Stéphane Bortzmeyer a écrit 675 commentaires

Je suis étonné qu'il n'y ait encore aucune faille nommée Hantavirus.

Sauf que des gens ont supprimé le contournement (le dirtyfrag.conf) une fois le noyau mis à jour (par exemple les gens qui avaient besoin d'IPsec).

Notez que le POC ne marche ni avec Debian, ni avec Kali. https://www.bortzmeyer.org/fragnesia.html

Et rappelons-le un million de fois : CopyFrag et DirtyFail ne nécessitent PAS de shell pour être exploités.

Attention, accès local ne veut pas dire un compte avec un shell et un mot de passe et qu'on se connecte en SSH. Ça peut vouloir dire aussi un démon non privilégié mais bogué (comme Apache cette semaine ou comme certainement beaucoup de scripts PHP).

Attention, c'est faux. Même si les modules ne sont pas chargés, la machine est vulnérable. (Ils sont chargés par le programme d'exploitation.)

https://dirtyflag.io/

Si on veut des explications techniques détaillées : https://thecybersecguru.com/news/dirty-frag-linux-kernel-root-vulnerability/

Les noyaux mis à jour viennent d'arriver dans Debian.

Encore mieux, appliquer le contournement documenté par les découvreurs de la faille, 'echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf'

https://wiki.debian.org/fr/KernelModuleBlacklisting explique bien pourquoi blacklist ne marche pas.

L'une des meilleures est la contribution commune CZ-NIC/ISC/NLnetLabs (et un quatrième que je ne connais pas) : https://www.isc.org/blogs/open-digital-ecosystem-response/

Je suis complètement opposé à l'idée de faire un curl https://xxx | bash

Lu sur le fédivers : If we added a --install option to curl, we could optimize many a | sh - pipeline away.

Mais les très nombreuses contributions sont publiques : https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/16213-European-Open-Digital-Ecosystems/feedback_en?p_id=21875

Hop, et voici, c'est publié (comme les autres contributions) : https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/16213-European-Open-Digital-Ecosystems/F33370689_en

Oui, le texte de la Commission reste fidèle au marché. Quand il dit « la viabilité commerciale des innovations libres », il affirme bien qu'il n'y aura pas de préférence politique pour le logiciel libre, qu'il faudra que PeerTube boxe dans la même catégorie que GoogleTube :-(

Forces, faiblesses et obstacles : « Quelles sont les forces et les faiblesses du secteur open source de l’UE ? Quels sont les principaux obstacles qui entravent (i) l’adoption et la maintenance d’un open source de haute qualité et sécurisé ; et (ii) les contributions durables aux communautés open source ? »

Ce n'est pas tout à fait ce qui est demandé. Le texte parle bien de logiciel libre. Je copie-colle ici : « Quelles sont les forces et les faiblesses du secteur des solutions libres de l’UE? Quels sont les principaux
obstacles qui entravent i) l’adoption et la maintenance de solutions libres de qualité et sécurisées et (ii) les contributions durables aux communautés des solutions libres? »

Je suis en train de rédiger la proposition de réponse de mon employeur. C'est toujours un plaisir de lire les textes européens. Bon, je trolle, mais cette consultation est importante et j'invite tout le monde à participer.

Quel rapport, puisqu'aucun de ces deux sites ne vend quelque chose ?

Autre « red flag », le nom de domaine openalis.fr (utilisé pour leur courrier électronique) est enregistré par une personne physique (et pas une entreprise) et donc masqué. Ça ne fait pas très sérieux.

Il y a plein de choses bizarres dans ce texte, qui n'était peut-être pas écrit par un francophone. Je me demande bien ce que sont les « transitions viscérales » par exemple. J'hésite à mettre un -1.

«  l’infrastructure même du web » Argh, Clubic a encore fait très fort. (Le DNS existait bien avant le Web.)

Le taux de développeur sur github, c'est curieux: pourquoi ne pas considérer gitlab, codeberg… et les forges indépendantes ?

Probablement tout simplement parce que ça complique sérieusement le travail, et que ça augmente donc le coût de l'étude. C'est pour la même raison que Software Heritage, au début, n'archivait que Github.

En https://edrix.eu/en/report tous les liens "OSOR Fact Sheet (PDF)" sont cassés. On ne peut donc pas consulter les données.

Les deux plus mauvais pays sont Malte et Chypre, mais ce ne sont pas réellement des pays, juste des paradis fiscaux avec du tourisme.

Après eux, le plus mauvais est l'Irlande, pays d'adoption de toutes les Big Tech non-européennes qui veulent un havre fiscal dans l'UE.

Clairement. Gemini est séparatiste, au sens où il n'essaie pas d'améliorer le Web, tâche considérée comme sans espoir, mais de créer autre chose.

Mais les lecteurices de LinuxFr sont super-intelligent·es et donc ont toustes compris que c'était de l'ironie (sans avoir besoin de la béquille intellectuelle qu'est le smiley).