Journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?

Posté par . Licence CC by-sa.
32
4
avr.
2017

Un ami utilisateur de Mageia m’a fait suivre le lien suivant : https://ml.mageia.org/l/arc/council/2017-04/msg00000.html.
Cliquer sur « I am not a spammer » et recharger le lien de nouveau pour afficher le message, car il y a un bogue sur leur interface qui fait que le message n’est pas affiché lors du premier chargement.

Pour ceux qui ne lisent pas l’anglais, ce message d’un contributeur sur un ton disons plutôt énervé, explique que les serveurs de l’infra Mageia tournent encore en Mageia 4, voire Mageia 1 pour certains. C’est‐à‐dire une distribution qui ne reçoit plus de mises à jour de sécurité depuis pas loin de 5 ans.

Quand on sait que ce sont ces mêmes serveurs qui sont chargés de compiler, signer et distribuer les paquetages de mises à jours, il y a de quoi se poser des questions sur la sécurité des utilisateurs. Est‐ce bien raisonnable de continuer à fournir aux utilisateurs une distribution dont la sécurité dépend d’une infrastructure complètement trouée ?

Vient ensuite la question de ce qui a motivé ce message aujourd’hui. Ont‐ils découvert une intrusion sur leurs serveurs ? Vont‐ils avertir leurs utilisateurs ? Tout cela n’est pas clair.

  • # Ha, ouais.

    Posté par (page perso) . Évalué à 6.

    Est-ce bien raisonnable de continuer à fournir aux utilisateurs une distribution dont la sécurité dépend d'une infrastructure complètement trouée ?

    J'ai eu un "avertissement" (par des plugins) sur le SSL utilisé avec Firefox :
    TLS 1.0, alors que TLS 1.2 permet d'éviter quelques attaques
    SHA-1 toujours utilisé.
    Plein d'alarmes sur SSLabs
    J'imagine que ça vient du fait de la vieille distro sur la machine, mais ça fait pas sérieux.
    Pas si facile de faire une offre sécurisée…

    Bref, effectivement ça ne donne pas envie de filer les clés de sa machines à cette distro vu l'exemple donné (ouf, je ne l'utilise pas :) ).

    sinon, pas compris l’intérêt de l'anti-spam en lecture.

    PS : bon, pour le troll : alors pour une distro sécurisée, vous êtes CentOS ou Ubuntu?

    • [^] # Re: Ha, ouais.

      Posté par . Évalué à 5.

      PS : bon, pour le troll : alors pour une distro sécurisée, vous êtes CentOS ou Ubuntu?

      On peut répondre FreeBSD ? c'est aussi une distro, pas Linux certes mais une distro quand même. :-)

      kentoc'h mervel eget bezan saotred

      • [^] # Re: Ha, ouais.

        Posté par . Évalué à 5.

        Et par contre, si on veut un kernel "Linux Inside", côté sécurité je pencherais pour Debian.

        • [^] # Re: Ha, ouais.

          Posté par . Évalué à 1.

          Je découvre Alpine, et c'est vraiment chouette.

    • [^] # Re: Ha, ouais.

      Posté par (page perso) . Évalué à 6.

      sinon, pas compris l’intérêt de l'anti-spam en lecture.

      C'est une feature de base de sympa. Personne n'a envoyé de patch pour la retirer (sur sympa, ou sur le dépôt puppet de mageia), et j'ai déjà eu asse de mal à faire passer sympa dans puppet à l'époque.

      J'ai appris ceci dit que le travail pour une nouvelle interface est en cours (cf https://listes.renater.fr/sympa/arc/sympa-fr/2017-04/msg00000.html ), donc à défaut d'envoyer du code (je ne me fait plus d'espoir), tu peux sans doute aller ouvrir un bug (et c'est en français, donc pas de souci avec la langue).

  • # Tu ne sais pas

    Posté par (page perso) . Évalué à 10.

    « Quand on sait que c'est ces même serveurs qui sont chargés de compiler, signer et distribuer les paquetages de mises à jours »

    Tous les serveurs qui sont chargés de compiler, signer et distribuer les paquetages de mises à jours sont en Mageia 5 depuis longtemps.

    • [^] # Re: Tu ne sais pas

      Posté par . Évalué à 5.

      D'accord mais votre serveur de gestion des comptes utilisateurs et de leur permissions (https://identity.mageia.org/) est toujours en Mageia 1. Une fois pris le contrôle de ce serveur il est trivial de prendre le contrôle des autres.

      • [^] # Re: Tu ne sais pas

        Posté par (page perso) . Évalué à 6. Dernière modification le 04/04/17 à 19:21.

        Pas trivial directement je pense (je crois c'est un frontend web qui n'a pas beaucoup plus de droits sur le ldap que les gens qui s'y connectent), mais oui si tu demandes ensuite a un admin de se connecter a ce site et tu recuperes son mot de passe.

        • [^] # Re: Tu ne sais pas

          Posté par . Évalué à 7.

          Une toute petite recherche sur votre wiki te permettra de voir que c'est l'interface qui permet aux packageurs de mettre à jour la clef ssh leur permettant de se connecter aux serveurs:
          https://wiki.mageia.org/en/Packagers_ssh

          Donc je maintient, prendre le contrôle de ce serveur qui tourne en Mageia 1 (trivial si l'on regarde le nombre de failles publiées ces 5 dernières années, surtout quand on voit le nombre de services qui tournent dessus) permet trivialement de prendre le contrôle des autres.

          Faut il vraiment aller jusqu'à vous en faire la demonstration pratique pour obtenir autre chose en réponse qu'un "tu ne sais pas" ?

          • [^] # Re: Tu ne sais pas

            Posté par (page perso) . Évalué à 5.

            "Tu ne sais pas" est en référence au mensonge du journal qui dit savoir. On est tous bien conscient du besoin de mettre a jour ces serveurs depuis longtemps, merci.

            Et non ce lien ne change rien, les gens ont le droit de changer la clé ssh de leur propre compte et ce n'est pas ce serveur qui décide.

            Donc oui tu peux prendre le controle du compte d'autres packageurs et commiter des trucs qui sembleront venir d'eux, mais la clé ssh ne donne acces que a certains services (en fonction des groupes, en general certain repos svn et git).

            Les admins eux ont plus de droits et peuvent aussi modifier les autres utilisateurs, donc oui si tu prends le controle de leur compte c'est un probleme.

            • [^] # Re: Tu ne sais pas

              Posté par . Évalué à 4.

              Tu peux le tourner comme tu veux, ce que je t'explique c'est que la sécurité de toute votre infrastructure de compilation de packages et mises à jour repose sur ce vieux serveur.

              Certes les serveurs chargés du build en lui même ne sont pas en Mageia 1, mais honnêtement ca n'a aucune importance, comme je l'ai dit le passage de l'un à l'autre est trivial.

              • [^] # Re: Tu ne sais pas

                Posté par (page perso) . Évalué à 1.

                Tu n'as rien expliqué jusqu'à présent.
                Et dire que c'est trivial ne le rend pas trivial.

                • [^] # Re: Tu ne sais pas

                  Posté par . Évalué à 10.

                  Un serveur troué qui gère l'interface d'admin des comptes ainsi que leurs clefs ssh et toi tu vois pas où est le problème ?

                  Que tu le veuilles ou non, c'est completement trivial. Les possibilités pour exploiter cela sont infinies. Au hasard ? Une petite modif dans le code de l'appli de gestion de comptes utilisateurs pour logger les logins/password, ne reste plus qu'à attendre qu'un admin se connecte et le tour est joué. Trop impatient, et les admins se connectent pas assez souvent la dessus ? Pas de problème, une petite visite sur bugs.mageia.org et wiki.mageia.org nous permet de voir qu'un header en javascript chargé depuis nav.mageia.org est inseré sur toutes vos pages. Ca tombe bien, ces 3 hostnames pointent tous vers la machine qui tourne en Mageia 1. On modifie donc le javascript du header mageia inseré sur tous vos sites dont le wiki et bugzilla pour envoyer sur un serveur distant le contenu des champs login/password, et on attend qu'un admin se connecte sur l'un de ces sites, ce qui devrait se produire assez souvent, et voila. Pas envie de faire du javascript ? On modifie le perl du bugzilla, ou le php du mediawiki pour logger login/password. Vraiment pas envie de coder ? Ok, on modifie la conf apache pour logger les données POST, et voila.

                  Que veux tu de plus comme explications ? Un guide point par point pour expliquer au premier script kiddie qui passe dans le coin comment s'y prendre ?

                  • [^] # Re: Tu ne sais pas

                    Posté par (page perso) . Évalué à 10.

                    Un serveur troué qui gère l'interface d'admin des comptes ainsi
                    que leurs clefs ssh et toi tu vois pas où est le problème ?

                    Le serveur est juste un client ldap élaboré. Donc si jamais tu prends le contrôle du dit serveur, tu va pas avoir plus de contrôle que si tu attaques le ldap directement. Tu va avoir en effet une vue sur ce qui se passe, mais c'est autre chose.

                    Au hasard ? Une petite modif dans le code de l'appli de
                    gestion de comptes utilisateurs pour logger les
                    logins/password, ne reste plus qu'à attendre qu'un admin se
                    connecte et le tour est joué

                    Puppet va reverter le changement (déploiement auto depuis git/svn), et/ou le signaler. Tu devrais pas faire tes attaques au hasard, ça a pas l'air de marcher dans la vraie vie.

                    Ok, on modifie la conf apache pour logger les données POST, et
                    voila.

                    Puppet va reverter le changement, et/ou le signaler (c'est le but de puppet).

                    Bien sur, tu peux couper puppet, mais dans ce cas, ça va lancer une alerte assez vite sur le monitoring pour dire que "tel client n'a plus puppet qui tourne"

                    Donc la fenêtre de tir est assez courte (grosso modo, puppet se lance toutes les heures), il faut que tu fasses une attaque et que dans l'heure, un des 5 ou 6 admins se connecte pour changer sa clé sur l'interface (et pas ldapvi).

                    Ou que tu attaques de façon plus spécifique pour pas te faire choper (ce qui est faisable, même si j'ai plus les détails en tête, j'ai tenté de fermer ça autant que possible).

                    Je ne dit pas que c'est impossible, mais on sort très clairement des attaques de script kiddies. De mon expérience (ie, à dealer avec des vraies attaques et à faire du forensic), puppet est déjà au delà des capacités des admins moyens (sinon, je pense qu'il y aurait eu plus de patch), et donc du script kiddie moyen. J'ai eu à dealer avec des serveurs compromis, et en général, la ligne de commande classique est souvent déjà au delà des capacités de l'attaquant lambda, comme n'importe qui qui a pu lire un .bash_history d'un serveur compromis ou d'un honeypot a pu le constater.

                    Soit tu tombes sur des gens motivés et avec des ressources, et c'est globalement foutu si tu as pas autant de ressources en face (une équipe legere d'attaquant, ça se chiffre dans les 2 millions par an, cf https://medium.com/@thegrugq/cyber-ignore-the-penetration-testers-900e76a49500 ). Soit tu va tomber sur des attaquants moins staffés, et en général, c'est des boulets qui vont faire du bruteforce classique. Il y a fort peu de cas entre les 2 (ou personne n'en parle, mais c'est un autre débat).

                    Donc si le but est de rajouter une backdoor, c'est infiniment plus sur et plus rapide de juste devenir packageur et de rajouter ça dans la distribution. Genre en changeant un tarball d'un soft utilisé partout mais pas signé (y en a un paquet). Ça ne serait pas pérenne, mais sans doute discret.

                    Ou voir même, de devenir admin. Il y a tellement besoin d'aide que je suis sur qu'une personne en 2 mois peut devenir root.

                    Et quand j'étais admin sur le projet, j'avais fini par abandonner l'idée de sécuriser quoi que ce soit contre moi même au vue du manque de ressources chroniques. Et encore une fois, mon expérience montre que c'est globalement pareil partout (vu que j'ai fini par faire de l'admin pour projet libre mon activité professionnel, parce que j'estime qu'il vaut mieux bosser pour corriger un problème que de chouiner sur linuxfr, ce qui n'est pas le cas de tout le monde).

                    • [^] # Re: Tu ne sais pas

                      Posté par (page perso) . Évalué à 5.

                      c'est le but de puppet

                      Encore mieux, maintenant on a Puppet (qui tourne quoi ? toutes les heures ?) qui sert aussi de HIDS.

                    • [^] # Re: Tu ne sais pas

                      Posté par . Évalué à 3.

                      Ahaha, le revert de la conf puppet comme sécurité. T'es sérieux ? Y a des tas de moyens pour contourner ça.

                      Ca va emmerder le script kiddie qui pirate un nouveau serveur toutes les 5 minutes de façon automatisée sans même s'interesser à ce qu'il y a dessus, ok. Mais la on parle pas d'un obscure blog en php, on parle de l'infra pour gérer une distro utilisé par un certain nombre de gens. Quand tu t'attaques à ça t'as je pense un peu de temps devant toi. J'ai déjà eu a faire des modifs sur des trucs déployés par puppet lors de pen tests pour des clients, ça a du m'emmerder pendant 5 bonnes minutes le temps de trouver comment contourner. Le but de puppet est clairement pas de sécuriser un serveur en forçant une config, ça se contourne de pleins de façons, faut pas chercher bien longtemps.

                      • [^] # Re: Tu ne sais pas

                        Posté par . Évalué à 10.

                        Aller au pif, tu modifies la conf apache avec ton hack, restart apache, revert la conf apache dans sa version originale sans restarter apache et le tour est joué. puppet va voir que la conf a pas changé et donc pas restarter apache.

                        C'est juste un exemple, on peut trouver 1000 autres façon d'arriver au même résultat.

            • [^] # Re: Tu ne sais pas

              Posté par (page perso) . Évalué à 3. Dernière modification le 04/04/17 à 20:03.

              On est tous bien conscient du besoin de mettre a jour ces serveurs depuis longtemps, merci.

              Le message "oui c'est comme WinXP, et alors? Circulez il n'y a rien à voir" est un peu léger et ne donne pas vraiment confiance dans l’intérêt que vous portez à la sécu alors que les utilisateurs vous donne la possibilité de leur filer des virus.

              Après, certes on peut faire valoir que l'idée est qu'il n'y a pas assez d'utilisateurs pour que ça vaille le coup de chercher à entrer sur la machine malgré les faiblesses, mais c'est une sécurité bof quand même.

              Et dire qu'un des arguments pour Linux en général est que les upgrades sont gratuits et que donc on n'est pas bloqué à une version dépassée…

              • [^] # Re: Tu ne sais pas

                Posté par . Évalué à 1.

                Le nombre d'utilisateurs est sans doute faible mais vu la simplicité de l'attaque, pour quelqu'un qui fait dans le traffic de botnet ca vaut le coup quand même.

              • [^] # Re: Tu ne sais pas

                Posté par (page perso) . Évalué à 3.

                Personne n'a dit qu'il n'y a rien a voir.

                La mise à jour de cette machine n'a pas eu lieu pendant longtemps pour diverses raisons.

                Il a ensuite été décidé de migrer les services vers une nouvelle machine en Mageia 5, et la migration de cette machine vers une nouvelle machine a commencé l'an dernier mais a pris beaucoup plus longtemps que prévu.

                Ce n'est pas une raison pour raconter des conneries.

                • [^] # Re: Tu ne sais pas

                  Posté par . Évalué à 1.

                  Le seul à raconter des conneries ici c'est toi, en niant la réalité et la gravité du problème.

                  • [^] # Re: Tu ne sais pas

                    Posté par . Évalué à -9.

                    Le seul à raconter des conneries ici c'est toi, en niant la réalité et la gravité du problème.

                    Je suis relativement d'accord avec vous. Du coup pourquoi ne pas faire un petit électrochoc en opérant une preuve par l'exemple vu que c'est trivial pour vous ?
                    Genre ce connecter au vieux serveur et le shutdown ou entrer une cron qui stop apache de temps en temps ou bien stopper logrotate ?
                    Je pense que ce genre de petits exemples vaut bien mille discours ;-)

                    kentoc'h mervel eget bezan saotred

                    • [^] # Re: Tu ne sais pas

                      Posté par (page perso) . Évalué à 10.

                      Et un petit tour en zonzon pour intrusion dans un système informatisé.

                    • [^] # Re: Tu ne sais pas

                      Posté par . Évalué à 4.

                      Il me semble que ce que tu suggère est illégal, et vu l'esprit de l'équipe mageia (s'attaquer à ceux qui signalent un problème et le nier plutôt que s'en excuser et le corriger), ils vont certainement très mal le prendre.

                      • [^] # Re: Tu ne sais pas

                        Posté par . Évalué à 3.

                        Bof je vais être obligé de le faire moi même alors.
                        pervers pépère

                        kentoc'h mervel eget bezan saotred

                      • [^] # Commentaire supprimé

                        Posté par . Évalué à 6. Dernière modification le 05/04/17 à 21:48.

                        Ce commentaire a été supprimé par l'équipe de modération.

                        • [^] # Re: Tu ne sais pas

                          Posté par (page perso) . Évalué à 5.

                          Il ne fait pas : "tu n'as aucune démonstration que ça craint, arrête de dire que ça craint".
                          Il le fait : "c'est pas bien, fallait pas".

                          Bravo!

                • [^] # Re: Tu ne sais pas

                  Posté par (page perso) . Évalué à 1. Dernière modification le 04/04/17 à 22:10.

                  La mise à jour de cette machine n'a pas eu lieu pendant longtemps pour diverses raisons.

                  Excuse-moi, tu es en train de dire que tu demandes aux "méchants" d'attendre car vous n'avez pas eu le temps de vous occuper de la sécurité de vos machines?
                  La sécurité ne peut se permettre cette attente.

                  Bon, une dernière question : Sony qui aurait dit "ouais, vos données CB, c'est parce que La mise à jour de cette machine n'a pas eu lieu pendant longtemps pour diverses raisons", tu aurais réagis "ha, ok, merci pour l'info, plus de critiques doc"? On peut parler aussi de StartSLL.
                  Quand on gère la sécurité pour d'autres (ici, les autres filent les clés de leur accès à leur données, et à une machine pour bot), c'est un sacré engagement, ça n'attend pas.

                  Note que je ne sais pas si tout ça est vrai, mais si "tu peux prendre le controle du compte d'autres packageurs et commiter des trucs qui sembleront venir d'eux" car c'est trop vieux (certes hypothétique, mais comme pour WinXP), ça craint un peu quand même, et "pas le temps" n'est pas une excuse (si on n'a pas le temps, on éteint la machine pour éviter un hack potentiel, le temps d'avoir le temps).

                  Et comme ça été dit, ce n'est pas que vous (admin et utilisateurs), vu que ça donne accès potentiellement à des bots (à partir du moment où le ratio coût de hack / utilisateur est bon), donc tout le monde est potentiellement touché.

            • [^] # Re: Tu ne sais pas

              Posté par (page perso) . Évalué à 1.

              "On a une porte en papier mais, vous inquiétez pas, les murs sont solides."

              "Commiter des trucs qui sembleront venir d'eux": vous vous rendez compte de ce que vous dites ? C'est quoi votre métier ?

              Votre êtes proprement ridicule ! Si vous comptez redonner confiance en votre distro, dites que vous avez pas eu le temps, ce que vous voulez, mais ne prenez pas les gens pour des c***.

      • [^] # Re: Tu ne sais pas

        Posté par . Évalué à 0. Dernière modification le 05/04/17 à 16:12.

        Tiens… j'ai essayé de charger cette page (https://identity.mageia.org/) et visiblement ca ne réponds plus ?

        Firefox me réponds :

        La connexion avec identity.mageia.org a été interrompue pendant le chargement de la page.

        La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée.
        Veuillez contacter les propriétaires du site web pour les informer de ce problème.
        En savoir plus…

        • [^] # Re: Tu ne sais pas

          Posté par . Évalué à 9.

          En effet, les serveurs concernés ont été interrompus le temps de pouvoir traiter proprement ce problème de migration.

    • [^] # Re: Tu ne sais pas

      Posté par (page perso) . Évalué à 10.

      Tiens M'sieur Terjan ça fait bien longtemps que tu n'es pas intervenu par ici!
      ça me fait tout drôle…
      (pour ceux qui l'ignorent Pascal Terjan est un des admins et modéros historique sur DFLP)

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

      • [^] # Commentaire supprimé

        Posté par . Évalué à -1.

        Ce commentaire a été supprimé par l'équipe de modération.

        • [^] # Re: Tu ne sais pas

          Posté par (page perso) . Évalué à 10.

          il en a vu d'autres en presque 20 ans…

          "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

  • # intrusion ?

    Posté par . Évalué à 4.

    Vient ensuite la question de ce qui a motivé ce message aujourd'hui. Ont ils découvert une intrusion sur leurs serveurs ? Vont ils avertir leurs utilisateurs ? Tout cela n'est pas clair.

    A priori non, hier sur le canal irc des admin, la même personne qui à envoyé ce mail à juste vu qu'un serveur n'avait ete modifié depuis qqes temps (sur l'outil de monitoring)
    Il voulait des precisions et les a eu.

    La suite ce soir après le meeting.

    • [^] # Re: intrusion ?

      Posté par . Évalué à 5.

      La suite ce soir après le meeting.

      Pour ceux que cela intéresse: http://meetbot.mageia.org/mageia-meeting/2017/mageia-meeting.2017-04-04-19.12.html

      Par ailleurs, parfois il y à des mise à jours qui sont mises en place dans des dépôts séparés pour les serveurs

      • [^] # Re: intrusion ?

        Posté par (page perso) . Évalué à -2.

        Bon, pour le plaisir de troller : la sécurité, c'est important, partout. meetbot.mageia.org n'est pas accessible en HTTPS, donc n'importe qui peut falsifier le log avant qu'il me soit transmis, et me dire ce qu'il a envie que je lise et non pas ce que vous vous êtes dites.

        PS : oui, la, c'est vraiment pour le plaisir :).

        • [^] # Re: intrusion ?

          Posté par (page perso) . Évalué à 3.

          donc n'importe qui peut falsifier le log avant qu'il me soit transmis

          On peut avoir une démo ?

          • [^] # Re: intrusion ?

            Posté par (page perso) . Évalué à 0. Dernière modification le 05/04/17 à 12:11.

            tu penses sérieusement que c'est infaisable même en HTTP? (c'est le sous-entendu de ta "question")
            Wow…

            Si tu es prêt à payer pour (c'est du temps que je facture), pas de soucis je m'engage à te faire la démo ou te payer la même somme en pénalités (pour montrer que je m'engage).

      • [^] # Re: intrusion ?

        Posté par . Évalué à 7.

        Pouarf. En gros rien a été décidé ni fait. Et c'est pas près de changer, car quand je lis cela les mecs continuent de nier le problème:

        19:32:44 DavidWHodgins While it doesn't impact (as far as I can see) the package building or signing process, it does affect a number of high priority servers such as bugzilla

        Le serveur de l'interface qui permet de gérer les comptes utilisateurs, acces et clefs ssh est complètement troué, mais tout va bien car le serveur de build est pas directement affecté. Je peux donc ajouter ma clef ssh au compte d'un admin pour acceder au serveur de build mais les mecs s'en foutent royal, on corrigera ca à la Saint-Glinglin si on y pense.

        Et puis ca:

        19:28:02 * Augier feels trolls are all hears…

        Pour eux signaler un problème de sécurité c'est juste du troll. En tout cas pour moi c'est clair, jamais je leur confie mes donnée, et plus jamais je conseil cette distro à qui que ce soit.

        • [^] # Re: intrusion ?

          Posté par . Évalué à -1.

          pour moi c'est clair, aussi: vous êtes un peu radical in la dernière déclaration.

  • # Pourquoi ici ?

    Posté par (page perso) . Évalué à -3.

    Loin de moi l'envie de me mêler de vos affaires, mais que vient faire ce journal -factuellement vrai, mais pas non plus indispensable - sur LinuxFR ?
    C'est pas plutôt sur les forums et MLs de Mageia directement qu'il faudrait en discuter ?

    • [^] # Re: Pourquoi ici ?

      Posté par . Évalué à 9.

      La raison pour poster cela ici est toute simple. Premièrement si j'étais utilisateur de Mageia, je serais bien content de trouver sur linuxfr des infos sur la légèreté avec laquelle est traitée la sécurité des utilisateurs par les admins de cette distribution.

      Ensuite j'ai souvent à faire à des novices qui me demandent conseil sur le choix d'une distribution, et j'avais tendance à évoquer Mageia parmis d'autres. Avec ces informations, je ne le ferais plus, et je suppose que d'autres lecteurs de linuxfr sont dans le même cas que moi.

      • [^] # Re: Pourquoi ici ?

        Posté par (page perso) . Évalué à 2.

        Mouais.

        Si le message ci-dessus dit vrai (pas le temps de vérifier, après tout on est dans un journal public), le sujet n'a été évoqué que hier côté Mageia.

        C'est pas un peu rapide pour l'exposer ici, au risque d'attirer des personnes mal intentionnées qui pourraient tenter de l'exploiter ?
        Il y a une bonne façon de promouvoir la sécurité, qui passe par une certaine procédure, qui est n'est suivie qu'à 30-40% au mieux…

        • [^] # Re: Pourquoi ici ?

          Posté par . Évalué à 3.

          Quand on voit qu'ils sont en train de nier la réalité du problème, une personne mal intentionnée aurait l'avantage de leur faire comprendre que oui il y a bien un problème.

          Plus sérieusement, si j'étais à l'origine de la découverte du problème j'aurais bien sur fait un mail privé pour les en avertir, avec une deadline pour corriger le problème avant de l'annoncer publiquement. L'information étant déjà publique, c'est maintenant les utilisateurs qu'il faut informer, afin qu'ils fassent pression pour que le problème soit rapidement corrigé, ou si ce n'est pas le cas qu'ils changent de distribution.

        • [^] # Re: Pourquoi ici ?

          Posté par . Évalué à 3.

          le sujet n'a été évoqué que hier côté Mageia.

          C'est bien ce qui fait peur: si personne ne vient mettre les pieds dans le plat, tout resterait comme ça pendant encore des années?

          Tu imagines ce qu'on dirait si MS laissait tourner des serveurs sous des OS plus maintenus depuis X années? On se foutrait royalement de leur gueule!

          • [^] # Re: Pourquoi ici ?

            Posté par (page perso) . Évalué à 0. Dernière modification le 07/04/17 à 10:15.

            Comprendre : le problème n'a été rapporté que hier.

            La présence de tels OS ne me choque pas en elle-même ; dans une infrastructure sérieuse, il est fréquent de trouver des OS de plus de 15 ans -en fonction des besoins métier.

            Ce qui choque en l'occurrence, c'est que de telles machines soient potentiellement joignables de l'extérieur.
            Je suis d'accord pour dire que c'est un problème, mais le coup de le rapporter un jour en interne et en public le jour suivant -soit forcément plus tôt que le temps nécessaire à la correction- ça frôle l'irresponsabilité

            • [^] # Re: Pourquoi ici ?

              Posté par . Évalué à 5.

              Non, ce n'est pas une faille de sécurité qui vient d'être découverte.

              Même le problème de SSH sur Debian était une erreur humaine.

              Là tu as des gens qui jour après jour ont décidé de sciemment laisser les choses en l'état.

              Ils n'ont pas été pris au dépourvu, ça fait des années qu'ils connaissaient le problème.

              Jusqu'à ce que ce problème soit rendu public et fasse un peu de bruit, ils ont décidé en connaissance de cause que ce n'était pas bien grave!

    • [^] # Re: Pourquoi ici ?

      Posté par . Évalué à -1.

      Mageia est à la mode en ce moment depuis Fred B…

      • [^] # Re: Pourquoi ici ?

        Posté par (page perso) . Évalué à 3. Dernière modification le 04/04/17 à 22:12.

        Vu que tu as éveillé ma curiosité pendant une pause de recherche de bug qui me gonfle, pour le fainéants :
        - Mageia 6… Ou comment tomber de Charybde en Scylla ?
        - et sa suite / résumé

        Si je ne me suis pas trompé.
        Intéressant… (mais violent)

        • [^] # Re: Pourquoi ici ?

          Posté par (page perso) . Évalué à 2.

          Merci, j'avais justement la flemme de demander/chercher :).

        • [^] # Re: Pourquoi ici ?

          Posté par (page perso) . Évalué à 10.

          Intéressant… (mais violent)

          Intéressant sur le fond. En revanche, la forme et certains commentaires sont totalement honteux. Mageia est une distribution communautaire, ouverte aux contributions, qui a un fonctionnement plutôt transparent, qui est faite par des bénévoles (et pour en connaître certain, le seul fait qu'on puisse les qualifier d'incompétents techniquement fait sourire). Mageia, comme la majorité des projets libres, ne doit rien à personne ! Ce n'est pas non plus un projet qui vit dans l'oppulence de ressources financières et de contributeurs. Bref, le message sur la ML à propos des serveurs pas mis à jour, c'est très pertinent. Parler de la qualité et de la sécurité de la distribution, c'est pertinent également. Troller et insulter des contributeurs bénévoles, c'est minable.

          • [^] # Re: Pourquoi ici ?

            Posté par (page perso) . Évalué à -4. Dernière modification le 05/04/17 à 15:17.

            En revanche, la forme et certains commentaires sont totalement honteux.

            OK, mais n'oublie pas… C'est des deux côtés, je n'ai pas l'impression que la réactions des personnes impliquées ai été un modèle de sympathie.
            D'autres ont pointé du doigt la réaction "autruche" lors d'une critique sur Mageia 6.

            Mageia, comme la majorité des projets libres, ne doit rien à personne !

            Oui et non :
            - Offrir un repas de manière gentille n'autorise pas à donner un repas sans hygiène; en fait, ça n'a rien à voir.
            - aujourd'hui il ne doit rien à personne, mais demain si ça se fait trouer c'est une petite armée de bots et des données persos dans la nature, et la ça devra des choses. Peut-être faut--il troller et insulter avant, pour pas que ça empire un jour (pas arrivé, certes, mais faut-il attendre?)
            - l'extérieur doit autant en gentillesse envers Mageia que Mageia doit quelque chose à l'extérieur, c'est à dire aucune. A ma connaissance, quand Sony se fait trouer ou un vendeur de vibromasseur se fait pomper les vidéos ou quand Samsung a 40 failles 0-day, il n'y a pas foule pour les défendre alors qu'ils ne te doivent rien non plus, et tu ne critiques pas les gens qui critiquent ces failles. Ben, pour Mageia c'est pareil (le fait que ce soit des bénévoles ne change rien à la problématique de sécurité quand on diffuse quelque chose), c'est tout (voir c'est pire car les admins sont sensés être "la crème de la crème nous on fait attention pas comme ces capitalistes")

            (et pour en connaître certain, le seul fait qu'on puisse les qualifier d'incompétents techniquement fait sourire)

            Demande-leur si voir leur nom associé à l'idée de ne pas être dérangé plus que ça (même bénévolement, le "prix" n'est pas le sujet) par une infrastructure reposant sur une version de distro plus maintenue depuis 4 ans est positif pour leur CV, maintenant que ça part un peu plus loin que leur ML.

            • [^] # Re: Pourquoi ici ?

              Posté par (page perso) . Évalué à 5.

              Ben, pour Mageia c'est pareil (le fait que ce soit des bénévoles ne change rien à la problématique de sécurité quand on diffuse quelque chose),

              C'est pareil d'un point de vue technique. Évidemment, si j'utilise une distribution, je veux pouvoir faire confiance à ses mainteneurs !

              En revanche, je trouve que c'est bien pire pour Samsung et Sony. Samsung et Sony ont respectivement des centaines et des dizaines de milliards d'euros chiffres d'affaire. Ils n'ont pas d'excuse pour ne pas investir l'argent et les ressources nécessaires sur la sécurité. Mageia, je ne sais pas, mais je suppose que l'association a davantage des milliers voire des centaines d'euros sur son compte. De plus, Mageia fonctionne avec des bonnes volontés, pas des salariés (c'est plus facile de faire pression sur un employé pour le respect d'une feuille de route que sur un contributeur). Bref, l'aspect ressources humaines, qui compte pour la sécurité et la qualité, est complétement différent entre des grands groupes industriels asiatiques et une association.

              • [^] # Re: Pourquoi ici ?

                Posté par (page perso) . Évalué à 2. Dernière modification le 05/04/17 à 16:57.

                Expliquer n'est pas déresponsabiliser.

                Je connais le problème, et je comprend l'explication. Mais ça n'excuse pas.
                (devant un juge, c'est pareil : expliquer permet de comprendre, ça permet de voir le soucis, ça adapte la peine; mais ça ne change rien dans la condamnation)

                Et quand on est un point d'entrée pour accéder à plein de machines, on prend une responsabilité.
                Je l'ai dit ailleurs, mais je le redis : être bénévole ne permet pas de faire n'importe quoi sous excuse de ne pas avoir les moyens, ça ne change rien dans la responsabilité de sécurité qu'on a.

                Donc revenir à parler de bénévoles ne fait qu'enfoncer plus Mageia dans le sens où ses défenseurs ne semblent pas comprendre le problème de sécurité. Tout le monde sait qu'ils sont bénévoles, personne ne dit qu'ils sont riches, alors pourquoi parler de sous hors sujet quand on parle de sécurité?
                Accepterais-tu d'avoir un accident de voiture et être blessé et de te faire dire "ouais mais la le pote qui a réparé il te la fait bénévolement alors c'est différent" (non, ce n'est pas différent, il est responsable, encore heureux).

                Donc : je propose qu'on arrête de chercher des excuses, et qu'on accepte qu'il y a un problème à résoudre (note : ça semble être le cas, j'ai lu que les machines ont été retirée du réseau).

              • [^] # Re: Pourquoi ici ?

                Posté par . Évalué à 0.

                Des projets gérés principalement par des bénévoles, avec peu de ressources, il en existe bien d'autres, avec pour certains un excellent niveau de sécurité et de fiabilité. Ca n'est pas une question de ressources, c'est une question de priorités et d'organisation. Parfois aussi il faut savoir décider de faire moins pour faire mieux, ou tout simplement d'arrêter lorsque le projet n'est plus viable.

    • [^] # Re: Pourquoi ici ?

      Posté par . Évalué à 10.

      Et pourquoi pas ?

      C’est de la transparence. C’est un exemple réel d’une problématique qui peut concerner beaucoup de projets, libres ou non.

      C'est pas plutôt sur les forums et MLs de Mageia directement qu'il faudrait en discuter ?

      Je dirais que c’est effectivement là qu’il faut en parler en premier, mais si je comprends bien c’est ce qui a été fait… et ce journal a été fait volontairement pour élargir l’audience.

    • [^] # Re: Pourquoi ici ?

      Posté par . Évalué à 10.

      parce que c'est une distribution linux et qu'on est sur linuxfr ?

  • # A ceux qui critiquent....

    Posté par . Évalué à -9.

    …ben qu'est ce que vous attendez pour juste proposer vos compétences, vos services et participer ?

    C'est juste une question !

    Si vous ne pouvez proposez vos services et vos compétences; faites un don. C'est ici que cela se passe :
    http://www.mageia.org/fr/donate/

    Merci infiniment à vous pour que ma prochaine mise à jour soit "safe & secure" ;-)

    • [^] # Re: A ceux qui critiquent....

      Posté par . Évalué à 1.

      Désolé mais je préfère donner à des projets qui ne nient pas les problème plutôt qu'essayer les résoudre.

      • [^] # Re: A ceux qui critiquent....

        Posté par . Évalué à -1.

        Ici ils proposent justement d'en discuter à un prochain rendez vous :

        https://ml.mageia.org/l/arc/council/2017-04/msg00001.html

        Proposed agenda:

        • Mageia 6 RC: progress on blockers
        • Infra upgrade/migration: champagne on mga4, alamut on mga1 (!)
        • [^] # Re: A ceux qui critiquent....

          Posté par . Évalué à 10. Dernière modification le 05/04/17 à 08:34.

          Je suis désolé mais autant ça peut éventuellement se tenir pour une version n-1 tu peux éventuellement mitiger la surface d'exploitation d'une faille via par exemple des règles de firewall ou autre, autant comme l'a dit le Hodgins sur la mailing list pour une n-5 il y'a tellement de failles concernées que la seule solution décente est de simplement mettre le serveur original offline et faire la migration immédiate.

          Et tant pis pour le downtime.

          Tergiverser et agender des meetings pour y conclure qu'on en reparlera au meeting suivant c'est de l'enculage de mouches et pas digne d'un groupe qui prétend fournir un Système d’exploitation stable et sécurisé pour PC et serveur.

          • [^] # Re: A ceux qui critiquent....

            Posté par . Évalué à 8. Dernière modification le 05/04/17 à 10:18.

            Merci de lire les logs avant de traiter une communauté que l'on ne connait pas d'"enculeur de mouches".

            Cela n'a pas été reporté à un meeting suivant, il n'y avait juste aucun sysadmin de présent pour un discuter, et continuer ce bikeshedding aurait effectivement été de l'"enculage de mouches".

            La discussion continue sur le canal IRC des sysadmins et leur mailing list. Le meeting du Conseil avait pour but de lever la problématique et d'en faire une priorité, pas de la résoudre sans moyens.

            • [^] # Re: A ceux qui critiquent....

              Posté par (page perso) . Évalué à 0. Dernière modification le 05/04/17 à 11:01.

              Je crois qu'il y a un problème de compréhension : la critique est que le conseil n'ai pas pris en compte la gravité soulevée, sans être sysadmin (fin de vie de Mageia 1 est il y a 4 ans, c'est facile à lire) et n'a pas répondu au problème (même pas un officiel "rien à foutre vous nous faites chier ça va très bien d'utiliser une version qu'on a donné comme morte il y a 4 ans" ou une décision "ok on a des sysadmin à la bourre on leur dit d'éteindre la machine en attendant").

              Bref, tu évites le sujet, comme il a été évité lors du conseil.
              C'est un choix, pas de soucis vous êtes grands et capable de vous défendre en justice en cas de hack faisant de vous un fournisseur de virus/bot (pas sûr que le "as is" marche pour une faute sur la sécurité, en ce moment la justice se penche sur la responsabilité des gens qui ne font pas attnetion à la sécurité des données privées), mais c'est aussi un choix des gens extérieurs de signaler aux utilisateurs (et autres) que la sécurité n'est pas prise au sérieux jusqu'au conseil Mageia (dont un membre considère que les gens remontant ce problème sont juste des trolls) et de leur conseiller de changer de distro pour cette raison.

              • [^] # Re: A ceux qui critiquent....

                Posté par . Évalué à 7.

                Le conseil n'a pas pris de décision car il n'a pas tous les éléments pour le faire. Il ne sert à rien de décider unilatéralement d'éteindre une machine sans avoir eu l'avis des experts. Jusqu'à preuve du contraire, les experts sont les sysadmins qui ont mis en place l'infrastructure, et pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version.

                C'est aux sysadmins de décider de la marche à suivre, pas au conseil (ou en tout cas pas sans en avoir discuté avec les sysadmins au préalable).

                L'utilisateur que tu cites n'est pas un membre du conseil, et sa remarque, évidemment une boutade, était en effet déplacée. Elle ne traduit en rien une position officielle, ce problème est pris au sérieux.

                • [^] # Re: A ceux qui critiquent....

                  Posté par (page perso) . Évalué à -5. Dernière modification le 05/04/17 à 11:44.

                  Le conseil n'a pas pris de décision

                  Si, il a pris une décision : ne pas prendre de décision est une décision (oui ça se mort la queue mais voila, c'est comme ça) quand ça touche la sécurité, la décision a été de laisser une vieille version plus maintenue depuis 4 ans en marche et accessible sur Internet.

                  pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version.

                  OK, je note que le conseil de Mageia considère qu'une version non maintenue et sans personne pour suivre sa sécurité depuis 4 ans n'est pas un problème de sécurité sur une infrastructure.
                  Le journal en est d'autant plus intéressant donc que le conseil semble affirmer que ce n'est pas un problème.

                  (wow… D'habitude je lis ça dans des entreprises n'ayant rien à faire de la sécurité et voulant vendre à tout prix)

                  Faudrait penser à faire un article quelque part "Nous affirmons qu'utiliser une vieille version plus maintenue d'un OS n'est pas un problème de sécurité en soit, ça dépend", ça devrait être utile à plein d'entreprises qui se font critiquer pour ne pas avoir une infrastructure à jour et ne veulent pas investir dans un changement sans se faire d'abord trouer.

                  Sinon, si vous l'utilisez sans que ça dérange et que vous avez confiance, pourquoi ne pas déclarer Mageia 1 comme maintenue? Vous n'êtes pas logique à dire aux autres que c'est plus à utiliser mais à continuer vous-même à l'utiliser, en terme de com' c'est bof.

                • [^] # Re: A ceux qui critiquent....

                  Posté par . Évalué à 2.

                  Jusqu'à preuve du contraire, les experts sont les sysadmins qui ont mis en place l'infrastructure, et pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version.

                  Pour continuer à spéculer sur les numéros de versions, le mediawiki utilisé sur ce serveur est en version 1.16.5, c'est à dire une version publiée le 2011-05-05, et supporté jusqu'en Novembre 2011.

                  Source: https://wiki.mageia.org/en/Special:Version

                  Pour la date de fin de support de mediawiki 1.16, c'est tellement vieux qu'ils ne le précisent plus sur la page actuelle. Il faut aller fouiller dans l'historique des modifications de la page pour trouver l'info: https://en.wikipedia.org/w/index.php?title=MediaWiki_version_history&oldid=462982423

                  A un moment donné il faut arrêter de prendre les gens pour des cons en leur disant qu'ils spéculent.

            • [^] # Re: A ceux qui critiquent....

              Posté par . Évalué à 5.

              En général quand tu agendes une séance, tu t'assures d'y inviter les personnes les mieux à même de répondre aux points qui y sont agendés, ici les sysadmins.

              Sinon se rendre compte en plein milieu de la séance qu'effectivement on peut pas en dire grand chose sans eux c'est de l'enculage de mouche juste pour faire bonne figure. C'est d'ailleurs marrant d'assister dans une structure bénévole aux mêmes travers que ce qu'on peut voir dans des sociétés à but lucratif (ben oui c'est pas une exclu Mageia, j'en ai vu d'autres dans le genre).

              • [^] # Re: A ceux qui critiquent....

                Posté par . Évalué à 10.

                Les sysadmins ont été invités, mais aucun n'était présent. Dans une distribution communautaire, tu ne peux pas nécessairement forcer des contributeurs à être présent à un meeting qui d'ordinaire ne les concerne pas, mais pour lequel ils ont finalement été invités le matin même.

                Et personne n'essaie de faire bonne figure, le conseil de Mageia se réunit toutes les semaines pour discuter des sujets de la distribution, on fait pas ça pour vous faire plaisir. La thématique de la mise à jour de l'infra n'est pas nouvelle, mais puisqu'elle semblait être une nouveauté pour certains membres du conseil, je l'ai mise à l'ordre du jour.

                Pour préciser, ce n'est pas une révélation qui date de lundi que notre infra manque cruellement de mises à jour sur certains composants. Les sysadmins sont depuis longtemps au courant, de même qu'une grande partie des contributeurs (cf. par exemple le commentaire plus haut sur notre MediaWiki qui est aussi bien au delà de son EOL).

                Certains semblaient ne l'avoir jamais remarqué (ce n'est pas caché, et on n'a jamais cherché à dissimuler cette information, nos meetings et mailing lists ont des logs publics) - l'un d'entre eux à considéré (probablement à juste titre) que le sujet n'avait pas la priorité qu'il devrait avoir et à tiré la sonnette d'alarme sur la mailing list du conseil. Ce qui a eu l'effet escompté puisque nos sysadmins discutent actuellement de la migration de divers services (notamment identity/ldap, le plus critique a priori) sur une machine Mageia 5.

                Après j'ai du mal à comprendre le ton moralisateur de beaucoup dans les commentaires. Oui, il y a un problème de sécurité, oui, il est connu, non, l'infrastructure n'a pas été compromise (à ma connaissance), oui, il y a des gens compétents qui bossent sur la question et c'est à eux que reviennent les décisions. Tirer la sonnette d'alarme en prévenant la communauté LinuxFR que l'infra de Mageia n'est pas très sure, c'est une bonne chose. Tirer dans les pieds de la communauté Mageia pour le fun au lieu d'essayer d'être constructif, c'est plus discutable.

                • [^] # Re: A ceux qui critiquent....

                  Posté par . Évalué à 6.

                  l'infrastructure n'a pas été compromise (à ma connaissance)

                  Prouver l'absence d'une intrusion/programme malveillant dans un système informatique, c'est mission impossible.

                  J'espère que la migration passera par un formatage.

                  "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                • [^] # Re: A ceux qui critiquent....

                  Posté par . Évalué à -6.

                  Tirer dans les pieds de la communauté Mageia pour le fun au lieu d'essayer d'être constructif, c'est plus discutable.

                  Avant de reprocher aux autres de ne pas être constructif, peut-être que vous pourriez commencer par admettre la réalité du problème plutôt que parler de "spéculation sur la sécurité avec comme seule base un numéro de version", par ce que ça s'appelle prendre les gens pour des cons.

                • [^] # Re: A ceux qui critiquent....

                  Posté par . Évalué à 7. Dernière modification le 05/04/17 à 14:05.

                  Tirer la sonnette d'alarme en prévenant la communauté LinuxFR que l'infra de Mageia n'est pas très sure, c'est une bonne chose.

                  La sûreté d'un OS dépend directement de la sûreté de l'infrastructure qui est mise en place. J'veux dire à un moment donné dans un projet communautaire on doit se baser sur une certaine confiance qu'on a en ses contributeurs et à la sécurité des projets upstream, mais si en plus on n'a même plus confiance dans la chaine de création/publication de la distribution et ses composants on peut juste conclure que la distro n'est pas sûre du tout et que ça peut être à tout moment un nid à rootkits donc on la conseillera moins qu'une autre.

                  Même combat pour mint par exemple pour laquelle il a été avéré après coup que des isos étaient compromis.

                • [^] # Re: A ceux qui critiquent....

                  Posté par . Évalué à 10.

                  l'infrastructure n'a pas été compromise (à ma connaissance)

                  Affirmer qu'un serveur avec autant de services qui tournent sur des versions obsolètes n'a pas été compromis, c'est soit de la naïveté, soit c'est prendre ouvertement les gens pour des cons.

                  J'ai fait le test, chrono en main, il m'a fallu 10 minutes à peine pour obtenir un shell sur votre serveur (que j'ai immédiatement fermé car mon but n'est pas d'aller plus loin). Je triche un peu car je bosse dans le domaine (pen testing) et j'ai donc des outils déjà tout prêts, mais j'estime que des milliers de gens en sont capables (avec un peu plus de temps peut-être). Il n'y a rien de bien sorcier, il suffit de piocher dans les nombreuses vulnérabilités des services qui tournent sur la machine sur les 5 dernières années (mediawiki, apache, php, les nombreux formats d'upload accepté par le wiki, etc …), essayer, et hop un shell qui s'ouvre.

                  • [^] # Re: A ceux qui critiquent....

                    Posté par . Évalué à 1.

                    J'ai fait le test, chrono en main, il m'a fallu 10 minutes à peine pour obtenir un shell sur votre serveur (que j'ai immédiatement fermé car mon but n'est pas d'aller plus loin).

                    Là tu vas trop loin, tu prends des risques inutiles.

                    Tout le monde a bien compris qu'ils ont merdé. D'ailleurs, qu'ils aient merdé n'est pas le pire, c'est surtout le manque d’honnêteté intellectuelle qui va leur faire du tort à mon avis.

                  • [^] # Re: A ceux qui critiquent....

                    Posté par (page perso) . Évalué à 5.

                    Affirmer qu'un serveur avec autant de services qui tournent sur des versions obsolètes n'a pas été compromis, c'est soit de la naïveté, soit c'est prendre ouvertement les gens pour des cons.

                    Au final, ce qui les sauve c’est peut être d’être relativement peu connu.

                    <troll>
                    Ou alors tout le monde à pensé à un honeypot :)
                    </troll>

          • [^] # Re: A ceux qui critiquent....

            Posté par (page perso) . Évalué à 6.

            Et tant pis pour le downtime. Tergiverser et agender des meetings pour y conclure qu'on en reparlera au meeting suivant c'est de l'enculage de mouches

            Un minimum d'organisation est nécessaire pour gérer un projet. Si sur un projet important les devops/sysadmins coupe des serveurs sans en discuter au préalable avec le reste du projet, soit t'es dans une structure miniscule, soit tu as un sacré problème d'organisation. Note qu'un meeting peut être organisé rapidement et avec des décisions claires au bout.

            • [^] # Re: A ceux qui critiquent....

              Posté par (page perso) . Évalué à 0.

              D'autre part, il semble que chez Mageia se sont les sysadmins qui sont responsables et experts sur l'infra et ils n'étaient pas à la réunion, donc un peu normal qu'il n'y ait pas de décision prise là. Si j'ai un problème de base de données, que je ne connais pas trop comment fonctionnent les bases, c'est un peu normal que j'attende que mon DBA soit là avant de prendre une décision. Au vu des commentaires de certains, je me dis qu'ils n'ont jamais été impliqué dans un projet communautaire ou même un gros projet d'entreprise.

              • [^] # Re: A ceux qui critiquent....

                Posté par . Évalué à 9. Dernière modification le 05/04/17 à 16:52.

                Note qu'un meeting peut être organisé rapidement et avec des décisions claires au bout.

                Mais bon si on fait des meetings sans les personnes concernées c'est du vent.

                D'autre part, il semble que chez Mageia se sont les sysadmins qui sont responsables et experts sur l'infra et ils n'étaient pas à la réunion, donc un peu normal qu'il n'y ait pas de décision prise là.

                Nulle part dans le log du meeting réunion il n'est mention d'un truc du genre :

                j'ai appelé le sysadmin X, il nous propose une migration urgente tel jour à telle heure. Est-ce que cette date vous convient ? Peut-on mettre la machine offline avant ? oui, non ? on fait une annonce pour les contributeurs ?

                Non, le contenu de la réunion c'était plutôt :

                Hey les gars moi je savais depuis des années que notre infra était trouée comme un emmental mais ça ne me dérangeais pas plus que ça alors j'ai rien dis. Mais bon vu que Hodgins nous a posé une mine sur la mailing list je l'ai mise dans les points de la séance. Ben voilà on a deux serveurs qu'on a jamais mis à jour. On a des sysadmins qui sont aussi au courant mais bon ptêt qu'il vont faire quelque chose, ptêt pas vu que ça fait 5 ans qu'ils doivent migrer la bécane. Mais bon pas besoin d'en parler avec eux vu qu'ils savent. Voilà comme ça vous savez pourquoi on va se faire troller toute la semaine.

                gotlieb

                Au vu des commentaires de certains, je me dis qu'ils n'ont jamais été impliqué dans un projet communautaire ou même un gros projet d'entreprise.

                Ben si c'est justement parce qu'on bosse dans l'IT qu'on bondit sur notre chaise.

                • [^] # Re: A ceux qui critiquent....

                  Posté par (page perso) . Évalué à 10.

                  Ben si c'est justement parce qu'on bosse dans l'IT qu'on bondit sur notre chaise.

                  Arrête ton char, tu sais très bien que dans l'IT, tu as toujours un delta énorme entre ce que tu voudrais faire, et ce que tu peux faire dans les temps.
                  Et la, c'est pareil, sauf qu'en plus, tu as moins de monde et de temps.

                  Vous bossez dans quel boite pour que tout les serveurs soient tous sur la dernière version, pour ne pas avoir des tonnes d'autres trucs à faire ?

                  Parce que les clients dont j'entends parler, c'est migration à RHEL 7 2 ou 3 ans après la release, parfois certains envisagent passer à RHEL 6. C'est des serveurs encore en 12.04 ou 10.04 que les gens peuvent pas migrer rapidement, parce que tout à changer et y a pas de budget.

                  Y a aucun des admins qui est sur le projet à temps plein, et pire encore, aucun qui est uniquement contributeur à l'admin de l'infra.

                  Et même au delà de ça, tu regardes quand Gitlab a eu un gros souci, des gens ont dit "ça arrive à tous" (sur twitter) et ça a globalement été positif. Ici, c'est juste du fiel et du purin sur des bénévoles en sous effectif à cause du stress, pour un souci qui n'a pas eu lieu.

                  Mais c'est quoi comme ambiance de merde dans ce coin du logiciel libre ?

                  • [^] # Re: A ceux qui critiquent....

                    Posté par . Évalué à 6.

                    Et même au delà de ça, tu regardes quand Gitlab a eu un gros souci, des gens ont dit "ça arrive à tous" (sur twitter) et ça a globalement été positif. Ici, c'est juste du fiel et du purin sur des bénévoles en sous effectif à cause du stress, pour un souci qui n'a pas eu lieu.

                    Gitlab a dit on a merdé, voila exactement comment on a merdé, voila comment on essaye de réparer et on expliquera ensuite comment on compte ne plus merder par la suite.

                    Mageia a dit "Tu ne sais pas", "pas trivial directement", "les experts sont les sysadmins qui ont mis en place l'infrastructure, et pas ceux qui spéculent sur sa sécurité avec comme seule base un numéro de version", "The potential risks are confined to some web services of the mageia.org domain".

                    • [^] # Re: A ceux qui critiquent....

                      Posté par (page perso) . Évalué à 3.

                      Gitlab a sans doute des gens chargés de la communication et de la gestion de crise. Mageia, non. Sûrement qu'au prochain coup ils communiqueront mieux.

                      • [^] # Re: A ceux qui critiquent....

                        Posté par (page perso) . Évalué à 6. Dernière modification le 06/04/17 à 11:39.

                        Gitlab a sans doute des gens chargés de la communication et de la gestion de crise

                        Je ne crois pas, mais effectivement, ce n’est pas une communauté de bénévoles, c’est une entreprise avec des gens payés pour leur travail.

                        Au passage, team-member-1 (qui avait rm -rf la BDD) a été promu et a reçu des dons et cadeaux, justement parce qu’ils ont été transparent dès le départ.

                        • [^] # Re: A ceux qui critiquent....

                          Posté par (page perso) . Évalué à 4. Dernière modification le 06/04/17 à 12:43.

                          Le message du lien que tu as collé ci-dessus a clairement été écrit par des professionnels de la communication. Ce n'est pas une critique, le contenu du post est intéressant et agréable, et toute entreprise se doit d'entretenir son image de marque (surtout après un incident grave).

                      • [^] # Re: A ceux qui critiquent....

                        Posté par . Évalué à 1.

                        C'est plus une question d'état d'esprit et d'honnêteté que d'avoir une équipe chargé de la communication ou pas.

                        En fait la comm du blog de Mageia me fait au contraire penser à celle d'un groupe commercial qui veut à tout prix éviter une perte d'utilisateurs.

                        • [^] # Re: A ceux qui critiquent....

                          Posté par (page perso) . Évalué à 5.

                          Justement. En 2017, un groupe commercial qui veut éviter je ne sais quoi, il ne le dit pas. Il va voir son service de com', le seul habilité à communiquer à l'extérieur et qui est le garant de l'image de marque. Ce service pond ensuite un message.

                          Là, on est dans le cas d'une petite communauté, avec des bénévoles, stressés, sous pression, peu nombreux, qui doivent gérer une crise. Cela ne s'improvise pas et ils ne s'y sont pas préparés (c'est normal). Ils n'ont pas de recul, ils essayent d'éteindre l'incendie comme ils peuvent, pendant que d'autres regardent en clamant "il faudrait faire ci", "il faudrait faire ça". Sûrement qu'après ceci ils sauront en tirer les leçons, mais comprend que maintenant ils ont le nez dans le guidon.

                  • [^] # Re: A ceux qui critiquent....

                    Posté par (page perso) . Évalué à -2.

                    Tu parles de distros a tres long support, justement parce qu'on sait que ca va etre chaud pour migrer.
                    Ici, on parle de Mageia 1 tué 6 mois après la sortie de Mageia 2, et on parle aussi de migrer à Mageia 5 qui mourra 3 mois après la sortie de Mageia 6. Donc les admins affirment qu'ils auront le temps (sinon ils auraient mis CentOS 7, 10 ans de support gratuit) de migrer de nouveau dans un créneau de 3 mois alors qu'ils n'ont pas pris le temps en 4 ans.

                    Et même au delà de ça, tu regardes quand Gitlab a eu un gros souci, des gens ont dit "ça arrive à tous" (sur twitter)

                    Et surtout, ils n'ont pas rembarré.
                    Ils ont bien merdé, et à ma connaissance jamais dit que la faute était à "pas le temps" ou autre.
                    Note que ce ne fut pas un problème de non MAJ mais une erreur humaine (comme pour Amazon).


                    Critique forte inconsciente de Mageia?

                    • [^] # Re: A ceux qui critiquent....

                      Posté par . Évalué à 7.

                      Donc les admins affirment qu'ils auront le temps (sinon ils auraient mis CentOS 7, 10 ans de support gratuit)

                      Est-ce que ça ne serait pas ça finalement la bonne solution : utiliser des distributions avec un support bien plus long pour les serveurs essentiels de l'infrastructure Mageia. Ça ferait ça en moins à migrer dans l'urgence.
                      Ça soulagerait les admins et ils pourraient continuer à utiliser Mageia sur des serveurs moins critiques (mais faire qd même les upgrades dans les temps, vu qu'il y en a moins)

    • [^] # Re: A ceux qui critiquent....

      Posté par (page perso) . Évalué à 1. Dernière modification le 05/04/17 à 06:51.

      ben qu'est ce que vous attendez pour juste proposer vos compétences, vos services et participer ?

      Ou utiliser une autre distro, ce n'est pas ce qu'il manque, il y en a qui sont secure.
      Ici, si j'ai bien suivi, il 'agit de :
      - Avertir les utilisateurs d'un risque (à eux de choisir de rester et proposer leurs compétence, ou changer de distro)
      - Avertir les autres qu'il y a un risque de botnet et débattre de savoir si il faut en faire la pub ou pas aux autres

      Ce n'est pas parce que ce sont des "gentils" qu'il ne faut pas dire des choses.
      Pour caricaturer, tu dirais pour une mort accidentelle "ok, mais la personne a tué accidentellement une personne qu'elle voulait aider, alors plutôt que de la condamner pourquoi vous ne l'aideriez pas financièrement?", pas sûr qu'un juge accepte l'argument et dise "ha, dans ce cas, rien".
      (oui, c'est une caricature, mais c'est pour montrer que l'argument "vous n'avez qu'à participer" n'est pas valide pour tout, et "ne pas avoir les moyens" n'est pas une excuse quand on parle de sécurité)

      C'est juste une question !

      Une question quand même dans le but de culpabiliser…
      Et surtout une question HS quand on parle de sécurité, et si on ne parlait pas de sécurité (genre les réactions sur le post de "Fred B") la réponse peut être donc "parce qu'on ne comprend pas ce qu'elle apporte par rapport aux autres", mais c'est une histoire complètement différente ("- ha, le film est nul - t'as qu'à participer"). Note que l'argument (fausse question) est parfois valide, juste pas utilisable pour tout.

    • [^] # Re: A ceux qui critiquent....

      Posté par (page perso) . Évalué à -1.

      La gestion d’une infrastructure c’est un métier, n’importe qui ne peut pas le faire. Vu les commentaires, on est clairement face à n’importe qui.

      • [^] # Re: A ceux qui critiquent....

        Posté par (page perso) . Évalué à 10.

        La gestion d’une infrastructure c’est un métier, n’importe qui
        ne peut pas le faire. Vu les commentaires, on est clairement
        face à n’importe qui.

        C'est assez hautain et puant comme commentaire, j'aurais honte de parler sans savoir à ta place.

        L'équipe d'admin sys de Mageia au début, ç'était 10 personnes. Sur les 10, je compte 7 admins de profession (2 dans une université, 1 chez un telco, 2 dans 2 multinationals du secteur informatique bien connus).

        Donc non, je pense pas qu'on est face à n'importe qui.

        C'est pas le manque de compétence. C'est le manque de temps et de personne, vu qu'au fur et à mesure des années, 3 (ou plus) ont eu des gamins, 3 sont parti en burnout et/ou depressions (parfois pas à cause du projet) et parfois revenus, 3 ont changés de taf (et on arrêté le projet). Et comme tu dis, l'admin sys, c'est un métier, et personne n'est venu faire un métier gratuitement sur son temps libre pour aider (chose plus dur qu'être désobligeant envers les autres, je le conçoit).

        • [^] # Re: A ceux qui critiquent....

          Posté par (page perso) . Évalué à -2.

          Sur les 10, je compte 7 admins de profession (2 dans une université, 1 chez un telco, 2 dans 2 multinationals du secteur informatique bien connus).

          L'argument "c'est mon métier alors je sais" j'ai vraiment du mal. J'ai croisé des nazes dans un peu tous les postes y compris "adminsys" et assimilés.

          Je ne parle pas de ces personnes en particulier, mais de cet espèce d'argument d'autorité.

          • [^] # Re: A ceux qui critiquent....

            Posté par (page perso) . Évalué à 0.

            Je ne parle pas de ces personnes en particulier

            Surtout qu’apparemment, si je comprends bien son commentaire, elles sont toutes partit.

          • [^] # Re: A ceux qui critiquent....

            Posté par (page perso) . Évalué à 3.

            L'argument "c'est mon métier alors je sais" j'ai vraiment du mal. J'ai croisé des nazes dans un peu tous les postes y compris "adminsys" et assimilés.

            Théoriquement, même un sysadmin un peu naze il reste meilleur que quelqu'un qui n'y connait rien en sysadmin. Être un vrai sysadmin, comme un vrai développeur par exemple, ça ne s'improvise pas, tu dois te former pour ça (études, formation et par la pratique sur le tas bien entendu). Un sysadmin ce n'est pas un gars qui installe des .exe toute la journée hein :-) Il y a des imposteurs partout, mais de mon expérience personnelle, la grande majorité des informaticiens est loin d'avoir la moitié des compétences en système/réseau/automatisation etc. et de comprendre les problématiques d'un sysadmin (c'est normal, ce n'est pas leur métier, et le sysadmin est aussi mauvais dans les autres branches).

            • [^] # Re: A ceux qui critiquent....

              Posté par (page perso) . Évalué à 2. Dernière modification le 06/04/17 à 12:02.

              Théoriquement, même un sysadmin un peu naze il reste meilleur que quelqu'un qui n'y connait rien en sysadmin.

              A mon avis, celui qui ne connait rien mais connait l'informatique en général va se dire "EOL? argh faut que je fasse quelque chose", tandis que le sysadmin pas sérieux (je ne dirai pas "naze", juste que ça n'a pas été sérieux pour raison x ou y) va se dire "ça va, je connais, ça peut attendre quelques jours" (qui se transforment en années).

              Donc, des fois il vaut mieux ne rien connaitre, car dans ce cas on se renseigne et on ne crois pas être assez bon pour ne pas voir les EOL.

              C'est justement le problème qui est pointé, alors il faudrait peut-être arrêter de se le cacher : il y a un gros problème de sécurité.
              Note que les "trolleurs" (vu comme tels) passent du temps à expliquer l'admin de base (EOL ça veut dire quelque chose, une machine pas à jour ça craint plus qu'une machine déjà à jour) et que si l'équipe Mageia avait reconnu de suite le problème comme grave pour la sécurité ça aurait beaucoup moins trollé (il est critiqué de passer du temps à troller, bizarrement il n'est pas regardé si il n'y aurait pas une bonne raison face à la réaction).
              Tout ça pour dire que l'alimentation de la conversation a été grandement faite par le refus de voir le problème par les gens défendant Mageia, et c'est dommage qu'on doive expliquer les bases à des gens sensés mieux connaitre la sécurité informatique (ensuite reconnu par les sysadmin de Mageia vu qu'ils ont déconnecté les machines) que Sony et les fabricants de godemichets.

              Alors, si on arrêtait de s'expliquer sur la gravité de la chose qu'on reconnaitrait et si on passe à autre chose, ça ne serait pas mieux?

              • [^] # Re: A ceux qui critiquent....

                Posté par (page perso) . Évalué à 4.

                Alors, si on arrêtait de s'expliquer sur la gravité de la chose qu'on reconnaitrait et si on passe à autre chose, ça ne serait pas mieux?

                Je suis d'accord avec toi sur la gravité de la chose depuis le début: je me permettais juste d'appeler un peu à la compréhension et énonçait les circonstances atténuantes (de l'extérieur, car je ne connais pas le fonctionnement interne de Mageia, mais tous les projets communautaires et bénévoles se ressemblent un peu). Oui, cela ne change rien au diagnostic ni aux conséquences, en revanche ça explique pour ceux qui en doutaient que la communauté Mageia ne sont pas mal intentionnés.

            • [^] # Re: A ceux qui critiquent....

              Posté par . Évalué à 1. Dernière modification le 06/04/17 à 12:11.

              Ouais enfin cela étant dit je ne sais pas ce qu'il en est maintenant mais quand j'ai commencé une formation "admin sys" ça n'existait pas. Toutes les formations liées à l'informatique étaient orientées developpement. Du coup je ne connais aucun sysadmin chevronné ayant fait une formation spécifique dans le domaine. Des anciens dev, network, des chimistes, biologistes (qui ont du tenir l'infra d'un lab au début), des gens venant de l'industrie électronique, des électriciens…bref la plupart sont arrivés dedans par opportunisme ou "accident" (sans vouloir dire que c'est une erreur).

              • [^] # Re: A ceux qui critiquent....

                Posté par (page perso) . Évalué à 3.

                C'est vrai pour toute l'informatique en général, surtout pour les gens arrivés pour le fameux bug de l'an 2000. Aujourd'hui il y a de nombreuses formations en système ou système et réseau (IUT, mais aussi master). Mais peu importe la formation, quand tu es sysadmin, comme n'importe quel informaticien, tu te formes. Si un gars qui fait une autre profession arrive à être meilleur que toi, faut te remettre sérieusement en question. C'est un peu comme si t'étais angéiologue, ce serait vraiment étrange qu'un psychiatre puisse faire une journée de boulot à ta place aussi bien que toi, même si les deux ont des bases communes en médecine.

  • # Il est temps de rappeler les consignes de sécurité

    Posté par . Évalué à 8. Dernière modification le 05/04/17 à 17:02.

    XKCD Security Advice

  • # Et ils continuent de nier le problème ...

    Posté par . Évalué à 0.

    Voila, ils ont temporairement mis hors ligne les services concernés, et publié une annonce sur leur blog. Très bien.

    https://blog.mageia.org/en/2017/04/05/web-services-shut-down-preventively/

    Sauf que … Ils continuent de prendre leurs utilisateurs pour des cons.

    Please note that our buildsystems for packages and ISO images are running the latest stable release, and therefore Mageia users need not be concerned. The potential risks are confined to some web services of the mageia.org domain.

    Ils se gardent bien de préciser que parmis les "web services", figure celui permettant aux packagers et aux admins de gérer les clefs ssh permettant d'acceder au système de build. Comme déjà expliqué il est trivial de passer de l'un à l'autre. Affirmer que le risque est confiné à certains web services c'est tout simplement du foutage de gueule. Et je passe sur le fait d'en parler comme d'un risque "potentiel" …

    • [^] # Re: Et ils continuent de nier le problème ...

      Posté par . Évalué à 6.

      Le reste de leur annonce est tout aussi lamentable.

      Our sysadmins decided to preventively shut down some of our web services which were still running on end-of-life Mageia versions, as their potential vulnerability to remote attacks was publicised in third party communities.

      La pratique habituelle lorsque ce genre de chose arrive, c'est de s'excuser auprès des utilisateurs, remercier la ou les personnes ayant signalé le problème, le corriger le plus vite possible, et puis si possible expliquer comment on compte éviter qu'il se produise de nouveau. Rien de tout cela ici, on se contente de blâmer ceux ayant donné un peu plus de visibilité au problème.

      The migration of those services to Mageia 5 servers was planned but delayed due to a lack of sysadmin time to work on it. The unexpected publicity that it received obviously made this topic a high priority one, our infrastructure being exposed as an easy target.

      Ici on nous explique tranquillement que la correction du problème est prioritaire uniquement par qu'il a reçu un peu trop de visibilité. La sécurité des utilisateurs, on s'en fout tant que personne en parle sur linuxfr.

      • [^] # Re: Et ils continuent de nier le problème ...

        Posté par (page perso) . Évalué à 3.

        Le message n'est pas écrit pour toi mais pour les utilisateurs qui se demandent pourquoi leurs forums et leur bugzilla ne fonctionnent pas. On le leur dit et on les rassure sur le fait que les failles en question n'ont a priori pas eu d'impact.

        Alors oui c'est pas bon d'avoir laissé le serveur qui précisément sert des services web en frontal sur le net dans une si vieille version. On a un déficit en sysadmins en ce moment, notamment parce que l'un d'entre eux est sérieusement malade, et la migration des serveurs n'a pas encore été finalisée même si elle était en cours, un par un. Quand on est dans cette situation de ne pas pouvoir avancer aussi vite qu'on voudrait les messages du genre "regardez, eux, ils sont pas à jour, allez-y attaquez" ben oui ça fait mal et ça provoque une réaction d'urgence logique. Certains diront tant mieux, s'il fallait ça pour que ça bouge. D'autres préféreraient une approche moins brutale.

        En fait vous voulez quoi ? Qu'on dise qu'on aurait dû / pu faire mieux ? D'accord. On prend tous les coups de main pour la suite, quant aux coups de pied c'est pas obligé.

        • [^] # Re: Et ils continuent de nier le problème ...

          Posté par . Évalué à 5.

          Le message n'est pas écrit pour toi mais pour les utilisateurs qui se demandent pourquoi leurs forums et leur bugzilla ne fonctionnent pas. On le leur dit et on les rassure sur le fait que les failles en question n'ont a priori pas eu d'impact.

          C'est exactement le problème, votre seul but avec ce message est de rassurer les utilisateurs. Vous minimisez l'impact pour ne pas effrayer les utilisateurs, alors que vous n'en savez rien.

          D'autres préféreraient une approche moins brutale.

          Ca fait 5 ans que ces services auraient du être mis à jour, on a vu plus brutale comme approche.

          En fait vous voulez quoi ?

          Simplement de l'honnêteté. Quand on a merdé, on le dit, on ne minimise pas l'impact. Quand on ne connait pas l'impact, on le dit, on ne dit pas qu'il n'y a aucun problème pour rassurer les utilisateurs. C'est la base quand on veut avoir la confiance des utilisateurs.

        • [^] # Re: Et ils continuent de nier le problème ...

          Posté par . Évalué à -2.

          Qu'on dise qu'on aurait dû / pu faire mieux ? D'accord. On prend tous les coups de main pour la suite, quant aux coups de pied c'est pas obligé.

          C'est quand même incroyable cette façon de faire culpabiliser automatiquement à chaque critique. C'est quand même pas ma faute si votre infra est pourrie. J'ai un emploi du temps déjà bien chargé et aucune intention d'y ajouter la contribution à une distribution Linux, et si c'était le cas ça ne serait de toute façon clairement pas la Mageia vu l'état d'esprit que j'ai pu observer ici. Surtout qu'il en existe déjà bien d'autres qui fonctionnent plutôt bien.

          • [^] # Re: Et ils continuent de nier le problème ...

            Posté par . Évalué à 10.

            Par contre, tu as beaucoup de temps pour troller sur linuxfr, vu le nombre de tes réponses (plus de 25% au moment où j'écris).

            • [^] # Re: Et ils continuent de nier le problème ...

              Posté par . Évalué à 6. Dernière modification le 05/04/17 à 20:03.

              Les ad-hominem ça va bien 5 minutes. Vous pourriez le remercier, c'est un peu grâce à lui si ça va être corrigé avant que ça soit compromis. Enfin ça c'est qu'il faut espérer, avec tous les bots qui se baladent, ça m'étonne un peu que ce soit encore sain.

              • [^] # Re: Et ils continuent de nier le problème ...

                Posté par (page perso) . Évalué à 10.

                Euh non, ça va être corrigé grâce aux gens qui font le taf.

                Encore une fois, on se retrouve à masquer le travail des admins, faut pas s'étonner que les gens se découragent.

                • [^] # Re: Et ils continuent de nier le problème ...

                  Posté par (page perso) . Évalué à 10. Dernière modification le 05/04/17 à 23:02.

                  Euh non, ça va être corrigé grâce aux gens qui font le taf.

                  Qui l'ont pas fait depuis 5 ans et là paf c'est arrivé en haut de leur backlog. Pile après que coquelicot-bleu ait gueulé. Quelle coïncidence !

                  • [^] # Commentaire supprimé

                    Posté par . Évalué à 10. Dernière modification le 06/04/17 à 00:25.

                    Ce commentaire a été supprimé par l'équipe de modération.

                    • [^] # Re: Et ils continuent de nier le problème ...

                      Posté par (page perso) . Évalué à 6.

                      les bonnes pratiques veulent qu'il y ait une période pour corriger le tir ;

                      Le responsible disclosure c’est de signaler le problème en privé et de laisser le temps de corriger avant de rendre l’affaire publique. Là on est face à quelque chose qui est déjà publique (peu visible ≠ privé).

                      Prévenir les éventuels utilisateurs de Mageia sur DLFP ne me semble pas déconnant, surtout qu’il a fallut ça pour que l’équipe (au courant depuis longtemps) fasse un communiqué public.

                      il va jusqu'à lancer un shell comme il le mentionne ;

                      Si lui l’a fait, d’autre ont pu le faire, pourtant le discours en face c’est « y a pas de risque ».

                      J'ai la forte conviction, au vu de ce que j'ai lu, qu'il n'est pas le chevalier blanc, mais un gars qui veut salir la réputation de mageia.

                      Peut-être que c’est vrai, j’en sais rien, mais en attendant le problème est réel et le déni de l’équipe Mageia aussi.

                    • [^] # Re: Et ils continuent de nier le problème ...

                      Posté par (page perso) . Évalué à 5. Dernière modification le 06/04/17 à 07:58.

                      Le Responsible_disclosure a été fait pendant 4 ans, des gars ont dit "fin de support" il y a 4 ans, ce sont même des amis aux sys admins qui l'ont dit.
                      4 ans, c'est largement supérieur à 3 mois.
                      Le shell a été testé car les personnes de Mageia niaient le problème "nan mais arrête, c'est pas grave, c'est juste 4 ans sans support, ça ne veut pas dire que c'est troué"
                      le merdage n'a pas été reconnu dans ton lien (minimiser "l'infrastructure n'a pas été compromise" alors qu'ils n'en savent absolument rien car ils n'ont rien regardé).
                      Ca n'aurait pas été mis en public aussi fortement, avec d'aussi gros troll, que le problème serait rester (1 an? 2 ans?) vu la réaction initiale au journal (au début, hop un "ouais, on en a parlé au conseil, et rien d'urgent").

                      Bref, perso je vois toujours de l'incompréhension du problème soulevé, ce qui n'aide pas à calmer les esprits.
                      tu parlais de GitLab? Eux n'ont pas pris la chose comme pas grave (qu'ils soient payé ne change rien à la responsabilité quand on fournit quelque chose, encore une fois). D'autres non plus.
                      Le problème n'est pas qu'il manque de bras, mais que la sécurité n'est pas au niveau pour une gestion d'un parc de machines.
                      Le problème est que le risque a été nié, pour ensuite être reconnu sans le dire (la communication a été en premier "c'est pas dérangeant, arrêtez de troller" pour ensuite être "merde, c'est vrai que ça craint mais on ne l'admet pas publiquement on éteint juste les machines et on dit que c'est à cause des trolls"). Encore une fois, le fait qu'ils soient bénévoles surchargés ne changent rien au problème de sécurité, c'est pour après (voir comment corriger le problème de sécurité, à long terme). On peut compatir, mais ça n'excuse pas les 4 ans. Si les machines ont été éteintes, c'est bien la preuve que les sysadmins n'ont pas confiance, et ça montre donc que l'auteur du journal avait raison (si les sysadmins croyaient en la sécurité de Mageia 1, ils auraient juste dit "ha ha elle est bien bonne, non c'est bon on gère, on sait que ça craint rien").

                      Quand il faudra faire le bilan, j'espère que ça parlera des soucis de communication, car la communication de personnes (se présentant comme, du moins) de Mageia a rajouté de l'huile sur le feu, et pas qu'un peu (conspuer le lanceur d'alerte, surtout quand ensuite on valide son raisonnement, c'est pas vraiment un méthode conseillée, encore moins ne pas l'admettre ensuite).

                      et encore une fois : il vaut mieux que les personnes de Mageia se soient fait troller maintenant sans dégâts autre que leur égo, plutôt qu'une autre personne moins bien intentionnée (parce que bon, la, pour le moment on parle de "méchants trolleur" mais les trolleurs ont abîmer que l'égo, rien d'autre) fasse bien plus de dégâts (on parle de la sécurité de plein de machines cibles la…).

                      Un petit mal (aucun dégât autre que l'égo) pour un gros bien (quelque soit l'issue, même si ça "tue" Mageia, car il vaut mieux que ce soit mort qu'une source de virus).

                      J'ai la forte conviction, au vu de ce que j'ai lu, qu'il n'est pas le chevalier blanc, mais un gars qui veut salir la réputation de mageia.

                      Donc pour toi le Canard Enchainé, les révélations sur Fillon et Le Pen, et encore avant Cahuzac, banques suisses etc c'est mal car ça vient de gens voulant salir la réputation? Il ne fallait pas les sortir pour ne pas salir de réputation? Sans te demander si à la base, ça aurait été mieux de ne pas faire de conneries? OK, on n'a pas la même vision : on s'en fout complet de son but, à la base le problème est ailleurs. La, tu parles comme Fillon et Le Pen, te focalisant sur le messager et non le problème.

                      • [^] # Re: Et ils continuent de nier le problème ...

                        Posté par . Évalué à 9.

                        Le shell a été testé car les personnes de Mageia niaient le problème "nan mais arrête, c'est pas grave, c'est juste 4 ans sans support, ça ne veut pas dire que c'est troué"

                        Si je comprends bien, zenitram le preux chevalier de l'état de droit qui nous petait les burnes ya pas 2 jours à troller sur le blocage pendant la grève, c'est illégal, tralala, t'es un nazi mangeur de bébé si tu dit ca, est en train de justifier un acte illégal d'intrusion dans un système d'information?
                        Mais dit moi, ca serait pas un peu 2 poids 2 mesures des fois?

                        Donc pour toi le Canard Enchainé, les révélations sur Fillon et Le Pen, et encore avant Cahuzac, banques suisses etc c'est mal car ça vient de gens voulant salir la réputation?

                        Plusieurs choses:
                        - les mecs de canard signent de leur noms, pas d'un pseudo créé pour l'occasion
                        - ils viennent pas poster 30 commentaires sur leur propre article pour expliquer que magiea c'est vraiment des blaireaux

                        On peut en dire sur le fait que l'infra tourne sur du vieux soft (m'enfin, entre nous, c'est pas comme si ca se trouvait pas dans toutes les infra non triviales, hein), mais on peut clairement pas dire que l'attitude de l'autre tanche, la, soit responsable. C'est un vil troll trumpien, le messager détruit tout ce qu'il pouvait y avoir dans le message.

                        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                        • [^] # Re: Et ils continuent de nier le problème ...

                          Posté par (page perso) . Évalué à -5. Dernière modification le 06/04/17 à 08:51.

                          Bizarre tes comparaisons : je démontrais à une personne que ce qu'elle pensait être légal était illégal, ici personne n'a dit que c'était légal (et personne n'a été géné). 2 cas différents (tu n'arrives pas à faire la différence, sérieusement? Aïe).
                          Bref, tu as décidé que j'étais un méchant, et ne réfléchi même plus pour m'attaquer, tant pis si c'est incohérent et ridicule. Si ça te fait plaisir…

                          • [^] # Re: Et ils continuent de nier le problème ...

                            Posté par . Évalué à 8.

                            L'auteur a pas l'air de penser que c'est tres grave, la loi dit le contraire.
                            Je vois pas de différence fondamentale avec ton autre troll, mais la bas, c'était toute une histoire pour lui prouver qu'il avait tord, et toi raison.

                            Ah si! T'es du côté du mec qui enfreint la loi ce coup ci, donc ca change tout, forcément. On va quand même pas tirer sur les gars de son camp.
                            Ouais, 2 poids, 2 mesures.

                            Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                            • [^] # Re: Et ils continuent de nier le problème ...

                              Posté par . Évalué à -1.

                              Je sais qu'ouvrir un shell c'était limite niveau légalité mais je l'ai fait quand même par ce que:
                              - les voir porter plainte pour un problème qu'ils niaient ça serait marrant
                              - j'ai absolument rien fait sur la machine avec ce shell, ça va être compliqué pour eux de prouver un quelconque préjudice, ou même simplement d'en trouver une trace
                              - c'est l'équivalent d'ouvrir une porte mais sans rien abimer et sans rentrer derrière

                              • [^] # Re: Et ils continuent de nier le problème ...

                                Posté par (page perso) . Évalué à 2. Dernière modification le 06/04/17 à 11:02.

                                ouvrir un shell c'était limite niveau légalité

                                Non, ce n'est pas limite, c'est illégal (groumly fantasme sur mon supposé "2 poids 2 mesures" juste pour le plaisir de m'imaginer en méchant, dans son exemple et ici je dis que c'est illégal).

                                Il y avait eu condamnation pour un même cas affiché en public (avec en pratique rien, et pas sûr qu'aujourd'hui, avec la sensibilisation sur la sécurité, ce soit la même condamnation je parie sur une dispense de peine), mais bon l'attaquant avait été ridiculisé et avait montré à encore plus de monde les problèmes de son infrastructure, si c'est ça qu'ils veulent…

                                • [^] # Re: Et ils continuent de nier le problème ...

                                  Posté par . Évalué à 3.

                                  je parie sur une dispense de peine

                                  Je suis presque d'accord avec toi. Pour parfaitement bien connaître quelques cas, je modère un peu ton propos.

                                  L'article 132-59 du CP dispose

                                  La dispense de peine peut être accordée lorsqu'il apparaît que le reclassement du coupable est acquis, que le dommage causé est réparé et que le trouble résultant de l'infraction a cessé.

                                  À ce que je comprends de l'interprétation des juridictions, il y a les trois points dans la loi:

                                  • « le dommage causé est réparé » : Pas de préjudice ou préjudice intégralement réparé.
                                  • « le trouble résultant de l'infraction a cessé » : Pas de conséquences ultérieures.
                                  • « le reclassement du coupable est acquis » : Insertion dans la société du coupable, et rien ne laissant préjuger une infraction ultérieure similaire. En particulier le coupable doit avoir montré sa pleine prise de conscience de l'infraction.

                                  Pour les deux premiers points, il n'y a pas de problèmes, pour le troisième il semble minimiser son acte par rapport à l'infraction, et cela me semble le disqualifier pour la dispense de peine.

                                  Notons toutefois que dans cette situation, c'est l'avocat qui remet les idées de son client en place, et le conseille de telle sorte qu'il prenne conscience de l'infraction ou du moins qu'il ait le discours approprié.

                        • [^] # Re: Et ils continuent de nier le problème ...

                          Posté par (page perso) . Évalué à 5.

                          • les mecs de canard signent de leur noms, pas d'un pseudo créé pour l'occasion

                          Ce sont des journalistes avec un certain nombres de garde-fous et d'impunité (moins qu'un parlementaire européen, mais plus qu'un informaticien exaspéré par le déni).

                      • [^] # Re: Et ils continuent de nier le problème ...

                        Posté par . Évalué à -1.

                        Donc pour toi le Canard Enchainé, les révélations sur Fillon et Le Pen, et encore avant Cahuzac, banques suisses etc

                        Les révélations sur Cahuzac, c'était pas le Canard Enchaîné, c'était Médiapart.

                        Après il ne faut pas glorifier aveuglément la presse : par construction, il peut arriver qu'ils accusent des gens à tort, ou qu'ils relaient des boules puantes destinées à nuire à des personnalités ; surtout lorsqu'il s'y mêle des éléments de vindicte idéologique. Par exemple, Médiapart est en croisade contre Sarkozy depuis des années, mais celui-ci n'a jamais encore été condamné par la justice…

                        • [^] # Re: Et ils continuent de nier le problème ...

                          Posté par (page perso) . Évalué à 4.

                          En Italie aussi certains pensent que la presse est vilaine et que « Berlusconi est innocent », comme les journalistes russes assassinés partent en croisade inutile pour nuire à l'image de Poutine qui est « démocrate ».

                          Sarkozy n'a pas encore été condamné (en même temps pour Chirac il a fallu attendre looooongtemps), mais de très nombreux de ses proches en politiques sont mouillés, certains condamnés, sa campagne électorale a été financée illégalement etc. Bref, Médiapart ne ferait pas son boulot s'il n'émettait pas des critiques sur la probité de Sarkozy.

                          • [^] # Re: Et ils continuent de nier le problème ...

                            Posté par . Évalué à -1.

                            En Italie aussi certains pensent que la presse est vilaine

                            Bravo, c'est très facile de faire de la démagogie en déformant les propos des autres. Je n'ai pas dit que la presse est « vilaine » (je te laisse la responsabilité de ce genre de manichéisme), j'ai dit que ses écrits étaient toujours sujets à caution et que ce n'est pas elle qui peut conclure qu'une personnalité est coupable de crimes ou délits.

                            (par ailleurs, il y a un principe fondamental selon laquelle tout accusé est présumé innocent jusqu'à preuve du contraire…)

                            « Berlusconi est innocent »,

                            Il y a une différence capitale entre Sarkozy et Berlusconi : Berlusconi a été condamné par la justice de son pays, Sarkozy non. Cela autorise à dire que Berlusconi est coupable, mais pas Sarkozy.

                            Certes, ce genre de détail est négligeable au regard de certains pour qui Sarkozy est forcément l'égal de Berlusconi, Poutine, ou je ne sais quel autre épouvantail bien commode. Sarkozy n'a fait l'objet d'aucune condamnation ? C'est pas grave, on va noyer le poisson en faisant un petit amalgame gratuit.

                            Sarkozy n'a pas encore été condamné

                            « Encore » ? La formulation est révélatrice de certains préjugés, désirs ou obsessions…

                            Bref, Médiapart ne ferait pas son boulot s'il n'émettait pas des critiques sur la probité de Sarkozy.

                            C'est vrai. Le boulot de Médiapart, c'est de vendre des abonnements à une frange de la gauche qui ne cache pas sa haine anti-Sarkozy, et ce bien avant que Sarkozy soit visé par des enquêtes. Il est donc normal que Médiapart fasse des articles anti-Sarkozy, vu que ça leur rapporte de l'argent. De même, si Sarkozy était définitivement mis hors de cause, il ne faudrait pas espérer que Médiapart fasse amende honorable en admettant qu'ils ont accusé Sarkozy à tort (on aurait plutôt droit à un article disant que la justice s'est agenouillée devant le pouvoir, ce genre de choses).

                            Par contre, penser que ce que dit Médiapart est vérité d'évangile, il faut être franchement naïf. Médiapart, comme n'importe quel autre organe de presse, suit ses propres intérêts et il faut être capable de prendre leurs accusations avec une bonne pincée de sel.

                            • [^] # Re: Et ils continuent de nier le problème ...

                              Posté par (page perso) . Évalué à 3.

                              « Encore » ? La formulation est révélatrice de certains préjugés, désirs ou obsessions…

                              Je n'ai ni préjugé, ni obsession. J'ai le désir effectivement que la justice fasse son travail. Prenons par exemple par exemple le financement frauduleux de sa campagne électorale : il était le candidat et plusieurs témoins ont indiqué (devant la justice) que Sarkozy était au courant. On verra ce que dit la justice. D'autre part, quand tant d'histoires foireuses tournent autour d'un seul homme, permet moi d'avoir des soupçons : Sarkozy, c'est aussi son clan, avec Balkany, Dassault, Woerth, Copé, Squarcini, Guéant, Takkiedine, Lavrilleux, Boillon, Tapie, Fillon… Probablement que tout cela n'est qu'un grand complot.

                              Pasqua n'a jamais été condamné non plus, pourtant une bonne partie de la classe politique s'accorde à dire qu'il était mouillé jusqu'au cou. Chirac n'a été condamné que tardivement, pourtant encore une fois de très nombreux protagonistes disent qu'il a fait porté le chapeau à Jean Tibéri et Alain Juppé pour les problèmes à la mairie de Paris (dont Chirac était maire). Fillon n'est pas condamné, pourtant sa femme a bien été rémunérée sans avoir de bureau à l'Assemblée et en disant partout qu'elle ne s'occupait pas du travail de son mari, pourtant ses enfants ont bien été rémunérés à des salaires élevés sans avoir le diplôme…

                              Le boulot de Médiapart, c'est de vendre des abonnements à une frange de la gauche qui ne cache pas sa haine anti-Sarkozy

                              Mediapart a aussi sorti pas mal d'articles qui mouille la frange de la gauche dont tu parles, comme l'affaire Cahuzac par exemple.

                              Par contre, penser que ce que dit Médiapart est vérité d'évangile

                              Je ne le pense pas. Je pense que c'est un organe de presse qui fait du journalisme d'investigation sérieux. Tu as le droit d'avoir un avis contraire.

                              • [^] # Re: Et ils continuent de nier le problème ...

                                Posté par . Évalué à -4.

                                Chirac n'a été condamné que tardivement, pourtant encore une fois de très nombreux protagonistes disent

                                Et crois-tu qu'il est raisonnable de croire les « protagonistes » sur parole ? Protagonistes qui, probablement, ne sont pas plus propres que ceux qu'ils mettent en cause, et qui cherchent peut-être par leurs accusations à exercer un chantage ou à liquider de vieux différends. En bref, souvent, les gens croient ce qui les arrange.

                                permet moi d'avoir des soupçons : Sarkozy, c'est aussi son clan, avec Balkany, Dassault, Woerth, Copé, Squarcini, Guéant, Takkiedine, Lavrilleux, Boillon, Tapie, Fillon… Probablement que tout cela n'est qu'un grand complot.

                                On peut faire un grand sac nommé « clan Sarkozy » en y mettant tous les gens qui ont des problèmes avec la justice. Cependant, il faut se souvenir que Tapie, par exemple, avant de faire partie du « clan Sarkozy », faisait partie du « clan Mitterrand ». D'autres comme Balkany ou Dassault n'ont pas attendu Sarkozy pour mélanger les genres entre politique et intérêt personnel… Mais bizarrement, du moment qu'ils sont mis en cause, on décide que ce sont des proches de Sarkozy.

                                On pourrait dire, plus généralement, qu'il y a eu pas mal de gens mouillés chez LR. Cela ne veut pas dire que ces gens mouillés font partie d'un hypothétique « clan Sarkozy ».

                                Mediapart a aussi sorti pas mal d'articles qui mouille la frange de la gauche dont tu parles, comme l'affaire Cahuzac par exemple.

                                Tu te trompes. Cahuzac était partisan de DSK puis de Hollande, c'est-à-dire de l'aile droite (« libérale ») du PS. La « gauche » que révère Médiapart, à savoir la gauche tendance EELV ou l'aile gauche du PS, est rarement mise en cause par Médiapart… On peut imaginer que c'est parce que les gens y sont au-dessus de tous reproches. Ou peut-être tout simplement que Médiapart a moins intérêt à enquêter sur eux.

              • [^] # Re: Et ils continuent de nier le problème ...

                Posté par (page perso) . Évalué à 4.

                Au passage, pour avoir regarder le fonctionnement des dits bots qui se baladent (c'est pas dur, tu peux juste mettre un pauvre honeypot ssh, y en a des tonnes et c'est facile d'en écrire un avec twisted), la majorité des bots vont tentés d'exploiter des failles archi courantes.

                Soit des mots de passes par défaut et/ou faibles (cas des bots ssh, genre mirai), soit des failles connus dans des softs classiques (style wordpress), soit shellshock.

                Que je sache, rien de tout ça ne s'applique à ce serveur:
                - c’était du mod_perl, on évite globalement shellshock via mod_cgi
                - pas de wordpress dessus (que je me souvienne)
                - le ssh est par clé uniquement dans mon souvenir

                Donc sauf erreur de ma part et sur la base des bots que je voit sur mes serveurs, le risque est globalement faible.

                Ensuite, tu as peut être sans doute d'autres infos qui te permettent d'être plus affirmatif que moi, auquel cas je suis sur que tu peux les partager pour faire avancer le débat de façon constructive.

                • [^] # Re: Et ils continuent de nier le problème ...

                  Posté par . Évalué à 1.

                  Il y a du Wordpress pour le blog, mais dans des VM qui n'ont aucun lien avec le reste de l'infra si ce n'est le DNS à ma connaissance (les comptes Wordpress ne sont pas gérés via LDAP).

                  Et ces instances Wordpress sont à jour.

                • [^] # Re: Et ils continuent de nier le problème ...

                  Posté par (page perso) . Évalué à 7. Dernière modification le 05/04/17 à 23:05.

                  Pas plus tard qu'aujourd'hui on m'a conté un Jenkins dockerisé qui s'est fait pawn et hop passage au root de la machine physique et bots chinois, sur une distro à jour et un truc encore moins visible que Mageia. Alors non y a pas que du scan de admin@ en SSH.

            • [^] # Re: Et ils continuent de nier le problème ...

              Posté par (page perso) . Évalué à 5.

              Surtout pour un compte ouvert hier juste pour poster ça.

            • [^] # Re: Et ils continuent de nier le problème ...

              Posté par . Évalué à 6.

              Pour avoir une telle dent contre Mageia, c'est à se demander si un sysadmin de Mageia ne lui aurait pas piqué sa petite amie…

        • [^] # Re: Et ils continuent de nier le problème ...

          Posté par (page perso) . Évalué à 3. Dernière modification le 05/04/17 à 20:41.

          "regardez, eux, ils sont pas à jour, allez-y attaquez"

          J'ai l'impression que vous n'avez toujours pas compris l'importance du problème : une personne a pointé du doigt un truc non maintenu dans votre infra depuis 4 ans. Ca veut dire que pendant 4 ans vous étiez à poil (c'est vous qui le dites, "end of life" a été décidé par vous) et que n'importe qui ayant intérêt à vous prendre vos machines pouvait trouver une faille dans une version pas à jour des logiciels de la distro, et ce de pire en pire dans le temps (failles non corrigées).

          Ici, vous la jouez logiciels proprio "sécurité par l'obscurité" sauf que c'est pas si obscure (c'est public, suffit de chercher un peu), votre seul avantage est que pas/plus foule n'est chez vous donc ça ne rend pas les attaques intéressantes.

          On prend tous les coups de main pour la suite

          J'imagine qu'on peut préparer un message "on vous a mis à poil pendant 4 ans, on n'est plus capable d'assurer un minimum de sécurité depuis des années, on vous conseille de passer à CentOS pour les conservateurs et Fedora pour les bleding edge et faites bien attention à ne prendre aucun exécutable de l'ancienne install, en attendant qu'on voit ce qu'on peut faire pour ressusciter Mageia" mais pas sûr que vous acceptiez le coup de main vu comment vous réagissez.

          au passage, vous n'avez pas eu assez de ressources, ok, des malades ok, mais du coup vous savez comment vous allez faire quand Mageia 6 va sortir? Car vous aurez alors 3 mois pour migrer toutes vos machines vers Mageia 6, sous peine de retomber dans le problème "end of life" de ce que vous avez, et 3 mois c'est court (mais c'est vous qui l'avez décidé donc ce n'est pas critiquable).

          quant aux coups de pied c'est pas obligé.

          Vous faire troller est un coup de pied bien doux par rapport à ce que vous auriez pu vous prendre, vous pourriez même les remercier.


          Quand on s'engage à gérer la sécurité d'autres personnes, il faut un minimum, ou il vaut mieux ne rien faire, faire pour faire n'est que rarement une bonne chose, et parfois il faut savoir s'arrêter avant qu'il y est plus de dégâts. Et oui, les tiers non utilisateurs peuvent aussi être impactés (les DDOS sont fait à partir de machines dont la sécurité est traité à la légère, mais d'habitudes c'est par des gens pas au fait de la sécurité).
          En attendant, avant je n'avais pas d'avis sur Mageia, maintenant j'en ai un pour quand on me demandera mon avis (rare, mais ça arrivait de temps à autre avec des français surtout).

      • [^] # Re: Et ils continuent de nier le problème ...

        Posté par . Évalué à 9.

        Même si ton ton condescendant ne donne pas vraiment envie de t'écouter, tu soulèves des points pertinents.

        J'ai essayé d'ajouter plus de détails à l'article du blog, et je l'espère de ton point de vue plus d'honnêteté. La première version ne se voulait en aucun cas malhonnête, mais comme Samuel l'indique, était destinée principalement à informer les utilisateurs sur l'indisponibilité des services qu'ils utilisent.

        Donc merci pour tes conseils et les risques que tu soulèves, c'est pertinent et ça nous aidera à bien vérifier la sécurité de l'infra une fois les services migrés. Je ne serai néanmoins pas contre un peu plus de bienveillance dans tes commentaires, on peut réaliser qu'on a sous-estimé un problème de sécurité sans forcément avoir besoin d'être présentés comme des malfrats.

        • [^] # Re: Et ils continuent de nier le problème ...

          Posté par (page perso) . Évalué à -6.

          on a sous-estimé un problème de sécurité

          Question idiote : à quoi ça sert l'indication "end of life" que vous mettez sur https://www.mageia.org/fr/support/ ?
          Nan, parce que bon, j'ai l'impression que les admin sys de Mageia ne comprennent pas ce que ça veut dire, faudrait peut-être leur faire un cours (alors qu'on me dit que se sont des pointures dans ce domaine, j'y comprend rien, moi mes admins sys pas des pointures ils m'engueulent si je ne leur laisse pas le temps de faire les migrations car ils savent que les personnes sur lesquelles ils comptent pour la sécurité ont dit qu'elles ne faisaient plus le taf sinon).

          sans forcément avoir besoin d'être présentés comme des malfrats.

          Disons que vu les réactions outrées qui ont été reçues, la façon de nier les problèmes, ça n'aide pas. Il n'y a pas besoin d'être admin sys pour se rendre compte qu'il y a un gros problème, car la communication "end of life" des support est justement pour alerter des problèmes.

          Et le pire est peut-être que vous le saviez (surtout que les personnes disant EOL pour la distro doivent être proches des admins sys), mais "pas grave tant que c'est pas mis trop en public", qui n'aide pas à compatir.
          (en fait, le problème est que vous n'avez aucune porte de sortie correcte, certes)

          tu parles de malfrat, mais pour donner quelque chose d'équivalent une personne faisant un homicide involontaire est quand même une personne faisant un homicide et est condamné pour ça, quand bien même ce fût involontaire avec toutes les bonnes intentions du monde et pas eu le temps de vérifier la sécurité, et vaut mieux se prendre un "mais tu vas le tuer, arrête" que d'arriver au pire, non?

    • [^] # Re: Et ils continuent de nier le problème ...

      Posté par (page perso) . Évalué à 4.

      Le service web en question est down les commits sont envoyés à une mailing list et à un serveur IRC et surveillés d'assez près par les packageurs, les soumissions de paquet aussi (au point qu'on se prend souvent des remarques sur les mailing lists si on fait une bêtise). Les connexions SSH aux serveurs sont surveillées par les sysadmins. Les serveurs de build ne sont pas compromis à notre connaissance d'après ces divers éléments et les stratégies qui permettraient de récupérer les mots de passe des admins sur identity.mageia.org ne semblent pas avoir été employées et ils pourront vérifier avant de réouvrir le service.

      Si après upgrade, vérification et retour des services il y a toujours des failles, tes capacités de pen-tester seront utile pour renforcer la sécurité et il ne faudra pas hésiter à faire connaître les problèmes (d'abord en privé de préférence, histoire d'avoir quelques jours pour agir).

      Certes, c'est difficile de garantir un risque zéro, mais les éléments actuels ne laissent pas soupçonner une compromission du système de build. Le risque zéro n'existe pas, certes, mais faut-il vraiment parler de foutage de gueule ?

      • [^] # Re: Et ils continuent de nier le problème ...

        Posté par . Évalué à 2.

        Waouh, les commits envoyés à une mailing list, quelle sécurité de malade. Par ce qu'il ne viendrait pas à l'idée au pirate de désactiver ces mails avant de pousser son commit malveillant. A moins que le pirate ayant accès au serveur de build ne décide de pousser son paquet malveillant directement sur les mirroirs sans passer par la case commit.

        Surveiller les connexions SSH ok, mais vous faites comment pour détecter les mauvaises connexions ? Vous êtes au courant que les logs ca s'efface ? Que quand on prend le contrôle d'un serveur on met généralement en place un autre moyen de s'y connecter que le ssh standard ? Je me suis permis d'ouvrir un shell un instant sur votre serveur, vous l'avez vu dans les logs ?

        Le risque zéro n'existe pas, certes, mais faut-il vraiment parler de foutage de gueule ?

        Le foutage de gueule c'est de venir parler de risque zéro quand son infra est toute trouée. C'est comme parler de spéculation sur la base de numéro de version, quand il s'agit d'une version d'un service en php obsolète depuis 5 ans dont il y a des vulnérabilités publiques en pagaille. Votre infra est peut-être (sans doute ?) compromise, vous n'en savez rien.

        • [^] # Re: Et ils continuent de nier le problème ...

          Posté par (page perso) . Évalué à 7.

          Juste au cas où parce que je ne fais visiblement pas le poids sur la question de la sécurité d'une infra, si ça peut en rassurer un ou deux je ne suis pas sysadmin pour Mageia.

        • [^] # Re: Et ils continuent de nier le problème ...

          Posté par (page perso) . Évalué à 10.

          Le foutage de gueule c'est de venir parler de risque zéro quand son infra est toute trouée.

          Venir agresser des bénévoles par le biais de LinuxFr, c'est pas terrible comme comportement. L'infrastructure de Mageia a le bon gout d'être ouverte depuis le début, et quand j’étais un des admins la bas, j'ai reçu epsilon patchs de la communauté. Soit, faire l'administration système, c'est compliqué et c'était pas vraiment une des compétences des utilisateurs dans la communauté. J'ai bien conscience que puppet (l'outil choisi à l'époque) est un outil non trivial pour le péquin moyen (voir même les concepts modernes de gestion de serveurs). Et si je devais le refaire maintenant, je referais ça autrement (et je le refait autrement justement).

          Mais c'est pas le propos. Le propos, c'est que sans aide et sous la charge de travail (bénévole), j'ai quitté le projet pour éviter le burnout. Burnout qui a failli me couter mon taf à mi-temps et qui m'a couté la relation avec ma copine de l'époque. Je suis pas non plus le seul, car d'autres admins ont lachés l'équipe pour divers raisons (parfois de santé, parfois autres). Mais curieusement, y a pas grand monde qui est venu remplacer les départs depuis la communauté.

          Donc arriver en donneur de leçon la bouche en cœur, c'est totalement contre productif et passablement odieux vu que ça va juste dégouter les gens de filer du travail gratuitement à des gens dont la gratitude semble inexistante.

          Si quelqu'un estime pouvoir donner son avis sur le taf à faire par des bénévoles, y a plusieurs solutions. Soit la personne a les compétences et je m'attends à minimum de voir un patch arriver. Soit la personne n'a pas les compétences, et je m'attends à ce que les gens aient la décence de ne pas se comporter de façon hautaine à expliquer à ceux qui font le travail comment le faire en étant insultant.

          Ou si la personne n'a pas le temps, je m'attends aussi à ce que les gens comprennent que le temps des autres aussi n'est pas infini.

          Je ne veux pas minimiser les soucis d'attaques sur les infras, ça arrive en moyenne une fois tout les 3 mois d’après mes recherches (moyenne fait sur les 10 dernières années). Mais ce genre de soucis, c'est aussi arrivé à beaucoup de projets et pas des moindres :

          Php.net, 2013: https://barracudalabs.com/2013/10/php-net-compromise/
          Rubygem: http://blog.rubygems.org/2013/01/31/data-verification.html

          Ou des distros/OS:
          Debian: https://lwn.net/Articles/191744/
          https://www.debian.org/devel/debian-installer/News/2003/3

          FreeBSD (2012):
          https://www.freebsd.org/news/2012-compromise.html

          Red Hat/Fedora (2008):
          https://www.cnet.com/news/red-hat-fedora-servers-compromised/

          J'ai une liste de 50 compromissions, je peux continuer toute la nuit.

          Tantôt c'est du vol de compte. Tantôt c'est du bruteforce de login ssh. Parfois, on sait pas car personne n'a fait de forensic (parce que oui, la sécurité, c'est un métier, c'est pas juste aller crier sur les gens sur un site web, au cas ou les gens auraient des doutes).

          Parfois les détails sont pas publiques, et j'ai eu beaucoup de mal à retrouver des infos. J'ai pas encore pu tomber sur des 0days de folies ou des exploits complexes, et pourtant j'ai fait le tour des confs pour parler aux gens impliqués dans certains cas, je me suis tapé facile 30 à 40 rapports sur les différentes attaques pour comprendre (https://github.com/aptnotes/data ).

          Mais la cause à la base, c'est souvent toujours pareil. C'est des systèmes oubliés, mal sécurisés et souvent un manque d'admin sur des projets, parfois pendant plusieurs années. Des admins qui sont pas forcément formé sur les bonnes pratiques en cours, parce que ça reste quand même difficile à en trouver.

          Donc si en plus, faut en trouver qui sont d'accord pour bosser gratuitement, en plus de l'activité normal et en plus se faire pourrir par des inconnus sur le web, c’est plus du recrutement, c'est une chasse au dahu.

          Je pourrais aussi parler pendant des heures sur les mécanismes et dynamiques de récompenses autour du logiciel libre et comment le travail d'un admin passe à la trappe, vu que faire le travail correctement implique que ça soit invisible.

          Mais ce commentaire est déjà trop long, donc je vais juste conclure pour dire que venir agresser les gens comme tu le fait, c'est aggraver le problème. Et c'est clairement une raison de plus de pas se bouger. De ne pas se bouger par épuisement aprés avoir fait souvent plus que la moyenne, et que ça soit pas suffisant. De ne pas se bouger à cause de l'ingratitude manifeste. De ne pas se bouger par le paternalisme du ton employé.

          • [^] # Re: Et ils continuent de nier le problème ...

            Posté par (page perso) . Évalué à -5.

            e suis pas non plus le seul, car d'autres admins ont lachés l'équipe pour divers raisons (parfois de santé, parfois autres). Mais curieusement, y a pas grand monde qui est venu remplacer les départs depuis la communauté.

            C'est peut-être la le problème : ne pas avoir su s'arrêter avant que ça devienne dangereux au niveau sécurité.
            Je crois qu'il y a un problème de compréhension : le sujet n'est pas que les bénévoles doivent être des esclaves, mais qu'il font croire qu'ils font ce qu'il faut pour protéger un minimum, le sujet est qu'il semble impossible de se dire "ok, on n'a plus assez de monde, on ferme avant que ça casse".

            Je ne veux pas minimiser les soucis d'attaques sur les infras, ça arrive en moyenne une fois tout les 3 mois d’après mes recherches

            Et généralement fait sur des infras à jour, c'est dire le risque encouru sur des infras pas à jour.
            C'est bien le soucis.

            C'est des systèmes oubliés

            D'après ce qu'on lit, ce n'était pas oublié mais bien connu.
            Pire, une fois que ça a été public, ça n'a pas été coupé dans l'heure.


            Bref, on parle de raison, on explique, mais expliquer n'est pas excuser, ce sont deux choses différentes.
            Je crois que personne ne critique le travail bénévole, la critique est que le bénévolat n'excuse pas de mettre en danger.
            Et tant qu'on parle de 2 choses différentes (l'explication et le résultat), on n'arrivera sans doute pas à ce comprendre.

            Maintenant que les serveurs ont été mis hors ligne, la question est peut-être de savoir arrêter plutôt que de faire un burnout à migrer, mais ça ne semble pas en discussion, et ça ce n'est pas la faute de ceux qui ont montré le problème.

            • [^] # Re: Et ils continuent de nier le problème ...

              Posté par . Évalué à 10.

              C'est quoi l'intérêt de re-jeter de l'huile sur le feu ? On a toutes et tous compris, je pense, qu'il y avait un problème de maintenance de serveur, d'un côté. Et que d'un autre côté il y avait un problème d'engagement pour maintenir une infra-structure de ce niveau (remettons les choses dans le contexte, sans esprit d'excuser mais bien simplement de laisser entrevoir la tâche : il s'agit d'une infra d'une distribution, pas d'un simple site web hébergeant un blog)

              ils font croire

              Ils ne font rien croire du tout. Ils expliquent, tu peux juger les explications maladroites et imparfaites oui, mais ils ne font rien croire.

            • [^] # Re: Et ils continuent de nier le problème ...

              Posté par (page perso) . Évalué à 9.

              C'est peut-être la le problème : ne pas avoir su s'arrêter avant
              que ça devienne dangereux au niveau sécurité.

              S’arrêter de faire quoi ?

              S’arrêter de filer du temps gratos ?

              S'arrêter de faire le travail en risquant de se faire insulter sur linuxfr ? Qu'est qui aurait du être arrêter ?

              Je crois qu'il y a un problème de compréhension : le sujet
              n'est pas que les bénévoles doivent être des esclaves, mais
              qu'il font croire qu'ils font ce qu'il faut pour protéger un
              minimum, le sujet est qu'il semble impossible de se dire "ok,
              on n'a plus assez de monde, on ferme avant que ça casse".

              Ça se voit quand même que tu as jamais bossé dans un projet d'envergure avec du monde, voir même fait de la gestion de risque. Deja, tu va pas dire "on ferme le projet, on a un serveur pas à jour", surtout quand, comme dit par Pascal, un plan pour la mise à jour est en cours. Peut être qu'envoyer chier le monde est trivial pour toi, mais c'est pas le cas de tout le monde. Donc oui, les gens vont pas arrêter quand il est trop tard, et surtout pour Mageia (j'ai pas besoin de parler de l'histoire de la distribution).

              De surcroit, c'est quand "trop tard" ? Y a pas de moment exact pour ça

              Pire, une fois que ça a été public, ça n'a pas été coupé dans > l'heure.

              Ça a toujours été publique pour qui sait regarder. Et encore une fois, l'attente que les bénévoles doivent réagir dans l'heure et rapidement est une source de stress. Et le stress et le burnout dans le libre est un souci.

              ça ce n'est pas la faute de ceux qui ont montré le problème.

              Mais le souci est pas de signaler un problème.

              Le souci, c'est de signaler un problème connu depuis longtemps et de croire qu'aller insulter les gens pour forcer la migration va aider.

              Coquelicot-bleu a bien dit qu'ielle utilise pas la distribution, donc ielle n'a même pas l'excuse de faire ça pour son propre bénéfice. Les admins étaient déjà au courant. Il ne faut pas non plus prendre la profession pour des idiots, on sait exactement ce qui est pas à jour, on sait ce qui est risqué, la dette technique, on a ça en tête tout les jours.

              Donc ce que ça va donner, c'est une migration potentiellement rushé, des attaques sur Linuxfr sur les gens qui font le travail, et sans doute un pas de plus vers le burn out pour eux.

              Tout ça pour une attaque qui n'a pas eu lieu, pour un serveur qui n'est pas si critique que ce qu'il veut faire croire (et moi, je sais comment est architecturer le système, je sais ou sont les points faibles qu'on a pas pu renforcer de mon temps, vu que j'ai été un de ces architectes). Oui, ça aurait du être mis à jour plus tôt, mais "c'est la vie", surtout si les bénévoles sont pas des esclaves (parce que bon, dire "faut faire ça, et fait ça gratos et plus vite", ç'est quand même une forme de pression psychologique assez mauvaise).

              • [^] # Re: Et ils continuent de nier le problème ...

                Posté par (page perso) . Évalué à 10.

                S’arrêter de filer du temps gratos ?

                Peut-être oui.

                Je ne parle pas d’arrêter le bénévolat, ni d’arrêter de faire évoluer votre projet, mais il aurait peut-être fallu vous dire que vous n’êtes pas en mesure (économiquement et humainement) de gérer votre infrastructure.

              • [^] # Re: Et ils continuent de nier le problème ...

                Posté par (page perso) . Évalué à -5. Dernière modification le 06/04/17 à 09:47.

                Coquelicot-bleu a bien dit qu'ielle utilise pas la distribution

                Tu voulais sans doute dire "lea distributione" :p

                C'est quoi, l'idée, là, c'est une question sérieuse ? Dans le cas d'objets, ou de groupes de gens, je veux bien admettre une indistinction (soupir…) mais là le mec est tout seul, et son pseudo comporte un adjectif masculin !

                Quand tu parles de quelqu'un le pronom personnel que tu utilises est son nom (soupir…) or il est admis (ou alors je suis pas à jour) que décider à la place des gens du nom qu'on souhaite les voir porter est, au delà de l'affront, une faute sociale du dernier mauvais goût ; j'aimerais bien voir ce que ça donne dans la vraie vie, ce genre de patch "Alors qu'est-ce qu'ielle - 5 lettres ! Misère - boit, Gérard ?" :/ Et en anglais? Coquelicot-bleu stated that..? Mm ?

                Attend, qu'on se comprenne bien là, vous avez aussi un problème avec les pronoms personnels des individus ? Pas juste les terminaisons et les groupes ?

                Je veux descendre, on s’arrête bientôt ?

                • [^] # Re: Et ils continuent de nier le problème ...

                  Posté par (page perso) . Évalué à 2.

                  Attend, qu'on se comprenne bien là, vous avez aussi un problème avec les pronoms personnels des individus ? Pas juste les terminaisons et les groupes ?

                  Tu préjuges simplement du genre/sexe/chépuquoi de coquelicot-bleu en lui imposant un pronom cisgenre !

                  Ou alors c'était une manière subtile de la part de Misc de le traiter de grosse tapette, qui sait.

                  • [^] # Re: Et ils continuent de nier le problème ...

                    Posté par (page perso) . Évalué à -7. Dernière modification le 07/04/17 à 11:24.

                    Tu préjuges simplement du genre/sexe/chépuquoi de coquelicot-bleu en lui imposant un pronom cisgenre !

                    Oui, alors qu'ielle a zu-même dit qu'ielle est du règne végétal :p

                    Eh au fait j'ai posé une question dans mon com' personne pour répondre ? Où sont les linguistes du futur, personne ? C'est bien ce qui me semblait. cis-baltringues, c'est comme ça qu'on dit hein ? :D

                    Hé les gens, t'as vu l'arnaque ? Ça commence à base de "utilisateurices" ou voyageur.e.s et ça finit en disparition du prénom personnel distingué. Ça n'existe dans aucune langue humaine opérationnelle, ça. Un rêve de machine. Ces crétins nous préparent un avenir encore plus dystopique que prévu, où seront niés les caractéristiques humaines les plus élémentaires. On sera tous des ielles, un grand groupe indéterminé, rendu tellement méchant et lâche, émasculé, stupide et faible qu'il suffira de quelque as400 pour les contenir ; Le tout adoubé par des suiveur terrorisés (et ignorants, d'une bêtise, d'une inculture, d'une méchanceté ignare absolument spectaculaires) à l'idée de se faire traiter de fasciste. Eh mais quand je vois ça je suis fasciste, moi, c'est où qu'on signe ? Et après on s'étonne bruyamment du résultat des élections, on "ne comprend pas" oui hein ? :)

                    Ça veut ré-écrire GCC et ça sait même pas faire un hello world.
                    Ça se permet de seulement parler de politique (let alone voter) alors que ça n'écrit même plus en HUMAIN.

                    Le futur vous vomit, bande de consommateurs utilisables, vous méritez le mépris que vos enfants vous portent, et le dédain consterné (et vaguement hilare) qu'inspirent au monde vos gribouillages de dégénérés.

              • [^] # Re: Et ils continuent de nier le problème ...

                Posté par . Évalué à 2.

                Tout ça pour une attaque qui n'a pas eu lieu

                Comment prouves-tu l'absence d'un programme malveillant introduit par un tierce, l'absence d'une intrusion ?

                "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                • [^] # Re: Et ils continuent de nier le problème ...

                  Posté par (page perso) . Évalué à -3.

                  Pardon, mais l'absence de programme malveillant ou de trous de sécurité, c'est juste quand on n'en trouve pas. Il peut y en avoir actuellement (et il y en a probablement) dans certains logiciels que tu utilises.

                  • [^] # Re: Et ils continuent de nier le problème ...

                    Posté par . Évalué à 4.

                    Pardon, mais l'absence de programme malveillant ou de trous de sécurité, c'est juste quand on n'en trouve pas.

                    Quand tu n'en a pas trouvé de trace, tu sais juste qu'il n'y a pas de trace. Rien de plus.

                    Prouver l'absence de quoi que ce soit c'est impossible.

                    "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                    • [^] # Re: Et ils continuent de nier le problème ...

                      Posté par (page perso) . Évalué à -3.

                      Nous sommes d'accord. Donc on se base sur la probabilité. Quand les athées disent « Dieu n'existe pas », ils ne démontrent pas l'absence de dieu, ils montrent l'absence de preuves de son existence. Pareil pour les failles de sécurité, on peut se considérer sûr (comprendre, probablement sûr) si on ne trouve rien dans les traces.

                    • [^] # Re: Et ils continuent de nier le problème ...

                      Posté par (page perso) . Évalué à 6.

                      Prouver l'absence de quoi que ce soit c'est impossible.

                      Bon juste pour faire mon chieur on peut très bien, par exemple, prouver l'absence d'autre nombre pair que 2 dans la liste des nombres premiers.
                      Mais c'était juste pour faire mon chieur, tu as raison sur le fond.

          • [^] # Re: Et ils continuent de nier le problème ...

            Posté par . Évalué à -3.

            L'infrastructure de Mageia a le bon gout d'être ouverte depuis le début

            Alors ça oui, ça y a aucun doute, elle est "ouverte".

            Ensuite, les admins ont merdé, je comprend, ça arrive. Y a des raisons, ok. Si ils admettent qu'il y a problème, acceptent d'en parler, ok mais c'était pas le cas ici. Moi je veux bien aider, mais faut pas qu'on me prenne pour un con. La première réponse à ce journal c'était "Tu ne sais pas". Puis une flopée d'autres messages pour nier ou minimiser le problème. Ca m'arrive régulièrement de signaler des problèmes sur d'autres projets, et ça se passe très bien à partir du moment ou l'équipe en face prend au sérieux le problème sans essayer de le nier ou minimiser.

            • [^] # Re: Et ils continuent de nier le problème ...

              Posté par . Évalué à 3. Dernière modification le 05/04/17 à 22:03.

              Les admins ont merdés

              ¿¡¿ Ha bon ?!? ils ont fait une couffe, une erreur, une bouse qui a tout pété ? Non. Ces serveurs ne sont pas assez entretenus, c'est tout à fait différent.

              faut pas qu'on me prenne pour un con

              Personne ici ne t'as pris pour con. Tu peux comprendre que le ton de ton journal ai pu blesser et n'as rien de constructif, les gens peuvent comprendre que ce ton est virulent parce que tu apprécies peut être ce mode de communication, à ce moment là du moins, soit. Et tout le monde peut admettre qu'une réponse sous le coup d'une émotion négative peut ne pas être parfaite, comme on l'attends pile poil. Non ?

              • [^] # Re: Et ils continuent de nier le problème ...

                Posté par . Évalué à -10.

                Personne ici ne t'as pris pour con

                Ah si! Moi.
                Vu le ton, les tactiques de couard utilisé, je dirais même que c'est un gros con. Ou ptetre un pov' con. Mais clairement, c'est un con. La preuve, il a avoué par écrit avoir commit un crime, faut quand même être bien con pour faire ca, non?

                Il cherche pas la résolution d'un problème, il veut juste gueuler sans fin sur une équipe qui lui revient visiblement pas.

                Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                • [^] # Re: Et ils continuent de nier le problème ...

                  Posté par . Évalué à 3.

                  Tu confonds clairement crime et délit. On encourt pas 15ans d'emprisonnement pour une intrusion dans un système informatique.

                • [^] # Re: Et ils continuent de nier le problème ...

                  Posté par (page perso) . Évalué à 5.

                  Merci de rester courtois dans les échanges sinon on va plus s'en sortir.

                  • [^] # Re: Et ils continuent de nier le problème ...

                    Posté par . Évalué à -6.

                    c'est pas comme si journal allait quelque part entre nous.

                    Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                    • [^] # Re: Et ils continuent de nier le problème ...

                      Posté par (page perso) . Évalué à 8.

                      Il a réussi à faire éteindre une gigantesque passoire centrale dans l'infra d'une distribution "majeure", ce que toutes les compétences réunies des admins de ladite distrib ainsi que les avertissements d'EOL des mainteneurs de ladite distrib également n'ont pas réussi en cinq ans.

                      Deux intellectuels assis iront moins loin qu'un con qui marche.

                      • [^] # Re: Et ils continuent de nier le problème ...

                        Posté par . Évalué à -3.

                        ah bon? c'est lui qui a fait la recherche, trouvé le probleme, et rapporté sur la ML?
                        Non, en bonne tanche qu'il est, il se contente de répéter ce qu'un ami lui a dit, et ensuite insulter tout ce qui bouge.

                        Comme dit misc, si c'est lui qu'on applaudit quand il se comporte come un odieux connard en public, faut pas s'étonner si les mecs de mageia finissent en burn out et laissent des machines trainer pendant des années sans mise a jour.

                        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                        • [^] # Re: Et ils continuent de nier le problème ...

                          Posté par (page perso) . Évalué à -2. Dernière modification le 07/04/17 à 02:01.

                          Visiblement tu n'as lu ni le journal ni les commentaires, ou alors t'es bouché à l'émeri.

                          Je t'invite à me citer le moindre mot insultant dans le texte du journal, ou à fermer ton claque-merde.

                          Une fois le problème rendu public, alors qu'il était balayé sous le tapis depuis tellement longtemps que Jardiland a fait la moitié de son CA décennal grâce à ça, il s'est pris une tonne de merde sur la tête de la part des adminsys dilettantes de Mageia et des fanboys obnubilés "il attaque un fleuron (haha) du libre du XXème siècle, quel salopard" ici-même et a certes perdu un peu son sang-froid (qui ne l'aurait pas perdu après s'être fait chier dessus par une horde de débiles pas content de se faire mettre le nez dans leur caca ?).

                        • [^] # Re: Et ils continuent de nier le problème ...

                          Posté par (page perso) . Évalué à 3. Dernière modification le 07/04/17 à 08:02.

                          et rapporté sur la ML?

                          T'es-tu renseigné avant de dire ça? visiblement non.
                          Le post de blog dit clairement que c'est à cause de la visibilité, et non pas du post sur la ML qui n'aurait rien changé (ils connaissaient le faille, ils considéraient comme non urgent jusqu'à… Ce soit visible sur des sites tiers, ce n'est pas moi qui le dit mais eux).

                          Donc la personne que tu conspues est la personne qui a fait la seule chose (je met volontairement de côté la partie "faire l'upgrade" car c'est limité à quelques personnes et prend du temps ce qui n'est pas le sujet là, le sujet étant de retirer une faille de sécurité et non pas "tu as qu'à contribuer") qui a permit à ce que le faille soit colmatée, les faits sont la que ça te plaise ou pas.

                          Comme dit misc, si c'est lui qu'on applaudit quand il se comporte come un odieux connard en public

                          Si on en est toujours à ne pas reconnaitre que c'est la seule chose qui a fait bouger les choses et remercier la personne qui a fait bouger les choses, il y a un problème quelque part.

                          faut pas s'étonner si les mecs de mageia finissent en burn out et laissent des machines trainer pendant des années sans mise a jour.

                          Rien à voir : personne ne les oblige à maintenir Mageia, c'est leur choix, et ils auraient pu éteindre le projet il y a longtemps. la, tu accuses une personne externe du choix fait par des gens, genre "je fais un burnout à faire le bien, c'est ta faute". Euh…


                          En tous cas, il est impressionnant de voir que la sécurité n'est pas un enjeu majeur même chez des gens "qui connaissent", pas étonnant qu'ensuite il y est autant de bots sur le net, ce n'est pas que du fait de gens qui ne connaissent pas.

                          Quel est le titre que tu as laissé du commentaire? "Et ils continuent de nier le problème …", "ils" se rapporte à pas mal de monde, pas que l'équipe Mageia donc.

      • [^] # Re: Et ils continuent de nier le problème ...

        Posté par (page perso) . Évalué à 5.

        surveillés d'assez près par les packageurs

        Ah oui, la fameuse relecture par la communauté, dont l'efficacité a permis d'éviter la trivialisation des clés SSH sur Debian, les double free dans OpenSSL…

        Et là on parlait de problèmes accidentels introduits par des gentils sans faire exprès.

  • # En même temps...

    Posté par . Évalué à 4.

    La sécurité est quelque chose de bien trop sérieux pour être confiée à des sysadmins.

  • # Du temps et de son utilisation...

    Posté par (page perso) . Évalué à 2.

    Dommage que le temps que certains utilisent ici pour se chamailler ne soit pas utiliser plus efficacement.

    • [^] # Re: Du temps et de son utilisation...

      Posté par . Évalué à -2.

      Ce qui est dommage c'est qu'il soit nécessaire de passer tant de temps pour faire admettre aux admins de cette distro que non il n'est pas acceptable d'avoir un serveur troué comme pièce principale de l'infra qui gère les updates de la distro.

      Quand à la façon dont j'utilise mon temps et les projets auxquels je contribue "tu ne sais pas" (et ca n'est pas le sujet).

      • [^] # Re: Du temps et de son utilisation...

        Posté par . Évalué à 6.

        Bon ca y est… je crois qu'ils ont compris.
        Donc maintenant on attend plus que toi pour le coup de main.
        Je pense qu'il y a un moment où il faut savoir s'arrêter et passer à des choses positives.

        Pour ma part, comme je ne suis ni développeur, ni informaticien, je fais d'ici ce week end un don à mageia.

        • [^] # Re: Du temps et de son utilisation...

          Posté par . Évalué à -2.

          Je fais déjà des dons à Debian et une flopée d'autres projets, en plus de contributions techniques à d'autres. Pourquoi j'irai en faire un à Mageia, un projet qui vient de démontrer qu'ils n'en ont rien à foutre de la sécurité de ses utilisateurs ? Si y a un moment pour me convaincre de donner c'est pas maintenant. Surtout que ça semble pas être un problème d'argent.

          Vu comment vous insistez pour qu'on vous file des thunes on dirait un vrai projet commercial qui a mal tourné. Ca et la communication en mode "on fait tout pour cacher la vérité aux utilisateurs pour qu'ils restent".

          Reste plus qu'à mettre en place une réponse auto sur le bugzilla "vous venez de rapporter un bug mais c'est votre faute s'il est la car vous n'avez pas contribué, vous pourriez au moins faire un don !".

          • [^] # Re: Du temps et de son utilisation...

            Posté par . Évalué à 1.

            On se calme. Un utilisateur indique qu'il a envie de faire un don, personne de Mageia n'a indiqué un problème d'argent ou demandé des dons. Les problèmes d'infra sont strictement humains, on a assez de sous pour améliorer le hardware (ce qu'on a fait récemment avec la machine sucuk, qui tourne sous Mageia et sur laquelle nous migrons les services web).

            • [^] # Re: Du temps et de son utilisation...

              Posté par . Évalué à 0.

              Un utilisateur indique qu'il a envie de faire un don

              En essayant surtout de me culpabiliser avec son "donc maintenant on attend plus que toi pour le coup de main". C'est aussi en gros le contenu de son précédent message "A ceux qui critiquent….".

              • [^] # Re: Du temps et de son utilisation...

                Posté par (page perso) . Évalué à 1.

                "C'est vraiment trop inzuste!"

              • [^] # Re: Du temps et de son utilisation...

                Posté par . Évalué à 0.

                Je ne suis qu'un utilisateur de Mageia lambda. Je ne suis ni packager, ni développeur ni au board de mageia, ni rien du tout, si ce n'est qu'au fil du temps, comme dans toute communauté j'ai fini par connaitre du monde.

                Vous avez raison de dire que ca a merdé. Je crois que désormais tout le monde est d'accord là dessus. Mais maintenant on fait quoi ?

                Fondamentalement et au delà de tout ce que vous avez pu expliquer avec plein d'arguments de bon sens, quel est votre objectif ?

                Que mageia ferme ?

                Je m'y refuse. Un point c'est tout. Et en dépit de tout ce que vous pourrez à nouveau dire et expliquer: je continue, même si mageia n'est pas parfaite, et même si au delà de l'infra il y a certainement des tas de choses encore à améliorer, de faire confiance à mageia. De la même manière que je vous fait désormais entièrement confiance sur le fait que vous allez désormais donner un coup de main à cette distribution.

                Bref, il y a un moment où il faut savoir signer la Paix.

                • [^] # Re: Du temps et de son utilisation...

                  Posté par . Évalué à 1.

                  Bref, il y a un moment où il faut savoir signer la Paix.

                  Faut arrête le délire mec, on est pas en guerre. Je me suis contenté de mettre un peu plus en lumière un problème que vous vouliez faire passer sous le tapis, c'est tout. Je suis en guerre contre personne.

                  Est ce qu'on demande de signer la Paix à un chercheur en sécurité quand il signale un problème ? Non, c'est son rôle.

                  Pareil quand on critique votre projet, c'est pas une guerre. Pas la peine non plus d'appeler à contribuer et faire des dons à chaque instant, on discute c'est tout. C'est un genre d'attaque ad hominem, quand quelqu'un critique votre projet plutôt que lui répondre avec des arguments on lui rabâche à la gueule que c'est un naze par ce qu'il contribue pas.

                  • [^] # Re: Du temps et de son utilisation...

                    Posté par . Évalué à 6.

                    Et la on va encore me répondre qu'on m'attend pour contribuer. Mais putain j'aurais pu prendre le contrôle de votre serveur de build, pousser discretos une mise à jour pour me faire un botnet avec les utilisateurs de mageia et revendre ça à un bon prix. Au lieu de ça j'essaie d'avertir les utilisateurs pour qu'ils fassent pression pour que ça soit corrigé rapidement, sachant que c'est un truc qui est remis sous le tapis depuis 5 ans. Je crois avoir fait ma contribution sachant que c'est une distribution que j'utilise pas personnellement et ça me ferait juste chier de voir la machine des gens qui l'utilisent se transformer en botnet (ou qu'ils se fassent voler leurs documents style ransomware).

                  • [^] # Re: Du temps et de son utilisation...

                    Posté par . Évalué à -9. Dernière modification le 06/04/17 à 13:30.

                    Snifff sniffff sniffff !!! Hummm !!! ça smell bon le Fanboy de Frédéric Bézies ça !!!!

                    Ptit coup de bourre contre Mageia (Le problème est bien réel hein !! On est d'accord!!).

                    Répétition de :"d'attaque ad hominem" à L'instar de F.Bézies…. On voit tout de suite l'intérêt de la chose….. Et la totale autonomie de réflexion.

                    Faut savoir brûler ces idoles !!

                    Le Staff de Mageia à pris en compte tous cela…On va pas passer la semaine la dessus.

                    Nexxtttt

                    • [^] # Re: Du temps et de son utilisation...

                      Posté par (page perso) . Évalué à 3.

                      ça serait fbezies lui-même avec un autre pseudo que ça ne changerait pas le soucis de sécurité.

                      quand fbezies s'est énervé contre Mageia, ça m'a semblé un peu trop mais comme je ne connaissais pas, dans la foulée, j'ai installé une Mageia et je suis allé sur leur forum pour proposer Mageia comme alternative à Debian dans les cahiers du débutant…

                      et puis je suis tombé sur ce fil de discussion et là, bah merci oui MERCI coquelicot.

                      je dis merci car c'est ce que j'avais dit à Cep le jour où il m'a explosé la tronche en public à cause de mes dépôts Debian pas propres.
                      je lui avais reproché d'avoir balancé en public … il m'avait répondu que ça m'avait pas gêné, moi, de balancer des dépôts pas propres au public … alors pourquoi il se serait privé !!?? logique non ? :P
                      ah … et je ne lui ai pas demandé de faire le taf à ma place… j'ai réparé tout seul, bénévolement et sans un rond car oui, quand on s'implique dans un projet bah on fait les choses bien ou pas… qu'il y ait du fric en jeu ou pas. c'est une honnêteté personnelle. et quand on ne peut plus, bah on le dit tout simplement, au risque de tout stopper ?? bah oui. si c'est pas viable, faut stopper.

                      je dis merci car la découverte de faille suivie d'une mise à jour est ce qui fait la force du logiciel libre.
                      je dis merci car cet épisode me permet de forger mon idée en dehors de toute considération subjective.
                      les faits sont là, très clairs. le reste autour (le ton, les réactions, les trolls et autres leçons de morale ou de professionnalisme), c'est du vent et de l'égo.

                      quand on se fait prendre la main dans le sac, on dit pardon, on répare et surtout… on vient pas faire la leçon sinon effectivement, ça pète la confiance.

                      apprendre encore, comprendre mieux, partager plus ...

                      • [^] # Re: Du temps et de son utilisation...

                        Posté par . Évalué à -2. Dernière modification le 06/04/17 à 14:19.

                        "ça serait fbezies lui-même avec un autre pseudo que ça ne changerait pas le soucis de sécurité"

                        J'ai écris que le problème n'existait pas?? C'est ça?? Non mais, c'est histoire d'être sur….

                      • [^] # Re: Du temps et de son utilisation...

                        Posté par . Évalué à -2.

                        Et apprendre à pardonner ?

                        • [^] # Re: Du temps et de son utilisation...

                          Posté par (page perso) . Évalué à 1.

                          je vois pas le rapport avec le pardon. et me sortir cet argument … trop fort … celles et ceux qui me connaissent doivent juste être pliés là !! merci pour la franche rigolade ! :D

                          apprendre encore, comprendre mieux, partager plus ...

                          • [^] # Re: Du temps et de son utilisation...

                            Posté par . Évalué à -5.

                            Ton point de vue est triste et si il y a un rapport.

                            apprendre encore, comprendre mieux, partager plus …

                            Mageia a merdé. OK, tout le monde a compris. Même chez Mageia qui certainement encore a apprendre et à comprendre. Mais toi, tu dois "partager plus".

                            Donc question : que compte tu partager pour que le problème soit corrigé, bien corrigé, et plus vite ? Un peu de temps ? Un peu d'argent ?

                            Bien entendu, je suppose que la sécurité d'une distribution ne s'arrête pas non plus qu'à l'infra.

                            Donc là aussi question : que comptes tu faire pour partager plus ?

                            • [^] # Re: Du temps et de son utilisation...

                              Posté par . Évalué à 2.

                              Mais toi, tu dois "partager plus".

                              Et toi tu devrais arrêter de harceler les gens pour leur demander de filer de la thune ou du temps.

                              Sérieusement t'es en train d'expliquer à quelqu'un qui semble déjà passer pas mal de temps à rédiger des "cahiers du débutant" qu'il faudrait qu'il partage plus…

                            • [^] # Re: Du temps et de son utilisation...

                              Posté par (page perso) . Évalué à 0. Dernière modification le 06/04/17 à 16:54.

                              Mageia a merdé. OK, tout le monde a compris.

                              Ca reste encore à prouver, pour le moment je n'ai pas vu de message "OK, on a merdé", mais plutôt une accusation des "méchants qui ont divulgué un problème". Lien vers message officiel "OK, on a merdé"?

                              Donc question : que compte tu partager pour que le problème soit corrigé

                              Ce que tu ne comprends pas est que la correction est à votre (utilisateurs) charge.
                              Le but du disclose est d'éviter que toi utilisateur te fasse piquer tes données (on est sympa avec ta vie privée, même si tu nous agresses pour avoir osé te protéger) et que ton ordi ne devienne pas bot (ça c'est pour nous, pas qu'on sache pas se protéger, mais à un moment les DDOS font mal car font plus fort que notre connexion).
                              C'est fait (machines retirées du réseau), tout le monde est protégé, mission accomplie, il n'y plus rien à faire pour les non utilisateurs.
                              Maintenant, à votre communauté de discuter sur la suite.

                              que comptes tu faire pour partager plus ?

                              Rien, vu qu'on ne doit rien à Mageia (comme Mageea ne nous doit rien).
                              En quoi on devrait partager plus? Tu ne le dis bizarrement pas.

                              Bref, tu n'as rien compris au problème, tu devrais prendre un peu de recul et te renseigner, relire calmement, parce que tu as beaucoup à apprendre sur qui est responsable de quoi, et arrêter d'accuser les autres de tes problèmes.
                              En attendant, tu empires les choses, en braquant des gens qui sont venu dire "attention", ça n'aide pas à la réputation de l'ensemble.

                              • [^] # Re: Du temps et de son utilisation...

                                Posté par . Évalué à -4.

                                Lien vers message officiel "OK, on a merdé"?

                                http://blog.mageia.org/en/2017/04/05/web-services-shut-down-preventively/

                                Si ça te suffit pas je vois pas ce qu'il te faut.

                                • [^] # Re: Du temps et de son utilisation...

                                  Posté par (page perso) . Évalué à 2. Dernière modification le 06/04/17 à 17:37.

                                  Que "was publicised in third party communities" et "The unexpected publicity that it received obviously made this topic a high priority one, our infrastructure being exposed as an easy target" négatif soit remplacés: ce n'est pas devenu hautement prioritaire du fait de la "pub", mais parce que ça craignait, et donc il faut le marquer comme tel.
                                  Dans votre message, vous attaquez le messager (vous le voyez en négatif) plutôt que de le remercier (le voir en positif, ou au minimum neutre), c'est bien le soucis.

                                  Après, vous faites comme vous voulez, mais désolé de traduire votre message comme "ils n'ont toujours pas compris qu'ils ont merdé grave" et de le dire à ceux qui me demanderont mon avis, en leur pointant le lien que tu donnes et en leur expliquant que c'est parce que en fait ça fait 4+ ans que vous avez une machine sans personne qui gère la sécurité dessus (EOL) et que ça n'a donc rien à voir avec la "pub non prévue", la personne se fera alors son avis entre les deux infos.

                                  Vous pensez sérieusement que le message que vous avez écrit est un "OK, on a merdé"? Vous hurlez au trolls, mais bon vous savez quand même bien troller.
                                  En tous cas, merci de me confirmer explicitement que ça n'a toujours pas été compris et qu'il n'y a pas de "OK, on a merdé" (au contraire).

                                  Note : il y a des images non HTTPS sur cette page en lien, ça met une alarme "attention" sur Firefox.

                            • [^] # Re: Du temps et de son utilisation...

                              Posté par (page perso) . Évalué à 3.

                              @TuxMips : faire une liste de ce que je partage sur GNU/Linux serait malvenu… enfin, ça jetterait un froid. si tu as le temps, tu peux chercher un peu par toi-même et tu t'apercevras que je partage déjà plus que de raison au sein de nombreux projets.
                              mais on va pas faire un concours de participation et de contribution au libre … je ne fais pas ça pour ça.
                              saches qu'à la base, je sais construire une distribution, la maintenir, packager et maintenir un dépôt. dans une plus petite mesure, je sais aussi administrer un serveur, mais pas en professionnel.

                              pour mon 'partage' envers Mageia, et bien que dire : malgré le buzz négatif sur cette distribution, malgré le fait que je sois debianiste au quotidien et que je n'ai nullement besoin d'un autre système, je suis allé m'inscrire sur le forum et j'ai installé Mageia5 pour tester et découvrir le travail effectué.

                              j'ai fait part de mes retours positifs sur le forum, et devant la qualité de l'environnement au premier test, j'ai décidé de lister Mageia dans le très petit nombre de distributions présentes dans les cahiers du débutant, comme alternative indépendante à Debian.

                              ce que je voulais partager, c'est une distribution pour les débutants, pour aider es nouveaux venus sur GNU/Linux, comme je fais depuis quelques années déjà… tu l'aurais su si tu avais cherché un peu avant de m'interpeller.

                              alors pour ce qui est de ce que je vais faire pour Mageia maintenant, bah rien, car les sysadmins ont pris le relais pour migrer les serveurs et restaurer la confiance. je n'ai pas les compétences nécessaires pour gérer leur type d'infra car je n'ai jamais touché.

                              je ne suis pas un pseudo inscrit pour venir troller ici. je suis simplement exaspérer par celles et ceux qui ne savent que tirer sur les messagers sans tenir compte des informations délivrées.

                              les informations étaient claires, la réponse aurait du l'être tout autant, et sans tergiverser ni accuser. ça n'a pas été fait, donc oui, ça a merdé et dans le technique, et dans la com.

                              et non, il n'y a pas besoin d'être des dizaines pour communiquer. je maintiens des projets seuls depuis longtemps sans avoir besoin d'une équipe de com' derrière moi.

                              apprendre encore, comprendre mieux, partager plus ...

                      • [^] # Commentaire supprimé

                        Posté par . Évalué à -2.

                        Ce commentaire a été supprimé par l'équipe de modération.

                        • [^] # Re: Du temps et de son utilisation...

                          Posté par (page perso) . Évalué à 6.

                          c'est extraordinaire la façon dont vous oubliez sans soucis les serveurs troués, mais vous sautez sur le premier petit mot/expression qui vous permet de tacler le messager. quitte à attaquer fbezies et le messager pour cause d'un hypothétique double-compte dont JE n'ai parlé que pour montrer l'incohérence et la pauvreté de vos arguments… ce qui est chose faite :D merci

                          et pour ce qui est de l'argument "loi/règles" … balancer ça à un anarchiste … tu imagines bien ce que j'en pense :D

                          apprendre encore, comprendre mieux, partager plus ...

                          • [^] # Re: Du temps et de son utilisation...

                            Posté par . Évalué à -8. Dernière modification le 07/04/17 à 11:25.

                            C'est extraordinaire aussi, comment certains nous font partager leurs vie (oui j'ai eu aussi des dépots problématiques) bla bla bla, avec à la fin "on vient pas faire la leçon sinon effectivement, ça pète la confiance." Ah ouais !! Et bien qu'as tu fais avec ta tranche de vie trépidante en amont si ce n'est faire la leçon ?

                            Quand au côté Anar, laisse moi doucement rire…Tu as pas du en croiser beaucoup, ou des Anarchistes de salon. Donc en gros tu refuses de payer tes impots et taxes? Tu refuses d'éventuelles aide et tous cela, non? Enfin tu es un Anar qui paie sa facture de fournisseur d'accès en tous cas…

                            Tacler le "messager"..Carrément, et pourquoi pas un messie pendant qu'on y'est ?

                            "pour montrer l'incohérence et la pauvreté de vos arguments"

                            Oh oui, éclaire nous de ta lumière oh grand Arpinux !!! Y'en as qui ont de ces melons, le passage de porte doit être difficile….

                            Tu fais un très bon travail avec les cahiers du débutant, c'est indéniable, et beaucoup te remercierons à juste titre, mais le coté donneurs de leçon…ça va bien 5 minutes.

                            Bonne journée et bonne continuation.

                            • [^] # Re: Du temps et de son utilisation...

                              Posté par (page perso) . Évalué à 2.

                              tu as tout a fait raison, ce problème ne me concerne pas à la base et je n'aurais peut-être pas du intervenir. je vais donc adopter le comportement le plus simple : ne plus jamais parler de Mageia ou de cette histoire. ça fera un chapitre et des commentaires inutiles en moins, très bien.

                              et comme j'ai autre chose à faire que de répondre à des attaques personnelles ou justifier ou légitimer mon anrchisme et la façon dont je le vis ici, je vais vous laisser entre gens de bonne compagnie et vais retourner à mes occupations (f)utiles.

                              apprendre encore, comprendre mieux, partager plus ...

                              • [^] # Re: Du temps et de son utilisation...

                                Posté par . Évalué à 0.

                                Au contraire, tu as bien fait d'intervenir : comme d'autres qui t'ont "pertinenté" tu as représenté ma voix.

                                C'est sûr que d'avoir à faire en face à des gens qui par manque d'arguments finissent par attaquer la personne est démotivant. "tu raccroches ? je m'accroche !" "Nous sommes tous différents… c'est notre point commun."

                                • [^] # Re: Du temps et de son utilisation...

                                  Posté par . Évalué à -8.

                                  Bonjour,

                                  Si cela est pour moi :

                                  " C'est sûr que d'avoir à faire en face à des gens qui par manque d'arguments finissent par attaquer la personne est démotivant "

                                  Merci de prendre le temps de relire. Cela éviteras ce lieu commun de la compassion. Je n'attaque pas la personne, je la met devant ces contradictions, qu'il à écrit comme un grand….Ne pas faire la leçon, alors que le pavé du dessus, en est une etc etc..Merci aussi de lire, quand je constate l'utilité manifeste des cahiers du débutant.

                                  Merci aussi de lire, que je ne remet pas en question ce fait de sécurité..

                                  Je sais que c'est une mode sur le Woueb de s'épancher de soutien au moindre soubresaut, mais Arpinux est un grand garçon sachant se défendre.

                                  Avis strictement personnel, il est bien dommage de faire représenter sa voix, au lieu de s'exprimer sans intermédiaire.

                                  "Nous sommes tous différents… c'est notre point commun." ça dois marcher du tonnerre avec les 1ere année de fac, mais ici la moyenne d'age est un peu plus élevée…

                                  Alors, si il faut rester dans les citations, pour réagir au problème premier de ce journal:

                                  "Il n'existe pas de forteresse imprenable. Il n'y a que des attaques mal menées"

                                  Pour ceux se croyant à l'abri sur leurs distribution… Même si elle ne fut pas dite pour des attaques informatique, je la trouve encore très au gout du jour.

                                  Bonne continuation.

                                  • [^] # Re: Du temps et de son utilisation...

                                    Posté par (page perso) . Évalué à 2.

                                    ah .. il faut que j'explique @Bobby alors.

                                    j'ai dit :"quand on se fait prendre la main dans le sac (…) on ne vient pas faire la leçon."
                                    merci de lire.

                                    donc je répète : quand je me suis fait prendre "la main dans le sac", je ne suis pas allé faire la leçon au messager, je l'ai remercié.

                                    ici, je me permet d'exprimer mon avis sur la question car je voulais faire partager l'expérience Mageia. c'est déçu par la réaction minimisante de l'équipe et les attaques sur coquelicot que je suis venu intervenir pour rappeler qu'effectivement, personne n'est parfait, on peut tous se planter ou oublier un truc, mais quand on se fait choper, bah on répare et on s'écrase… on vient pas essayer de justifier le truc d'une façon ou d'un autre.

                                    je ne fais pas 'représenter ma voix'. il peut arriver que d'autres personnes soient en accord avec ce que je dis, ce qui n'implique pas qu'elles soient envoyées par moi ou qu'elles me représentent.

                                    "nous sommes tous différents … c'est notre point commun". oui. j'aime beaucoup cette formule et il n'est nul besoin de venir m'attaquer sur mon niveau d'écriture ou mon style pour argumenter sur le sujet qui nous occupe ici.

                                    apprendre encore, comprendre mieux, partager plus ...

                                  • [^] # Re: Du temps et de son utilisation...

                                    Posté par . Évalué à 3.

                                    Nous avons le droit de ne pas être en accord. Je vous ai lu, relu, et je maintiens que vous attaquez la personne : au lieu de vous pencher sur le fond, vous vous accrochez à la forme, l'aggressivité en plus (je vous encourage à mon tour à relire vos commentaires).

                                    Par ailleurs, concernant votre critique de ne pas apporter ma vision au sujet : ma voix étant déjà représentée dans les différents commentaires, pas seulement celui-ci, j'ai préféré ne pas ajouter du bruit inutilement. Bruit que j'ai par ailleurs l'impression d'alimenter pour vous répondre.

                                    Enfin, les citations étaient un clin d'oeil et me semblaient adaptées au message que je souhaitais faire passer. Navré qu'elles vous aient donné l'impression d'avoir abaissé cet intéressant débat au niveau des étudiants en 1ère année de fac. J'espère que vous saurez passer au delà de ma maladresse pour vous concentrer sur le fond ?

                                    Sur ce, comme je ne compte plus reprendre mon clavier pour ces futilités, je vous souhaite également bonne continuation, et bon troll.

                                    • [^] # Re: Du temps et de son utilisation...

                                      Posté par . Évalué à -10. Dernière modification le 08/04/17 à 22:10.

                                      Bon, je sens que cela va être vite stérile…

                                      Vous voulez avoir le dernier ? je vous l'offre…

                                      Concernant le "fond", je crois que ma citation résume parfaitement, devons nous passer au dessin?

                                      De l'agressivité, je penche plus pour de l'ironie… Quand au Troll, je ne vous permet pas de m'assimiler à cela.

                          • [^] # Re: Du temps et de son utilisation...

                            Posté par (page perso) . Évalué à -1.

                            Je suis devenu donc un bouc émissaire pour le moindre gaz intestinal de travers, maintenant ? Ça en dit long sur l'ambiance qui se dégage du projet :(

                            Un libriste qui en a sa claque des puristes.

                    • [^] # Re: Du temps et de son utilisation...

                      Posté par (page perso) . Évalué à -1.

                      J'ai décidé de ne plus jamais parler des soeurs ennemies descendantes de la distribution au nom de magicien né en 1998. Bien m'en a pris apparemment !

                      Un libriste qui en a sa claque des puristes.

                  • [^] # Re: Du temps et de son utilisation...

                    Posté par . Évalué à -4.

                    Ce n'est pas mon projet…

                    …mais oui c'est celui que j'utilise. C'est tout.

                    Et oui… je trouve cela vraiment complètement "naze" que ta contribution se limite juste à signaler le danger, même si en tant qu'utilisateur, je te remercie pour l'alerte. Mais cette contribution n'est pas suffisante.

                    Si je vais faire un don c'est parce que je ne peux pas faire autre chose. Toi tu peux aller au delà. Sonner l'alerte c'est la partie la plus facile et aisée.

                    Aller au delà ce serait tellement mieux, et si de surcroit tu arrivais à surmonter tes ressentiments, je pense que ce serait une vraie victoire pour tout le monde. Pour toi même, pour mageia, et pour tous les utilisateurs qui ne pourront alors que te remercier.

                    Ce n'est pas facile, j'en conviens, mais je sais que tu peux le faire parce que c'est le seul vrai et juste geste à faire. Ici on n'est pas dans le business où l'objectif est de flinguer son voisin.

                    • [^] # Re: Du temps et de son utilisation...

                      Posté par (page perso) . Évalué à 1.

                      Mais cette contribution n'est pas suffisante.

                      Je crois que c'est la première fois que je lis qu'on dit à une personne pointant une faille de sécurité que sa contribution n'est pas suffisante.

                      C'est du foutage de gueule, qui ne va pas améliorer la réputation de Mageia : on a déjà l'équipe d'admin et le conseil qui ont un problème avec la sécurité, mais en plus un utilisateur attaque celui qui l'informe du danger.

                      Wow, on est en train de faire toutes les bêtises imaginables et non imaginables.

                      et pour tous les utilisateurs qui ne pourront alors que te remercier.

                      Euh, la, tu pourrais déjà l'en remercier et éviter de l'attaquer.
                      On dirait un fan de Fillon ou de Le Pen, pour prendre l'actualité française.

                      Toi tu peux aller au delà. Sonner l'alerte c'est la partie la plus facile et aisée.

                      C'était surtout la seule chose qu'il pouvait faire, il n'a aucunement les droits pour retirer la machine du réseau (la seule chose qui fallait faire en urgence, pour le reste c'est à Mageia de décider si ils veulent continuer l'aventure, on n'est plus dans l'urgence et seul les contributeurs Mageia ont une responsabilité).


                      Bref, on a la totale de la communication foireuse de chez foireuse, bravo!

                      • [^] # Re: Du temps et de son utilisation...

                        Posté par . Évalué à 6.

                        C'est du foutage de gueule, qui ne va pas améliorer la réputation de Mageia : on a déjà l'équipe d'admin et le conseil qui ont un problème avec la sécurité, mais en plus un utilisateur attaque celui qui l'informe du danger.

                        En quoi l'attitude d'un utilisateur devrait-êlle influencer la réputation de Mageïa ?

                    • [^] # Re: Du temps et de son utilisation...

                      Posté par . Évalué à 1.

                      Ce langage marketing a 2 balles pour tenter de me pousser à contribuer à votre projet a plutôt tendance à me faire fuir qu'autre chose.

                      Si j'ai déjà trop peu de temps à contribuer à mon gout sur d'autres projets (auxquels je contribue sans qu'on m'y ait poussé lourdement à le faire comme ici, non juste par ce que ça m'intéresse), c'est pas pour le faire pour un projet qui ne m'intéresse pas particulièrement, et c'est pas ton insistance ou tes tentatives ridicules pour me faire culpabiliser qui vont y changer quelque-chose, bien au contraire.

                      Ca m'étonne pas que vous manquiez de contributeurs si c'est comme ça que vous les traitez, plus je discute avec vous plus j'ai envie de fuir.

                      En parlant de ça j'ai du boulot et je crois qu'on commence à tourner en rond, je vous laisse …

                      • [^] # Re: Du temps et de son utilisation...

                        Posté par . Évalué à -2.

                        Mais dans quel monde vit on ?

                        Et je répète une nouvelle fois pour ceux qui ont les yeux bouchés : CE N'EST PAS MON PROJET.

                        Je ne suis qu'un utilisateur de Mageia, je ne suis pas au board de mageia.org, je ne fait qu'utiliser Mageia. Mageia ne m'a rien demandé de faire ou d'écrire. Rien - nada !

                        Que me reste t'il à faire face à vos comportements ? Déposer un deux cierges et prier Sainte Rita pour vous !!!

                        Je vous remercie beaucoup pour ce que vous avez fait. Mais je maintiens ce que je dis : ce n'est pas suffisant.

                        • [^] # Re: Du temps et de son utilisation...

                          Posté par . Évalué à 4.

                          Que me reste t'il à faire face à vos comportements ? Déposer un deux cierges et prier Sainte Rita pour vous !!!

                          Attend, Mageia utilise des serveurs troués comme pièce principale de son infra et le problème c'est mon comportement ?

                          Je vous remercie beaucoup pour ce que vous avez fait. Mais je maintiens ce que je dis : ce n'est pas suffisant.

                          Pas suffisant pour quoi ? Ca a semble il été suffisant pour qu'ils commencent à prendre le problème au sérieux. Pour la suite c'est à eux de décider, je connais pas leur équipe et je compte pas prendre en charge la gestion de leur infra.

                          • [^] # Re: Du temps et de son utilisation...

                            Posté par . Évalué à -7.

                            Attend, Mageia utilise des serveurs troués comme pièce principale de son infra et le problème c'est mon comportement ?

                            Fondamentalement : oui ! Ton comportement est un problème. Pourquoi ? Parce que tu aurais pu agir autrement. Et ce n'est certainement pas moi qui vais te dire comment. Tu le sais parfaitement au fond de toi même.

                            Pas suffisant pour quoi ?

                            Parce que j'attends plus de toi que la simple publication du problème. Moi de mon coté, même si je ne suis vraiment pas heureux de ce qui c'est passé coté Mageia, il n'empêche que je vais quand même faire un don.

                            • [^] # Re: Du temps et de son utilisation...

                              Posté par . Évalué à 2.

                              Fondamentalement : oui ! Ton comportement est un problème. Pourquoi ? Parce que tu aurais pu agir autrement. Et ce n'est certainement pas moi qui vais te dire comment. Tu le sais parfaitement au fond de toi même.

                              Ahah, mon comportement serait donc le problème, mais tu ne vas pas dire pourquoi … Ou peut-être que tu ne peux pas dire pourquoi par ce que ça n'est pas mon comportement le problème ici mais celui de Mageia ?

                              Parce que j'attends plus de toi que la simple publication du problème.

                              Pourquoi attendre quelque-chose de moi plus que de n'importe qui d'autre ici ? Et tu ne précise toujours pas ce que tu attends.

                              Moi de mon coté, même si je ne suis vraiment pas heureux de ce qui c'est passé coté Mageia, il n'empêche que je vais quand même faire un don.

                              Ca je crois qu'on commence à l'avoir compris, et je dois t'avouer que j'en ai toujours autant rien à faire que lors de tes précédents messages, tu donnes de l'argent à qui tu veux.

                            • [^] # Re: Du temps et de son utilisation...

                              Posté par . Évalué à 10.

                              "Bonjour Monsieur! Faites attention, je pense que l'antivol de votre vélo est cassé: il ne me semble pas bien fermé.
                              -T'es obligé de le dire à voix haute devant tout le monde? Tu te rends compte que tu me mets dans la merde, là?!
                              -Non, je pense que je vous ai juste prévenu que votre antivol est cassé, ce que tout le monde peut voir.
                              -Et tu crois que tu me rends service? C'est un tout petit service: paie-moi mon nouvel antivol. Ça ce sera un vrai service à me rendre!!"

                              • [^] # Re: Du temps et de son utilisation...

                                Posté par . Évalué à -5.

                                Ça au niveau argument fallacieux c'est quand même du même niveau que l'Hadopi qui dit que quand on copie de la musique c'est comme si on volait du pain dans une boulangerie.

                                Le vélo Mageia c'est tout le monde qui peut l'utiliser. Si vous voulez le rendre plus sécurisé, l'améliorer, vous pouvez contribuer. Vous pouvez aussi dire que c'est de la merde et que les développeurs sont des crétins parce qu'ils en ont marre de vous entendre chouiner à quel point c'est nul que cette faille ne soit pas corrigée dans l'heure, mais dans ce cas c'est vous qui passez pour des casses couilles.

                                • [^] # Re: Du temps et de son utilisation...

                                  Posté par (page perso) . Évalué à 1. Dernière modification le 07/04/17 à 11:24.

                                  Le vélo Mageia c'est tout le monde qui peut l'utiliser.

                                  Chiche, j'ai donc le droit d'utiliser les serveurs Mageia pour mettre mon bot chez tous les utilisateurs? YOUPI!
                                  Ou alors c'est des conneries, on ne peut pas (Mageia est libre, mais pas son infrastructure, et ici on parle de son infrastructure qui avait des failles).

                                  Le côté fallacieux, c'est de refuser de comprendre le problème.

                                  Si vous voulez le rendre plus sécurisé, l'améliorer, vous pouvez contribuer.

                                  Le message auquel tu réponds a déjà démonté cet argument fallacieux.
                                  Impressionnant d'en arriver à une telle mauvaise foi pour se cacher les problèmes… Troll : Fonce chez Fillon, ils ont besoin de talents comme ça ;-).

                                • [^] # Re: Du temps et de son utilisation...

                                  Posté par . Évalué à 9.

                                  Je n'aurai jamais vu autant de linuxfrien transiger avec le concept de sécurité informatique.

                                  Tout d'un coup ce n'est plus vraiment élément central et ceux qui insistent deviennent des "casses couilles"… c'est n'importe quoi.
                                  On n'est pas en train de parler de demande de changement de fond d'écran par défaut de la distribution mais de gros soucis de sécurité qui peuvent impacter toute la distribution.

                                  Quand t'as une faille à distance qui permet d'obtenir un accès tu corriges dans l'heure ou tu restreins les accès. Tu ne laisse pas ouvert en espérant avoir de la chance (Murphy)

                                  Donc oui, avoir médiatisé l'affaire est une contribution en soi.

                                • [^] # Re: Du temps et de son utilisation...

                                  Posté par . Évalué à 5.

                                  Non je pense que je vais juste l'ignorer parce que comme pas mal de monde maintenant sur ce site, j'ai été convaincu que nombre d'éléments de l'équipe n'ont rien à carrer de la sécurité tant que le problème n'est pas étalé sur la place publique.

                                  Je pense aussi que si d'aventure je trouve une faille dans la distro ou l'infrastructure, je ne dirai ni ne ferai absolument rien vu le traitement accordé à ceux qui techniquement, vous aident!

                                  Mageia ne me doit rien, mais je ne dois rien non plus à Mageia, même si c'est c'est Libre, tout ça.

                                  En fait si: Mageia me doit de ne pas ternir la réputation de Linux en filant des distros compromises à tout bout de champ.

                                  Dire que je n'ai qu'à contribuer pour l'empêcher, c'est un argument digne de la Corée du Nord: "aidez-moi sinon je fais dans le nucléaire hors de contrôle!".

                  • [^] # Re: Du temps et de son utilisation...

                    Posté par (page perso) . Évalué à 1.

                    Le chercheur en sécurité il signe de son nom et ne passe pas 2 jours à trolley sous son article

                • [^] # Re: Du temps et de son utilisation...

                  Posté par . Évalué à -1.

                  Fondamentalement et au delà de tout ce que vous avez pu expliquer avec plein d'arguments de bon sens, quel est votre objectif ?

                  Moi je vois bien ça en vrac :

                  • mageia ferme
                  • les admins de Mageia sont attachés devant la tour eiffel et chaque passant peut prendre un fouet posé à côté et leur en coller un coup quand ils passent.
                  • Interdiction pour les admins de travailler dans l'informatique
                  • Interdiction pour les admins d'utiliser l'informatique
                  • Obligation pour les admins de se lever tous les jours à 3h30 du matin et de poster sur les réseaux sociaux le message "nous sommes des gros nazes de l'administration d'infrastructure et de la communication"
                  • obligation pour les admins de Mageia d'écouter Mireille Matthieu et Plastic Bertrand en boucle toute la journée et toute la nuit en 3 phase : une phase de MM, une phase de PB et une phase avec les deux en même temps
                  • obligation de regarder les Teletubbies pendant toute la journée
                  • Interdiction de Mageia
                  • Mettre en place une loi qui interdit les projets communautaires parce que le logiciel c'est pas un truc d'amateur mais un truc sérieux de pros.
                  • Mettre en place dans le hardware un bios qui interdit les installations d'OS non certifiés (Ah, ça existe déjà ?) Ben dans ce casz,confier les clés à Microsoft qui eux sont des professionnels réputés, et d'une honnêteté et partialité exemplaire (sinon ils ne seraient pas aussi puissants).

                  Vous voyez autre chose ?

  • # après le message

    Posté par . Évalué à 1.

    DLFP

    Pour ceux que cela intéresse: http://blog.mageia.org/en/2017/04/05/web-services-shut-down-preventively/

    Mageia nous tient au courant de l'état de la situation

    • [^] # Re: après le message

      Posté par (page perso) . Évalué à -4.

      Ou comment la grande muette est devenue la grande bavarde :D

      Un libriste qui en a sa claque des puristes.

      • [^] # Re: après le message

        Posté par . Évalué à 3.

        En fait, l'équipe derrière Mageia communique de façon hebdomadaire sur ses activités et évolutions depuis février (http://blog.mageia.org/fr/2017/02/24/chronique-hebdomadaire-semaine-82017/) ce qui est une bonne chose comparé aux années passées.
        Ils ont donc commencé à "causer" avant toute cette agitation.

        • [^] # Re: après le message

          Posté par (page perso) . Évalué à -2.

          Si on veut, si on veut. En tout cas, ça sent mauvais - sans être ni méchant, ni pessimiste - au niveau de la gestion en interne.

          Cela me fera couler une larme de voir disparaître la Mageia, aucune distribution n'étant éternelle.

          Mais sa disparition - quand elle arrivera - sera moins douloureuse que celle d'une Ubuntu ou d'une Debian…

          Un libriste qui en a sa claque des puristes.

    • [^] # Re: après le message

      Posté par . Évalué à 5.

      Our sysadmins decided to preventively shut down most of our web services which were still running on end-of-life Mageia versions, as their potential vulnerability to remote attacks was publicised in third party communities.

      "C'est la faute aux gens qui en parlent, on est obligé de couper."

      Bien joué.

      "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

      • [^] # Re: après le message

        Posté par (page perso) . Évalué à 0.

        Finement dit :D

        Un libriste qui en a sa claque des puristes.

      • [^] # Re: après le message

        Posté par . Évalué à -4.

        C'est ta traduction…C'est pas vraiment ce qui est écris.

        Le problème existé, c'est indéniable.

        Ce qui l'est aussi, c'est qu'il y' a une "manière de faire", ne vous en déplaise.

        Prenons l'exemple de Mint et de leurs iso "vérolés", ils l'ont su, ont corrigé, et communiqué dessus ensuite.

        La/les personnes ayant découvert le poteau rose, n'est pas venu le hurler sur le woueb.

        Que Mageia génére tant de réactions, est une bonne chose au finale, c'est qu'elle est plus appréciée que l'on ne le crois.

        J'espère que vous aurais la même sévérité avec d'autres distributions, quand a leurs tour, elles auront des failles connues, et irais, bien entendu, pointé le problème avant sa résolution.

        • [^] # Re: après le message

          Posté par . Évalué à 2.

          C'est ta traduction…C'est pas vraiment ce qui est écris.

          C'est ce qui est écrit, au final.

          J'espère que vous aurais la même sévérité avec d'autres distributions

          Déjà arrivé.

          Et la sévérité affichée est à la hauteur de la gravité de l'affaire.

          Perso, je me vois pas dire à quelqu'un qui serait victime de cette faille de tempérer sa sévérité si il pète un câble alors qu'on lui a dit que "Linux c'est secure !".

          Mais bon, chacun ses priorités.

          "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.