sujet de ce thread technique je le rappelle. Maintenant suivant qu'on est informaticien pur ou utilisateur épris de liberté on ne choisira pas de la même façon :
- Rester sur une ligne "dure" en continuant avec BIND par idéologie pour les fans du libre
- Faire un compromis en utilisant un logiciel de qualité pour ceux pour qui la technique passe en premier.
Est-ce si dur à admettre ? En lisant certains commentaires, j'ai l'impression d'être à un congrès de groupies de patrick bruel et de mon coté j'attends encore une réponse constructive à un de mes commentaires. La discussion a toujours été ouverte, simplement face à la pauvreté de certains arguments on reste sur sa faim et on se désole de commentaires comme les tiens (dans ce thread hein ! j'ai pour ma part souvent aprécié certaines de tes interventions). C'est triste.
bleh
Au passage je définis ce que "affirmation gratuite" veut dire : affirmation dénuée d'argumentation, arbitraire.
[^] # Re: Bind vs DJBDns
Posté par Jar Jar Binks (site web personnel) . Évalué à 0.
[^] # Re: Bind vs DJBDns
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
Je suis sur qu'il va ajouter une commentaire deplaisant apres ce message car il veut avoir le dernier mot.
Merci pour avoir essaye de discuter la licence de DJBDNS, ainsi qu'a tous ceux qui ont argumente leur position dans ce forum
EOT.
[^] # Re: Bind vs DJBDns
Posté par boubou (site web personnel) . Évalué à 1.
# Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 2.
- La configuration est en effet tres differente de BIND: plus simple, plus dure a casser par accident :-), facile a lire, facile a scripter (web front-end, etc.)
- Il y a beaucoup de FUD autour de DJBDNS .. Toutes les fonctionalite que vous pourriez desirer sont la. Pour plus d'info http://www.fefe.de/djbdns/(...) qui repond a toutes les questions que vous pourriez avoir
- Il n'y a pas de probleme de licence avec DJBDNS, la licence est libre mais ne permet pas de modification, car l'auteur est visiblement paranoiaque et ne veux pas que les vendeurs bidouille le code et cree des faille de securite. En tant qu'utilisateur vous pouvez parfaitement modifier le code si ca vous plait (voir www.qmail.org, www.djbdns.org, www.lifewithqmail.org and www.lifewithdjbdns.org)
- pour des RPMS simple a installer voir : http://www.mandrakesecure.net/en/docs/djbdns.php(...)
J'utilise DJBDNS dans le cadre de mon travail comme primary et secondary DNS server et il n'y a aucun problemes. Il y a des cas ou BIND est mieux adapte mais pour la plupart des utilisateur DJBDNS est probablement un meilleur choix que BIND.
(Dernier point, vous n'avez aucune chance de me faire changer d'avis sans "real world case", et je ne compte pas defendre ma position dans ce forum, donc ce n'est pas vraiment la peine de repondre a ce message.)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à -1.
Tu te rends compte de la connerie que tu viens d'écrire ?
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 0.
J'aurais du prendre le temps d'ecrire le message precedant correctement, ca aurait evite pas mal de "s" manquant. Mon point etait de donner des URL de site a lire pour dissiper toute FUD et informer a propos de DJBDNS.
Il est vrai que qmail a cette sale reputation de licence, pour ce que ca interresse le lien est http://cr.yp.to/qmail/dist.html(...) mais djbdns n'est pas sous la meme licence que qmail ... Damn ...
Donc un lien de plus: http://cr.yp.to/distributors.html(...)
Et une copie de la licence si un click est trop dur
" You don't need to read this page if you simply want to use my software. You are free to download the software from my web server; you then own that copy of the software, and you are free to compile it and run it. "
Plus loin: " Some of my software is in the public domain "
Damn, ca resemble vraiment a un EULA de Microsoft ... C'est pour ca que daemontool, et pas mal d'autre applications de DJB sont disponible avec les CD de Mandrake.
Maintenant j'aurai du ecrire :
la licence est libre mais ne permet pas de modification si on a l'intention de redistribuer un binaire de l'application
Personnellement comme j'ai mes propres RPM je m'en fou royalement. Et comme je suis posseseur ma copie des sources, je peux probablement changer la licence et fournir un travail derive (du moment qu'il n'a pas le meme nom).
Note: Les avocats discutent toujours la validite de la licence GPL alors pour celle de Dan on peux encore surement troller a tout va.
C'est vrai que les problemes de licence, c'est vachement bien pour troller.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Cédric Blancher . Évalué à 3.
Alors ce n'est pas libre.
Une licence n'est pas "libre mais ne permet pas de...", elle est libre, ou non, et dans le cas présent, c'est non.
D'apres l'AFUL, un logiciel libre, est défini par :
Sont considérés comme libres les logiciels disponibles sous forme de code source, librement re-distribuables et modifiables, selon des termes proches des licences "GPL", "Berkeley" ou "artistique" et plus généralement des recommandations du groupe "Open Source"
-1 si je pouvais, parce que ca feed bien le troll ;)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 0.
De plus je suis assez d'accord avec les raisons qui le pousse a agir de cette facon, mets une application sous CVS et tu vas voir un paquet de code merdique (et insecure) dans l'application. Si on regarge les application GPL ou BSD, il y a:
- ou un gentil dictateur (Linux)
- ou un groupe limite de personne avec access au (CVS)
Cette licence garantie qu'une application estampille "DBJ" (source RPM, code installe par une SSI) te peux dormir sur tes deux oreilles pendant que H4x00r essaye de casser ta machine.
Maintenant, en effet l'OSI ne certifira jamais la licence de DJB mais est-ce important ?
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à -1.
Tu choisis les outils de DJB parce qu'ils sont techniquement bons, c'est ton choix, mais tu as les inconvénients des logiciels propriétaires, car C'EST un logiciel propriétaire.
Vu le temps qu'on met à se débarrasser de Pine, j'espère qu'il n'en sera pas de même d'un composant aussi critique qu'un le serveur DNS.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Olivier Jeannet . Évalué à 0.
Tu te rends compte de la connerie que tu viens d'écrire ? ( (c) JJB 17/11/2002 @ 00:59 ;-)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Anonyme . Évalué à 1.
Un logiciel « libre » qu'on ne peut pas redistribuer avec ses modifs n'est pas libre.
A court terme : j'ai envie de pouvoir balancer tel logiciel un peu modifié à mon frangin.
A long terme : j'ai envie de pouvoir télécharger des paquets fait par des devel. Debian et RedHat pour mettre à jour mes machines.
Ta licence ne permet pas cela : conclusion, ce n'est pas libre.
Ceci dit, ce n'est pas trop inquietant : vu la restriction que met aux distributeurs, pas de risque qu'ils le diffusent.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 2.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
Ceci dit, ton analogie avec Pine est mauvaise. Pine est comme Netscape, leur licence n'est pas libre mais ils ont ete distribue durant longtemps par les majors (Redhat, Mandrake, Suse). Les DJBware ne sont dans aucune distribution depuis que Qmail a ete enleve de OpenBSD (Seul Mandrake offre une option d'installation facile de BINAIRE via ftp, avec l'accord de DJB, si si ...)
Bitkeeper est proprietaire et gratuit d'utilisation dans certain cas. DJBDNS est libre d'utilisation et de modification avec une close restrictive de distribution. Il y a une difference.
Mais mon bout n'etait pas de discuter la licence. Tu as ton avis, J'ai le mien. point.
Je ne me sens pas l'ame d'un revolutionaire communiste (je n'ai rien contre les communistes), je suis un techie, mon principal soucis est la practicalite pas d'essayer de changer le monde a mon image, ca c'est le but des ideologistes.
Mais pour en revenir a la question: "Est-ce mieux d'utiliser DJBDNS ou BIND ?"
La reponse est:
* Si vous vous foutez de la licence, et seulement voulez access au code "au cas ou", DJBDNS est techniquement superieur. (plein de gens utilise Netscape ou Pine sans problemes)
* Si vous etes parmis le %age des gens qui choissent leurs applis en fonction de la licence c'est votre droit.
Je ne force personne a utiliser du DJBware, si mes competiteurs utilisent sendmail et bind, ca me fait meme plaisir. Il est seulement dommage de voir a quel point une application crutiale comme DNS (voir la DDOS recente sur les root DNS servers) est laisse a une application comme BIND. (Pour des raisons economiques et non ideologiques)
Ps: Merci a ceux qui corrige mes fautes dans leur reponse .. ;-)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Anonyme . Évalué à 1.
Je ne savais pas que Mandrake incitait les gens à mettre en place des solutions non libre. Bon à savoir.
« Bitkeeper est proprietaire et gratuit d'utilisation dans certain cas. DJBDNS est libre d'utilisation et de modification avec une close restrictive de distribution. Il y a une difference. »
Il y'a une différence tu as raison. Ce n'est pas strictement la meme chose, tu as raison.
Mais quoi qu'il en soit, ces deux logiciels ont aussi un point commun : ils ne sont pas libre.
Tu insistes sur le « libre d'utilisation » : un shareware l'est aussi.
Tu parles de liberté de « modification » : sans pouvoir redistribuer ses modifs, ça ne sert (pas de partage, pas d'avancée pour tous - en dans un contexte plus général, pas de distribution ; il faut tout faire soit meme)
« Je ne me sens pas l'ame d'un revolutionaire communiste (je n'ai rien contre les communistes), je suis un techie, mon principal soucis est la practicalite pas d'essayer de changer le monde a mon image, ca c'est le but des ideologistes. »
Que veut dire ce mot « idéologiste » ?
Et que veut dire « practicalité » ?
Tout ce que j'arrive à comprendre, c'est que tu veux donner de toi meme l'image de quelqu'un qui ne pense qu'à la technique.
C'est ton droit.
Mais n'estime pas honteux que lorsque le débat porte sur le choix qui est fait par les distributions libres d'autres estiment que la technique n'est pas seule en ligne de compte.
« * Si vous vous foutez de la licence, et seulement voulez access au code "au cas ou", DJBDNS est techniquement superieur. (plein de gens utilise Netscape ou Pine sans problemes)
* Si vous etes parmis le %age des gens qui choissent leurs applis en fonction de la licence c'est votre droit. »
La licence est un moyen, pas une finalité.
Les gens ne choisissent pas de logiciel en fonction d'une licence mais en fonction des droits qu'ils auront (et la licence leur donne cette information).
Note que tu prends le parti de t'afficher comme du camps de ceux qui se foutent des licences. J'espère que tu es conscient que l'auteur du logiciel dont tu fais la promotion ne voit pas du tout les choses comme toi.
« a quel point une application crutiale comme DNS (voir la DDOS recente sur les root DNS servers) est laisse a une application comme BIND. (Pour des raisons economiques et non ideologiques) »
Tu peux justifier tes assertions ? Des raisons économiques, oui ?
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par boubou (site web personnel) . Évalué à 2.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par bleh . Évalué à 3.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 2.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
Minix est juste une implementation pour etre etudee de Tanenberg (desole si j'ecorche son nom) et rien de plus.
Tanenberg n'a jamais eu l'intention de supporter Minix plus que ca, c'est pourquoi les developpeurs de patches se sont tournes vers Linux ou xxxBSD. Frustre de ne pas pouvoir l'ameliorer ou le faire marcher sur leur PC.
J'attend ton message qui me dira que je suis un gros con et que je n'ai rien compris a la vie, et cetera, et cetera :-)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par bleh . Évalué à 1.
Tanenbaum ;-) mais t'inquiète pas il m'a dit qu'il t'en voulait pas :+)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Si DJB décide que son logiciel ne doit pas servir à <insérez>, son évolution dans cette direction sera impossible, même avec un fork.
Mais à part ça, c'est un logiciel libre.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 2.
L'argument cependant est serieux. Tu fais des analogie et faire dire des chose au gens qu'ils n'ont pas dit.
Tu as ce que trouvera toujours dans un forum des gens avec des avis different qui ne pourront jamais tomber d'accord. C'est la nature humaine. Maintenant, ce qui est important c'est la tolerance aux idees des autres meme si on est en total desaccord.
Je pense que la licence est libre, quelque soit ton opinion, j'ai le droit de garder le mien. J'ai ecoute ton argumentation, j'ai compris ta position et pense toujours que tu as une position trop extreme. Maintenant, tu peux surement dire la meme chose de moi, et comme toi, je ne serai pas d'accord avec ton analyse.
Seul les fait scientifique peuvent passer une demarche experimentale. C'est pour cela que je dis que la licence de DJB ne passe pas "l'experience OSI" mais que cela ne te permet pas de dire que cela ne passe pas "l'expression libre" car la definition de libre est trop flou, et que pour moi libre =/= OSI.
Cependant, nous avons tous ete d'accord pour dire que la licence de DJB est plus restrictive que celle sous le sigle OSI.
Maintenant, tu as deux choix:
- repeter encore une fois que j'ai tord, que blabla
- en rester la.
Moi je vote pour 2, j'ai passe assez de temps dans ce forum.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Olivier Jeannet . Évalué à 1.
Juste un peu, c'est Tanenbaum ! Andrew S. Tanenbaum pour être complet.
Sa page : http://www.cs.vu.nl/~ast/(...)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Olivier Jeannet . Évalué à 1.
Tu n'es pas sérieux ou de mauvaise foi.
Le jour où Oracle publiera les sources de sa base de données, et où on pourra publier des patches comme on veut pour l'améliorer ou corriger des bugs, tu nous préviens.
De plus, la réputation de sécurité des programmes de Daniel Bernstein n'est plus à faire, il y a même un prix pour celui qui découvrirait un faille dans qmail (il y a même un 2e prix par un groupe d'utilisateur, en plus du prix offert par DJB lui-même, et ça fait un paquet d'années que ça tient).
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Anonyme . Évalué à 1.
?
Ton interlocuteur ne dit pas que les logiciels DJB sont exactement dans la meme situation qu'Oracle, il te parle de leurs points communs.
Il me semble qu'il a déjà donné ses explications. Réponds à ses arguments, ou pas. Mais pas à coté (la sécurité des programmes de DJB)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par boubou (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Olivier Jeannet . Évalué à 2.
Je suis assez d'accord avec toi, si j'étais l'auteur d'un soft que je voulais très sécurisé, dont je publie les sources, je serais assez tenté d'adopter un modèle à la DJB, sachant que peu de gens savent vraiment bien coder.
Je serais ouvert à toutes les suggestions, mais je rejetterais les idées/modifications que je jugerais mauvaises ou superflues (je parle de l'inclusion dans ma version officielle).
C'est comme pour le noyau Linux, Linus rejette tous les patches qu'il juge de qualité ou intérêt insuffisant, mais n'empêche pas les autres de les appliquer dans une arborescence à eux. La différence avec DJB c'est que le noyau modifié a toujours le droit de s'appeler Linux, encore que je trouve la nuance mince entre :
- redistribuer un djbdns déjà patché (cas où djbdns serait BSD ou GPL), et
- redistribuer les sources originales de djbdns avec un patch perso à appliquer (cas actuel).
En pratique ça revient au même. (et pour le noyau, les gens auront tendance à préférer le noyau de Linus, ou alors d'un lieutenant de confiance comme Alan Cox)
Je trouve ça dingue de dénigrer les logiciels de DJB, alors qu'il fait du code de grande qualité, dont on a les sources, qu'on peut analyser et modifier à sa guise (oui, avec une petite restriction sur la façon dont on redistribue). C'est un superbe don à la communauté et au monde informatique en général.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
Simplement arrête de raconter qu'ils sont libres, car c'est tout simplement faux.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Anonyme . Évalué à 1.
La redistribution est une liberté tout autant importante que les 3 autres. A vrai dire, sans celle-ci les autres sont vaines.
Ce logiciel n'est pas libre.
Argumente sur ce sujet ou ouvre un nouvel fil au lieu de détourner la discussion sur de la publicité gratos (« du code de grande qualité ») pour mieux revenir en oubliant les arguments des autres pour nous parler de « superbe don à la communauté » (quelle communauté ?).
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par boubou (site web personnel) . Évalué à 1.
Voilà une accusation bien pathétique. Tout le monde est d'accord pour dire que djb code de façon superbe alors arrête ton cinéma.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Moby-Dik . Évalué à 1.
Un peu léger comme troll :-)) Rien ne t'oblige à donner un accès en écriture à tous au CVS. La branche principale appartient aux gens qui ont le droit (techniquement) de la modifier. Les autres n'ont qu'à faire un fork, ou distribuer des versions modifiées.
te peux dormir sur tes deux oreilles pendant que H4x00r essaye de casser ta machine.
C'est beau de rêver. Laisse-moi deviner, tu es spécialiste en sécurité ?
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 2.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Olivier Jeannet . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par boubou (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par boubou (site web personnel) . Évalué à 2.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Jar Jar Binks (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par boubou (site web personnel) . Évalué à 1.
D'autre part, Oracle a très peu de bugs, mais en a. Alors que ce n'est pas le cas des outils de Bernstein. Mon point de vue est que la possibilité à tous de lire le source permet de réduire le nombre de bugs. Mais tu noteras bien que ça n'implique absolument pas d'être open source ou libre...
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
C'est le meilleur argument de cette thread ..
Et oui, je plaisante !!!
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Olivier Jeannet . Évalué à 1.
Ben viens dire ça ici à mes collègues qui s'en servent, et qui rencontrent quelques bugs, ou qui doivent parfois utiliser la version 8.5.1.2 au lieu de la 8.5.1.3 (chiffres au pif ;-) à cause d'on ne sait quoi. Je n'ai pas plus de détail mais je pourrais t'en donner en les questionnant. Les "drivers" aussi peuvent poser problème (je crois que c'est eux en fait).
Bon, c'est sous Windows (NT et 2000), mais quand même...
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par bleh . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Thomas Mangin (site web personnel) . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par cornofulgur . Évalué à 2.
If you think you need a license from the copyright holder, you've been bamboozled by Microsoft.
Selon Bernstein, les users ont le droit de modifier leurs logiciels. Ce n'est pas marqué dans la licence, mais dans la constitution US.
http://cr.yp.to/softwarelaw.html(...)
Nous étions bamboozlés et nous l'ignorions. Ceci est fixé. ;-)
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Moby-Dik . Évalué à 1.
[^] # Re: Nouvelle vulnérabilité dans BIND
Posté par Moby-Dik . Évalué à -3.
Quel intérêt de venir nous casser les b... alors ?
# Re: Nouvelle vulnérabilité dans BIND
Posté par zovi22 . Évalué à 1.
C'est surement ce genre de comportement qui le FREIN à la distribution de linux dans la sociéte.
Et puis, DJ Berstein, c'est son soft, il en fait ce qu'il veut ! Et vous idem !
On se croirait dans une cour d'ecole primaire, Madame il a dit que mon logiciel n'etait pas libre ...
Dominique Gallot
Et vive Windows, au moins c'est clair, c'est PAS libre !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.