je viens d'aller faire un tour sur le site du pureftpd, et il un message daté d'aujourd'hui qui indique qu'il est vulnerable au ls .*./*?/.*./*?/.*./*?/.*./*?/.*./*?/.*./*?/.*./*?/.*./*?/.*./*?/ et au ls */.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/*/.*/ . voir http://sourceforge.net/tracker/index.php?func=detail&aid=408892(...)
C'est simple. Prenons linuxfr.org (194.98.185.113) comme exemple.
Une IP est constituée de 4 octets. Transforme là en notation héxadécimale avec la calculatrice de ton choix, ce qui donne : 0xC262B971
194 => C2
98 => 62
185 => B9
113 => 71
Maintenant transforme ça en notation décimale, ce qui donne 3261249905
Pour une fois que ce n'est pas wu-ftpd la vedette :-)
M'enfin moi je viens d'assayer avec une version CVS de ProFTPD qui date d'octobre 2000 (un peu après la 1.2.0rc2) et ça n'a pas marché... j'ai pourtant insisté en mettant une bonne grosse ligne au cas où mais ça a fini par me dire "line too long" et c'est tout.
Par curiosité j'essayerai sur un BSD et sur un ProFTPD plus récent ;-)
Je viens d'essayer et effectivement le démon occupe les ressources tout doucement. Mais c'est très con comme "bug". Fais la même manip dans ton shell et tu vas voir. C'est sûr que si tu liste des répertoires un grand nombre de fois, tu risques de le voir passer, et je suppose qu'il n'a pas fallu attendre que la news passe sur linuxfr pour que ça éveille les consciences (enfin j'espère).
Et si quelqu'un le fait sur mon serveur, ça m'apprendra et ne pas updater/patcher mes services. Je préfère savoir et me protéger que faire l'autruche.
ca me ferait marrer (quoique) qu'un mec explose ton serveur ftp en ayant vu la commande sur linuxfr ;)
ceci dit, on peut faire l'autruche du genre: "si c'est pas moi qui le fait, ca sera qqun d'autre..."
moraliré: plus vite y zaurons corrigé le bug, mieux ca sera !
je rêve !!! cet horrible troll n'est même pas scoré -1 ???? mais enfin que font donc les modérateurs ! ! !
sur ce MOI je me mais un beau -1 comme ça tout le monde est content
Sampit (qui a la flemme de chercher son mot de pass)
> - le sénat (ou le congrès je sais plus) aux
> Etats-Unis (qui contrôle l'ICANN) ?
Le ministère du commerce au US (department of Commerce ou quelque chose du genre) a autorité sur l'ICANN.
> Bref, après le ratage de l'ICANN sur les
> nouveaux noms de domaine, l'édifice se craquèle
> et la cohérence du net est menacée ...
ya pas que les nouveaux TLD. En fait l'ICANN a merdé à peu près sur tout depuis le début (mise à l'écart des directeurs "At Large" élus, concession du .com à verisign/NSI, etc, etc)
Je pense pas que youcann soit la seule root alternative, il y en avait déjà 2 autres l'été dernier.
[^] # Re: et en plus, ça marche mal...
Posté par Anonyme . En réponse à la dépêche .god .z .earth et bien d'autres. Évalué à 0.
nslookup host.com mon_dns.net
[^] # Re: pas une tres bonne idee...
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à -1.
[^] # Re: pas une tres bonne idee...
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
[^] # Re: pub
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
[^] # Re: Je me demande pourquoi on y avait pas pensé plus tot !
Posté par Anonyme . En réponse à la dépêche .god .z .earth et bien d'autres. Évalué à 0.
Une IP est constituée de 4 octets. Transforme là en notation héxadécimale avec la calculatrice de ton choix, ce qui donne : 0xC262B971
194 => C2
98 => 62
185 => B9
113 => 71
Maintenant transforme ça en notation décimale, ce qui donne 3261249905
et voilà : http://3261249905(...)
# Wah
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
M'enfin moi je viens d'assayer avec une version CVS de ProFTPD qui date d'octobre 2000 (un peu après la 1.2.0rc2) et ça n'a pas marché... j'ai pourtant insisté en mettant une bonne grosse ligne au cas où mais ça a fini par me dire "line too long" et c'est tout.
Par curiosité j'essayerai sur un BSD et sur un ProFTPD plus récent ;-)
[^] # Re: et en plus, ça marche mal...
Posté par Anonyme . En réponse à la dépêche .god .z .earth et bien d'autres. Évalué à 0.
[^] # Re: pas une tres bonne idee...
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
Et si quelqu'un le fait sur mon serveur, ça m'apprendra et ne pas updater/patcher mes services. Je préfère savoir et me protéger que faire l'autruche.
[^] # Re: pas une tres bonne idee...
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
[^] # Re: pas une tres bonne idee...
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
ceci dit, on peut faire l'autruche du genre: "si c'est pas moi qui le fait, ca sera qqun d'autre..."
moraliré: plus vite y zaurons corrigé le bug, mieux ca sera !
[^] # Re: pas une tres bonne idee...
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
[^] # Re: pas une tres bonne idee...
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
[^] # Re: pas une tres bonne idee...
Posté par Anonyme . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 0.
héhé!
# hum hum ...
Posté par Anonyme . En réponse à la dépêche .god .z .earth et bien d'autres. Évalué à 0.
a+
--
Arnaud de http://techmag.net(...) qui a (re)perdu son pass :)
[^] # Re: ???
Posté par Anonyme . En réponse à la dépêche Install party chez Surcouf. Évalué à -1.
sur ce MOI je me mais un beau -1 comme ça tout le monde est content
Sampit (qui a la flemme de chercher son mot de pass)
# Mandrake est une entreprise de SPAM a grande echelle
Posté par Anonyme . En réponse à la dépêche Install party chez Surcouf. Évalué à 0.
Je n'ai à aucun moment donné d'adresse sur leur stand a cette expo!!!
Il parle de solutions globales Linux qui seront presentés à la Maison de la Chimie.
Encore un bon point pour cette boite qui decidement est tres loin de l'esprit de libertée et d'un internet coopératif :(
[^] # Re: Parts de marchée 2000 des OS serveurs ?
Posté par Anonyme . En réponse à la dépêche Marché des serveurs. Évalué à 0.
[^] # Re: Quel portable ?
Posté par Anonyme . En réponse à la dépêche Choisir un portable pour Linux. Évalué à 0.
je galère avec Alsa pour configurer ma carte maestro 3 sur mon gateway 5300.
Fais-moi un signe, stp : Pascal@deenoo.com
Tu pourras m'aider pour configurer mon portable si je peux t'exposer mon problème. ;-)
Merci. a+
[^] # Re: ???
Posté par Anonyme . En réponse à la dépêche Install party chez Surcouf. Évalué à 0.
[^] # Re: t as pas raison !
Posté par Anonyme . En réponse à la dépêche "Potential killer" à cause d'un bug, si, si, c'est possible.... Évalué à -1.
[^] # Re: Confirmer quoi ?
Posté par Anonyme . En réponse à la dépêche Mac Os X Server, une jolie boite. Évalué à 0.
# confrere?
Posté par Anonyme . En réponse à la dépêche FreeBSD Handbook. Évalué à 0.
[^] # Re: comprends pas ...
Posté par Anonyme . En réponse à la dépêche Vous ne maîtrisez pas Perl ?. Évalué à -1.
[^] # Re: Ah bon?
Posté par Anonyme . En réponse à la dépêche L'avenir est au disque dur. Évalué à 0.
http://linuxfr.org/topic/Hardware/2297,0,-1,0.html(...)
[^] # Re: Complètement stupide !
Posté par Anonyme . En réponse à la dépêche .god .z .earth et bien d'autres. Évalué à 0.
> Etats-Unis (qui contrôle l'ICANN) ?
Le ministère du commerce au US (department of Commerce ou quelque chose du genre) a autorité sur l'ICANN.
> Bref, après le ratage de l'ICANN sur les
> nouveaux noms de domaine, l'édifice se craquèle
> et la cohérence du net est menacée ...
ya pas que les nouveaux TLD. En fait l'ICANN a merdé à peu près sur tout depuis le début (mise à l'écart des directeurs "At Large" élus, concession du .com à verisign/NSI, etc, etc)
Je pense pas que youcann soit la seule root alternative, il y en avait déjà 2 autres l'été dernier.