falbala a écrit 144 commentaires

1. Ce bug n'est exploitable (pour l'instant) que si on a un accès ssh sur la machine cible (et c'est la même chose pour les clients ssh).

2. Si on veut pas attendre demain matin, et on a ses sources dans un coin (il faut TOUJOURS avoir les sources), on peut toujours patcher "à la main", ça donne ça sur OpenBSD :

cd /usr/src/usr.bin/ssh
vi channel.c
[... modifier la ligne 147 comme dans un post précédent ...]
cp /usr/bin/ssh /root/ssh.old && chmod 0400 /root/ssh.old
cp /usr/sbin/sshd /root/sshd.old && chmod 0400 /root/sshd.old

make && make install

--- ET VOILA !! ---

Si vous avez peur de patcher une machine à distance et vous ne vouelz pas attendre demain matin :

... loguez-vous sur la machine en question ...
kill -TERM `ps aux | grep sshd | grep -v grep | awk ' { print $2 } '`

... vérifiez que vous ne pouvez plus vous connecter en ssh ... et déconnectez vous !

--
Y'en a marre de passer la soirée à patcher ses machines.

En résumé (rapide) :

Une première partie pour la présentation de mozilla.org ( le site, le browser, le nightly build, tout ça koi ). Le roadmap de mozilla 1.0 est "de 3 à 4 semaines".

Puis une seconde partie par Tristan Nitot "mozilla tech evangeliste".

A oui, y'a 20 T-Shirts Mozilla à ganger ici :
http://mozilla-evangelism.bclary.com/europe/(...)

Simplement, je disais que je n'avais vu de logiciels s'installer en plug & play sous linux (du style j'insère le CD, je tape install et je vais boire un café).

Pour linux je sais pas, mais les installs d'OpenBSD, et ce depuis 2 ans, ne m'ont demandé qu'une seule disquette et 5 minutes ... c'est vrai qu'il faut répondre à des questions, oh combien difficilles ;-)

Néanmoins, je constaste que Checkpoint gagne des millions de $ en vendant un produit qui n'est rien d'autre qu'un iptable avec une jolie interface

Tu connais mal ces produits mon ami. Si tu savais ce que peut faire un CheckPoint (et ce qu'il ne peut pas, allez, au hazard, un proxy pour pc-anyware ?) en comparaison avec un iptable (ou un netfilter si t'es "aware"), tu fermerait ta grande geule sans demander les restes.

Mais Be OS


--
je sais, je sors

J'aime pas qu'on trucide l'histoire :

Tu parlais de LogicielS libreS a l'actif de SUN

... La base du developpement de Mozilla c'est le source (un peu pourri au depart d'ailleurs) de Netscape

Et qui vient de Mosaïc et de NCSA, que vient faire SUN dans l'histoire ?

J'ai dis BSD / SunOS et Sun OS etait bien herite de la branche BSD

SunOS 1.0 hérite de 4.1BSD et Solaris n'est qu'un batard avec un System V. Ils ont le même ancêtre qui est le "Unix Time Sharing System V4".

D'ailleurs si tu regards de près les descendants de Solaris / SunOS, on n'y trouve que Trusted Solaris.

Les autres (star office, forté et java) je ne m'en sers pas et je m'en tape royalement.

MICROSOFT EST UN EDITEUR BEAUCOUP MOINS ... MOINS LIBRE QUE SUN

Ils ne sont pas libres, point.

ca compte cher de passer en wireless
Oui et non, on en trouve de pas cher au US, pour 66 € la pièce : http://shop.store.yahoo.com/register5/orincar.html(...) .

C'est des cartes PCMCIA, et un convertiseur pcd->pcmcia cout le même prix, voire plus cher.

C'est ce que j'ai, et avec un pote à moins de 100 mètres, ça passe nickel :
streaming mp3 à 128k et moulage intensif sur wiki sans que le clavier se blo

Que vient faire ce logo "Powered by GNU E***s" en bas de la page ???

Et c'est quoi cette antenne de FSF basée à pékin ?

les temps de ping en france sont de l'ordre de 10 ms
Je veux!!! Peux-tu donner l'ordre de prix et le service (bandes passantes et garanties entre autre)?


Gratos pour nous, les béta testeurs :-)

Sinon, de mémoire, pour une ligne 256K symétrique, avec un burst de 1M, c'est à moins de 500 euros par mois.
Les frais d'install peuvent-être importants, selon config.

J'ai souvenir qu'il n'est pas recommandé de mettre un alias comme MX
Y'a des service, comme http://hn.org(...) , permet de mettre une @IP dans le MX, même qu'elle est dynamique.

Tu pense bien qu'on a coché la case "Adresse IP statique" sur le contrat (qui n'en est pas un d'ailleurs).

En fait, les changements d'IP sont intervenus chaque fois ils font un upgrade de leur équipements.

On a ainsi vu passer des IP 193.x -> 217.x, 193.x -> 80.x
bref, un joyeux bordel^Wnoel.

Il faut etre root pour utiliser les fonction PAM || lire /etc/shadow
Y'a pas que linux dans la vie ...

à l'occurence, ça me permet de déposer le sauvegardes de mes machines sur un serveur, dans des environnements totalement "étanche".

L'intérêt de l'IP statique, c'est que tu n'as pas à mettre en place un DNS dynamique... et du coup tu peux utiliser cette IP comme MX.
Ben j'ai bien un ip dynamique qui me sert de backup MX...

Pour histoire, je gère 10 lignes adsl en france, via wanadoo (nerim n'est pas par tout), toutes en netissimo2/wanadoo Pro, donc ip statique.
Sur ces 10 lignes, en 1 an, j'ai eu droit à 3 changements d'IP sur 3 sites, sans préavis. L'ip statique de mamamou ne vaut donc que dalle.

Et pour le cado noël, on m'as installé une ligne BLR vendredi, les temps de ping en france sont de l'ordre de 10 ms, le bonheure quoi.
Mais c'est un service qu'on paye, et chère même.

sshd -f $HOME/sshd_config -p 6666

ah oui, ça le fait...

* Vulnérabilité n°3 : "l'association de OpenSSH sous OpenBSD 2.9 avec le système de mot de passe S/Key pourrait donner au hacker, après certaines sollicitations, un accès à des informations susceptibles de l'assister dans la pénétration du système visé"

En gros : S/Key (one-time password authenficiation) untilise un système de challenge-response. Un attaquant peut deviner, selon le challenge posé, l'existant ou pas d'un login, voire la fréquence d'utilisation de ce login.

La réponse de Markus Friedl : OpenSSH utilise un "fake skey challenge" dans ce cas, donc pas exploitable, et ce depuis Novembre 2000, y'a plus d'un an donc.

cf. http://securityfocus.com/cgi-bin/archive.pl?id=1&start=2001-11-(...)

arf, ces linuxiens, qui pondent de code qui ne marche QUE sur linux ...

Voilà un truc qui marche :

#!/bin/sh
/usr/bin/nc linuxfr.org 80 << EOF
POST http://linuxfr.org/board/add.php3(...) HTTP/1.0
Host: linuxfr.org
User-Agent: devil from `hostname` with `uname`-`uname -r`
Referer: http://linuxfr.org/news/(...)
Content-Type: application/x-www-form-urlencoded
Content-Length: 29
Connection: close

message=your%20message%20here
EOF

Merci ;-)

Pour le peu de DNS wanadoo qu'on a besoin, bouf.

Sinon y'a aussi .1 et .2 ;-)

--
[root@falbala named]# grep "193.252.19" named.run | wc -l
0
re bouf.

extait de man named.conf :

forward
This option is only meaningful if the forwarders list is not empty. A
value of first, the default, causes the server to query the forwarders
first, and if that doesn't answer the question the server will then
look for the answer itself. If only is specified, the server will only
query the forwarders.

Donc si les NSs internes de mamadou sont en rades, j'ai le choix entre :

* Avoir un IP inutilisable en passant par les root-servers
* Ne par avoir IP du tout.

Pour moi le choix est fait :-)

[falbala@falbala falbala]$ head -n 67 /etc/named.conf | tail -n 8
#--- bogus wanadoo ns
zone "wanadoo.fr" {
type forward;
forward only;
forwarders { 193.252.19.3; 193.252.19.4; };
};

Comme ça t'as tous les noms internes de mamadou correctement (www/news etc). Ce qui donne :


[falbala@falbala falbala]$ telnet smtp.wanadoo.fr smtp
Trying 193.252.19.219...
Connected to smtp.wanadoo.fr.
Escape character is '^]'.
220 citronier.wanadoo.fr ESMTP Service (NPlex 2.1.124) ready
HELO falbala.localdomain
250 citronier.wanadoo.fr
MAIL FROM: <falbla@falbala.org>
250 MAIL FROM:<falbla@falbala.org> OK
RCPT TO: <echo@cnam.fr>
250 RCPT <echo@cnam.fr> OK
quit
221 citronier.wanadoo.fr Service closing transmission channel
Connection closed by foreign host.


Remarquez le falbala.org n'existe pas :


[falbala@falbala falbala]$ telnet guinness smtp
Trying 10.x.x.x...
Connected to guinness.
Escape character is '^]'.
220 guinness ESMTP hardmail (beta 0)
MAIL FROM: <falbala@falbala.org>
250 Ok
RCPT TO: <falbala@localhost>
450 <falbala@falbala.org>: Sender address rejected: Domain not found
quit
221 Bye
Connection closed by foreign host.


Voilà ce qui est mieux

S'il y a un serveur de mail, c'est forcé qu'il soit joignable par un telnet.

Pas focément :

En telnet, et en règle générale, une touche sur le clavier = 1 parquet IP envoyé.
Alors qu'un client SMTP(un MUA ou un autre MTA) génère des paquets plus grands.
On peut donc jouer sur les règles de firewall pour détecter un telnet, et de le blo

C'est très rigolo, mais le jour on a besoin de diagnostiquer une panne ...

L'idée, n'est-ce une seule seconde, d'avoir une liste "dial up user unfriendly" me horrifie.

Le soft de blacklist :

The software and utilities used to produce the list is limited license freeware and requires a security key to run.


Le blacklist :

127.0.0.3 Dialup Spam Source

Ne compte pas sur mes serveurs pour l'utiliser !

http://www.linux-france.org/prj/jargonf/O/OC-12.html(...) :

Optical Carrier 12. Connexion par fibre optique carburant à 622.08 Mbps.
Soit 11375 fois un modem 56 K, de quoi flooder un disque U/DMA 66.

J'ai fait du cobol Orienté Objet bien avant l'arrivé de C++, où est le problème ?

Et puis, sur AS400, le jour un compilateur d'objective-c (ou C tout court) se monte à la hauteur de COBOL, tu me donnerais des nouvelles mon petit.

Spammer le ministre avec AR, ça c'est une bonne idée !

Je vais même le faire avec un CC à libé/le monde/le Fig. On ne sait jamais ...

--
Ôter moi ce PIERRE de mon jardin !

La preuve je ne savais pas comment générer une clé en utilisant openssl...

Je suppose que tu ne sais pas non plus comment générer un CA donc.

Quel dégré de confiance on peut accorder à un site donc le certificat est issu d'un inconnu ;-)

http://www.urec.cnrs.fr/securite/certifications.html(...)