🚲 Tanguy Ortolo a écrit 12506 commentaires

Oui, la derniere version de NTP sous debian est a reconfigurer.

Pas forcément. La configuration par défaut sous Debian n'est pas vulnérable à cette attaque (ou plutôt, ne permet pas de servir de rebond pour cette attaque, comme vous l'aurez compris). En revanche, les configurations modifiées, où la restriction noquery a été enlevée, sont vulnérables.

Sauf qu'encore une fois, systemd et journald n'ont pas et n'ont jamais eu de vocation à l'universalité.

Surtout que, systemd n'a jamais eu de vocation à prendre en charge quoi que ce soit d'autre que Linux.

Donc on a :

• ASCII et UTF-8 : pris en charge partout ;
• format binaire de journald : pris en charge sur Linux, sans vocation à l'universalité.

Parce que la, la personne qui se plaint est la même qui dirait il y a 10 ans que le log est en UTF-8 (un nouveau format binaire) et que son logiciel dans son mode rescue ne lit que Latin-1 (un autre format binaire), et qu'on aurait dû rester en Latin-1 à cause de ça. Avec ce genre d'argument, on n'avance jamais. Bref, conneries.

Non, ça c'est des conneries. Les logs, c'est essentiellement de l'ASCII, les caractères hors de l'ASCII y sont largement minoritaire. Avec un logiciel qui interprète tout comme du latin-1, c'est à la rigueur moche, mais pas du tout inutilisable.

Pour combien de temps ? Je me méfie des promesses de Lennart Poettering, du genre « non non, ne vous inquiétez pas, udev est maintenu dans le dépôt de systemd mais il n'en dépendra jamais ».

Concernant les raisons, j'ai du mal à croire qu'une organisation "s'amuserait" à lancer du 500GBit/s juste comme ça, pour voir.

Ça tombe bien, personne ne fait ça. Il s'agit d'attaques par amplification, où l'attaquant envoie des paquets spécialement conçus à un débit relativement faible, et où le serveur utilisé comme rebond répond avec des paquets beaucoup plus gros et donc à un débit plus élevé en destination de la cible de l'attaque.

Et au sujet des sources de DDOS avec spoof, je suis curieux de savoir pourquoi les fabricants de routeurs/FW n'aggrègent pas les logs en big data pour retrouver ce genre d'infos. Une machine zombie dans son réseau qui va taper des NTP avec une @IP source différente de celle de son réseau d'origine ça devrait se tracker facilement.

Effectivement, le fournisseur d'accès de l'attaquant pourrait détecter son attaque, à supposer que ça l'intéresse et il ait le droit et la capacité de procéder à ce genre de vérification sur le trafic. Mais comme la cible de l'attaque n'a aucun moyen de savoir d'où provient l'attaque, elle ne pourra pas demander à ce FAI.

Je pense que l'argument était que le texte était un format standard, tout comme la compression gzip, tandis que le format de journald n'avait rien d'un standard.

How can I fix my server, router or other device? You should upgrade tp NTP-4.2.7p26 or later.

Mauvaise idée. NTP 4.2.7 est une version de développement. En particulier, pour ceux qui attendent que cette version soit publiée dans Debian, oubliez cette idée : ça n'arrivera pas.

You can add disable monitor to your ntp.conf and restart your NTP process if on an earlier version.

Voilà, ça c'est la vraie solution avec la version stable de NTP. Malheureusement, ça désactive plus que seulement ce qui serait nécessaire, mais bon…

Diantre, le retour de pBpG, et quel retour ! Chapeau bas, c'était très bien exécuté !

Sans indication du codage, il y a tout de même une heuristique extrêmement simple pour utiliser un fichier texte, surtout un log :

1. c'est de l'ASCII (pour un log, c'est généralement le cas), ou au pire, c'est une extension de l'ASCII, les octets sortant de l'ASCII étant trop peu nombreux pour poser un problème si on doit les ignorer ;
2. si décidément, ce n'est pas de l'ASCII, c'est de l'UTF-8 ;
3. si ça contient des séquences qui sont invalides pour de l'UTF-8, c'est une extension mono-octets de l'ASCII, probablement du latin-9 dans un contexte francophone.

Effet : Artistic / Polygonize

Voilà un filtre amusant, qui essaye de transformer votre image en un ensemble de polygones de couleurs constantes, qui suivent plus ou moins les contours. Peut-être intéressant pour les créateurs de vitraux d'églises !

On trouve surtout des vitraux dans les églises, mais pas seulement : la mairie de Paris a quelques vitraux sur les métiers par exemple. En revanche, je doute que cette effet soit sérieusement utile aux créateurs de vitraux, dans la mesure où les vitraux classiques ne sont pas spécialement composés de polygones.

Pour ceux que la technique utilisée pour monter des vitraux intéresse, il y a dans le musée des monuments français, à la Cité de l'architecture à Chaillot, Paris, une excellente explication à ce sujet, avec des illustrations et des pièces qui permettent de très bien comprendre. Oui, c'est carrément hors sujet, mais c'était une occasion de parler ce musée que je trouve remarquable et que je vous recommande vivement, si vous avez quelques heures à perdre à Paris.

J'ai entendu un autre son de cloche, un jour. Quelqu'un qui s'était retrouvé avec journald, et qui avait besoin des logs de son serveur de courrier. Avec la commande appropriée, il lui a fallu trois heures pour récupérer quelques centaines de lignes.

Comment les programmes packagés (plus précisément, les services déclarés dans /etc) vont-ils faire être compatibles avec plusieurs systèmes d'init?

En fournissant plusieurs scripts ou descriptions, un par format de système d'init.

Sachant qu'être compatible avec SysV RC, c'est être, de façon minimale, compatible avec à peu près tous les systèmes de lancement de services puisque les systèmes de lancement de services en questions sont compatibles avec les scripts SysV !

Avec journald, ça doit être le cas oui, mais est-ce que ça affecte tous les logs, je ne sais.

Mon avis personnel : je n'aime pas systemd, qui bien qu'étant basé sur de très bonnes idées est à mon avis développé et promu de façon désagréable, avec ce qui m'apparaît comme une volonté hégémonique sournoise. Mais comme je le mentionne, il ne s'agit là que du choix d'init par défaut, et j'espère donc pouvoir continuer à utiliser l'init et les services SysV.

GnuPG / PGP key signing party le 1er avril 2014 dans les locaux parisiens de Mozilla à Paris

Quand ils vinrent à Paris, ils devinrent parisiens ?

Il n'y avait pas d'humour, seulement un manque de connaissance de ma part, ne sachant pas bien où était située l'ambassade américaine. Je savais qu'elle était proche de l'Élysée, que tout cela était proche de la place de la Concorde, mais ça s'arrêtait là.

Sachant que le lieu de manif proposé dans la dépêche et non déclarée à la Préfecture de Police est à quelques mètres de l'Élysée et à peine plus de la place Bauveau, je pense que la nervosité des forces de l'ordre est acquise d'avance.

Ah oui, dans ce cas, c'est certain. La préfecture de police n'aime déjà pas les manifestations sur la place de la Concorde, alors a fortiori tout près de l'Élysée, sans déclaration, ça risque d'être mal pris.

Vous êtes invité ce jour […] à aller manifester devant l'ambassade des Etats-Unis en fin de journée (OK, rien n'a encore été organisé à ce sujet, mais ça serait une bonne idée pour les parisiens).

Attention, en France, les manifestations sont soumises à un régime de déclaration : on n'a pas besoin de l'autorisation de la préfecture — de la préfecture de police dans le cas de Paris — mais on doit les en informer, et ils peuvent refuser, et demander que ce soit organisé un autre jour ou à un autre endroit.

Je n'en suis pas sûr, mais il me semble qu'*organiser* une manifestation sans la déclarer est illégal. Ce dont je suis sûr en revanche, c'est que participer à une manifestation non déclarée ne l'est pas. Si une manifestation non déclarée trouble manifestement l'ordre public — ce qui revient souvent à « ne plaît pas au gouvernement » — un officier doit effectuer trois sommations de dispersion, avant d'utiliser la force : si on est pris après ces sommations, là on est en infraction et on peut être retenu pour une garde à vue, et éventuellement être jugé plus ou moins rapidement.

Attention, la police abuse parfois de son autorité, en emmenant des manifestants au commissariat pour un contrôle d'identité qui aurait pu, et aurait du se faire sur place. Quoi qu'il en soit, ne les tentez pas, et ayez sur vous des papiers d'identité, parce que si vous n'avez pas moyen de prouver votre identité, là ils ont vraiment le droit de vous embarquer.

http://frederic.bezies.free.fr/blog/?cat=2

Autre fait marquant dans l'actualité de ZFS, le 28 mars 2013 le projet ZFS on Linux a publié sa première version stable, ce qui semble faire de ZFS le système de fichier le plus largement géré depuis le vFAT (ou presque).

Un sacré presque alors, s'il n'est pas pris en charge sous Windows. Pour info, le système de fichiers le plus largement pris en charge après les FAT, c'est ISO-9660. Et le second plus largement pris en charge, qui a l'avantage d'être utilisable en lecture et en écriture, c'est UDF.

Il n'a pas déjà envoyé un patch pour l'inclure dans le noyau Linux ?

« Merci encore », ça sonne bien et c'est plus simple à mon avis. Bon, le grammairien va aller se coucher hein…

Non, ce n'est pas français. L'équivalent de ce titre en français pourrait être : « NVIDIA contribue à Nouveau en y ajoutant la gestion du GPU… » (ou « participe à Nouveau » si on préfère, et il vaut sans doute la peine de préciser « contribue au pilote Nouveau » pour éviter la confusion avec l'adverbe « à nouveau »). Ou plus simplement : « NVIDIA ajoute la gestion du GPU machin à Nouveau ».

Visiblement, c'est un verbe intransitif

Curieux, avec comme quatrième exemple :

Contribuer à la fortune

Ce n'est pas ce que j'appelle intransitif ça. Plutôt intransitif ou transitif indirect selon les cas.