Grsec n'empêche pas l'exploit sur les noyaux 2.6 récents. Il est impératif de les mettre à jour eux aussi.
Le patch pour 2.6.24.2 n'est pas encore sorti, mais il y a moyen de bricoler des 2.6.22.18 ou 2.6.23.14 corrigés. On en parle sur plusieurs threads des forums Grsec :
<chauvinisme>Dotdeb est un bon choix</chauvinisme> :)
Plus sérieusement, j'essaie de coller au mieux aux alertes de sécurité, quite à backporter des fix du cvs de php.net.
A la base, Dotdeb est un projet pour mon job. On a besoin des derniers paquets en date, secure, et tout... de PHP 4/5 et MySQL 4.1/5.0. Il me paraissait naturel d'en faire profiter la communauté.
Ils sont actuellement déployés sur plus de 250 serveurs, sans aucun souci.
Quoiqu'en disent les distribs qui ont le vent en poupe et autres fervents adeptes des toutes dernières versions de softs, Apache2 et PHP (4 ou 5), ce n'est même pas la peine d'y penser.
Une démonstration élégante, convaincante et exemple à l'appui par monsieur Rasmus Lerdorf :
mes paquets ne seront ps inclus dans la distrib officielle, vu que je ne suis pas developpeurs officiels Debian (meme si ca serait le top de le devenir. Si qqn de competent lit ces lignes...).
php 4.3.8 vient de rentrer dans debian unstable. php5 est prevu d ici qq temps, ca sera les memes mainteneurs que les paquets php4 actuels a priori.
Pour ceux que ca intéresse, j'ai mis des paquets debian non officiels (concoctés dans le cadre de mon job chez Nexen) disponibles sur http://www.dotdeb.org/(...)
Et PHP 4.3.8 est en ce moment même dans la deb-moulinette :)
Ceux-ci sont pour Woody, mais devraient fonctionner sans souci sur une sarge/sid.
Le safe_mode, a off, ce n est pas forcement une vulnerabilite. Oui, ca facilite le boulot de l'attaquant, mais bon, quelques directives de conf bien placées permettent de s'en sortir.
Ensuite, laisser des compilos sur une bécane ou il n'y en a besoin que rarement, il faut absolument éviter. Perso, je les installe et désinstalle selon les besoins, mais je ne les laisse pas trainer.
PS : J oubliais : pas de support des modules dans le noyau, tout en dur, ca evite le chargement de modules malicieux. Sur ces bons conseils, messieurs, bonne journee
Bon, ce n etait pas une faille intrinseque a PHP, qui est a jour sur ton serveur, j en suis certain :)
Ce genre d attaque est de plus en plus repandue malheureusement... Pour limiter les degats : openbasedir, /tmp en noexec, patch openwall ou autre sur un noyau a jour...
Bon courage pour tout remettre d applomb en tout cas.
Ce n est pas possible avec les modules apache. Tu ne peux pas en cumuler deux.
Par contre, c est tout a fait faisable en passant par les versions CGI, au prix d un peu de conf apache. Tu peux aisni faire cohabiter php 3, 4 ou 5 sur un meme serveur. Cependant, les versions CGI sont bien moins veloces que les versions SAPI Apache, meme avec fast-cgi.
Perso, ca fait deja un bail que je backporte ou construit mes propres paquets php4, php5 et MySQL. Ca evite d attendre trop longtemps. http://www.dotdeb.org/(...) si tu es interesse.
Je vais mettre dispo les paquets source tres bientot.
Attention, ces paquets sont au moins aussi experimentaux que PHP5 lui meme. J ai encore un peu de travail dessus. Neanmoins, toute bonne volonte est la bienvenue :)
Avec Sqlite, c est un peu le meme principe qu avec les fichiers db2, db3 et j en passe...
Disons que :
- la BDD est stockee sous forme de fichier sur ton disque (ton espace web perso par exemple), a l endroit que tu veux.
- le moteur de manupilation est inclus en standalone dans l extension PHP. Nul besoin de faire appel a un demon tiers pour gerer les informatiosn de ta BDD, contrairement aux extensions MySQL, postgreSQL, MS-SQL...
# kFreeBSD
Posté par Guillaume Plessis (site web personnel) . En réponse au journal ZFS dans l'installateur de Debian. Évalué à 3.
Certainement disponible uniquement sous Debian kFreeBSD, non?
# Les noyaux durcis (Grsec) SONT affectés.
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche Important bug de sécurité sur noyau 2.6.17 à 2.6.24. Évalué à 4.
Le patch pour 2.6.24.2 n'est pas encore sorti, mais il y a moyen de bricoler des 2.6.22.18 ou 2.6.23.14 corrigés. On en parle sur plusieurs threads des forums Grsec :
http://forums.grsecurity.net/viewtopic.php?f=1&t=1889
http://forums.grsecurity.net/viewtopic.php?f=1&t=1892
http://forums.grsecurity.net/viewtopic.php?f=3&t=1888
Bon courage
[^] # Re: Achat?
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Theremin?. Évalué à 1.
Merci beaucoup!
# Achat?
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Theremin?. Évalué à 1.
Cet instrument m'intéresse beaucoup, mais je ne l'ai jamais trouvé à un prix abordable...
[^] # Re: Un choix difficile...
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche Backports.org compatible Debian Sarge. Évalué à 1.
Plus sérieusement, j'essaie de coller au mieux aux alertes de sécurité, quite à backporter des fix du cvs de php.net.
A la base, Dotdeb est un projet pour mon job. On a besoin des derniers paquets en date, secure, et tout... de PHP 4/5 et MySQL 4.1/5.0. Il me paraissait naturel d'en faire profiter la communauté.
Ils sont actuellement déployés sur plus de 250 serveurs, sans aucun souci.
A+
# PHP et Apache2...
Posté par Guillaume Plessis (site web personnel) . En réponse au journal En finir avec BIND et ProFTPD :). Évalué à 3.
Quoiqu'en disent les distribs qui ont le vent en poupe et autres fervents adeptes des toutes dernières versions de softs, Apache2 et PHP (4 ou 5), ce n'est même pas la peine d'y penser.
Une démonstration élégante, convaincante et exemple à l'appui par monsieur Rasmus Lerdorf :
http://marc.theaimsgroup.com/?l=php-dev&m=108736540021355(...)
A+
Gui
[^] # Re: Dispo pour debian "woody"
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche Sortie de PHP 5.0.0. Évalué à 3.
php 4.3.8 vient de rentrer dans debian unstable. php5 est prevu d ici qq temps, ca sera les memes mainteneurs que les paquets php4 actuels a priori.
Voila!
# Dispo pour debian "woody"
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche Sortie de PHP 5.0.0. Évalué à 10.
Et PHP 4.3.8 est en ce moment même dans la deb-moulinette :)
Ceux-ci sont pour Woody, mais devraient fonctionner sans souci sur une sarge/sid.
[^] # Re: Dotdeb
Posté par Guillaume Plessis (site web personnel) . En réponse au journal PHP 4.3.7. Évalué à 3.
[^] # Re: On se moque du monde
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Une revolution pour le pdf. Évalué à 1.
C'est toujours un plaisir d'aider un homonyme :)
# Et la banana
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Question php. Évalué à 2.
Néanmoins, un projet existe :
http://www.vl-srm.net/(...)
Je n'ai pas testé. Bon courage
# Re: Petula ....
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Petula ..... Évalué à 3.
Cependant, une devinette me taraude quand même suite à celui-ci :
"Monsieur et madame Perrault ont une fille. Comment l'appellent-ils?"
A bon entenduer...
Et désolé pour ce post pas très utile.
# Re: Aidez moi à choisir un laptop
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Aidez moi à choisir un laptop. Évalué à 2.
[^] # Re: Server Hacked
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Server Hacked. Évalué à 2.
Ensuite, laisser des compilos sur une bécane ou il n'y en a besoin que rarement, il faut absolument éviter. Perso, je les installe et désinstalle selon les besoins, mais je ne les laisse pas trainer.
PS : J oubliais : pas de support des modules dans le noyau, tout en dur, ca evite le chargement de modules malicieux. Sur ces bons conseils, messieurs, bonne journee
# Re: Server Hacked
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Server Hacked. Évalué à 0.
Ce genre d attaque est de plus en plus repandue malheureusement... Pour limiter les degats : openbasedir, /tmp en noexec, patch openwall ou autre sur un noyau a jour...
Bon courage pour tout remettre d applomb en tout cas.
# Paquets Debian
Posté par Guillaume Plessis (site web personnel) . En réponse au journal PHP 4.3.5. Évalué à 2.
paquets Debian dispos sur http://www.dotdeb.org/(...)
Enjoy
[^] # Re: Paquets debian
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche PHP 5 RC 1. Évalué à 1.
[^] # Re: PHP 5 RC 1
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche PHP 5 RC 1. Évalué à 1.
Un ensemble de tutos et d extensions/scripts (PEAR, notamment) pour exploiter SOAP avec PHP.
Enjoy :)
[^] # Re: Paquets debian
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche PHP 5 RC 1. Évalué à 1.
Par contre, c est tout a fait faisable en passant par les versions CGI, au prix d un peu de conf apache. Tu peux aisni faire cohabiter php 3, 4 ou 5 sur un meme serveur. Cependant, les versions CGI sont bien moins veloces que les versions SAPI Apache, meme avec fast-cgi.
[^] # Re: PHP 5 RC 1
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche PHP 5 RC 1. Évalué à 2.
SRM permet de la persistance. Ca prend la forme d un demon et d un module PHP.
C est en developpement, pas encore porte par PHP5, mais une fois de plus, si vous voulez que ca avance, toute aide est bienvenue...
[^] # Re: PHP 5 RC 1
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche PHP 5 RC 1. Évalué à 2.
Perso, ca fait deja un bail que je backporte ou construit mes propres paquets php4, php5 et MySQL. Ca evite d attendre trop longtemps. http://www.dotdeb.org/(...) si tu es interesse.
# Paquets debian
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche PHP 5 RC 1. Évalué à 4.
il suffit d ajouter ces deux lignes a votre sources.list :
deb http://packages.dotdeb.org(...) ./
deb http://devel.dotdeb.org(...) ./
Je vais mettre dispo les paquets source tres bientot.
Attention, ces paquets sont au moins aussi experimentaux que PHP5 lui meme. J ai encore un peu de travail dessus. Neanmoins, toute bonne volonte est la bienvenue :)
[^] # Re: PHP 5 RC 1
Posté par Guillaume Plessis (site web personnel) . En réponse à la dépêche PHP 5 RC 1. Évalué à 6.
Disons que :
- la BDD est stockee sous forme de fichier sur ton disque (ton espace web perso par exemple), a l endroit que tu veux.
- le moteur de manupilation est inclus en standalone dans l extension PHP. Nul besoin de faire appel a un demon tiers pour gerer les informatiosn de ta BDD, contrairement aux extensions MySQL, postgreSQL, MS-SQL...
# Re: Une gui pour mysql ?
Posté par Guillaume Plessis (site web personnel) . En réponse au journal Une gui pour mysql ?. Évalué à 1.
http://www-fr.mysql.com/products/mysqlcc/index.html(...)
Enjoy :)
# Gif, et même GIF animé
Posté par Guillaume Plessis (site web personnel) . En réponse au journal PHP 4.3.3 + GD 2.0.15 + support GIF. Évalué à 1.
Merci Nexen :)