j a écrit 261 commentaires

D'apres son site, Win4Lin ne fonctionne qu'avec Win95 et Win98 . Bof.

VMWare permet de faire tourner quasiment tous les OS, tandis que Win4Lin ne se destine qu'à Windows. VMWare me permet de tester des distributions Linux, VSTA, QNX, différents BSD, etc. Je m'en suis aussi énormément servi pour travailler sur les filesystems du kernel linux sans risquer d'exploser mes partitions.

Et le coup de "il suffit de leur photocopier le CD" est curieux. J'ai acheté VMWare sur le site, il m'a été envoyé uniquement un numéro de série, pas de CD.

Heureusement, OpenIPF arrive. Voici la photo de la programmeuse : http://www.jedi.claranet.fr/openbaby.html(...)

Et voici le portage pour la version 1.2.10 de GTK+ :

http://www.jedi.claranet.fr/gtk-1.2.10_antialiasing.patch.gz(...)

La ligue des droits de l'homme n'est pas une organisation internationale (.org) et elle dispose déjà de ldh.asso.fr .

Ezmlm (http://www.ezmlm.org(...)) .

La partie sur Autoconf et Automake est un peu rapide (aucune préalable explication sur l'utilisation de ces outils) .

Je ne voulais en effet pas m'y attarder ici, car je suis en train de rédiger un autre petit document qui leur est consacré.

Babouilles,

Non l'annee derniere ce n'etait pas utilisable que sous winmachin. Il y avait une version Java qui fonctionnait a merveille sous Linux.

SuSE dispose aussi d'un système très simple pour les mises à jour automatique, et ça a été encore bien amélioré dans la 7.1 . Et c'est gratuit.

Le bug est corrigé dans la version en CVS de Proftpd... C'est un copier-coller du fix de Pure-FTPd 0.96.1, hihihi !

Voici un patch pour ProFTPd, qui devrait contrer toutes les attaques de ce type.

http://bugs.proftpd.org/showattachment.cgi?attach_id=1057(...)

Oui la version 0.96 a été releasé en catastrophe et était une erreur, il y avait d'autres trucs qui merdaient (genre l'option -L) . C'est pourquoi elle a été remplacée par la suite.
Ca n'a pas été "maquillé". Un message a été posté dans le forum à ce sujet. J'ai ajouté par la suite une news sur la page à ce propos.

Le 'no known security flaw' était vrai. Il a été retiré hier, juste après avoir découvert la faille, y compris dans les docs et sur freshmeat.

Les autres globs ont déjà été protégés dans la 0.96 (et ne concernent pas les utilisateurs anonymes de toutes façons) .

Quant au post 15 minutes après sur bugtraq, il faudrait apprendre à lire les dates sur les en-tetes des mails... Ca fait plutot 3 heures (après le fix) .

Bon allez zou, chacun retourne auditer son code. Plutot que de glander sur Linuxfr, allons tester nos CGI/shells/serveurs pour coder les patches.

Essayez ça dans votre home directory sur n'importe quel shell (echo, pas ls) :

echo */../*/../*/../*/../*/../*/../*/../*/../*

ash,ksh,bash,zsh,csh, le sh de solaris... apparemment ils partent tous en boucle.

Quant à wuftpd, ils n'ont *pas* réellement fixé le problème. Ils s'arretent lorsque la ligne est trop longue, ce qui peut se produire pour des requetes tout à fait ordinaire si le nom des fichiers est long ou que l'on est loin dans les sous-répertoires.

C'est bon, les packages slack, rpm, rpms et debian sont dispos.
Merci encore pour ton aide.
S'il y a ici un membre de Debian qui veut maintenir le package, il est le bienvenu !

Ca alors... proftpd.org vient à l'instant de rajouter "Reported on Bugtraq on the 15th of March by Frank DENIS (Jedi/Sector One)" sur leur page.
Comme par hasard.

From:
Luis Miguel Ferreira Silva <lms@ispgaya.pt>
To: jedi@CLARANET.FR
Cc: BUGTRAQ@SECURITYFOCUS.COM
Date: 16 mar 2001, 11:10:24
Subject: Re: [Bug 1066] Changed - Globbing bug - denial of service (fwd)

ahmm, this looks pretty WEIRD.. ;)
A dewd writes stating that HE found a bug [at least, it looked like it]...
Showed a "paste" of the proftpd site crashing...
And then, proftpd states that they where the ones who found the bug?!
ROTFL :)

On Thu, 15 Mar 2001 jedi@CLARANET.FR wrote:

> > > The globbing bug has been confirmed and tracked by the Proftpd team.
> > --
> -=- Frank DENIS aka Jedi/Sector One <j@c9x.org> -=-
> "If Bill Gates had a dime for every time a Windows box crashed...
> ... Oh, wait a minute, he already does."
> > >

Mentir parce qu'on l'a mauvaise, c'est encore plus nul.
Quant au workaround, il a été posté moins d'une heure après que je leur ait reporté la faille.
La vulnérabilité a été publiée sur bugtraq *après*.
En revanche, ils n'ont pas hésité à cracher sur pureftpd en publiant une variante, 30 secondes seulement après avoir posté un message sur un forum censé m'en avertir.
Alors reste à démontrer qui a commencé les hostilités... celui qui signale un bug ou celui qui ment sans raison ?
Entre logiciels opensource et free, ça n'a franchement aucun intéret de vouloir une guerre. Soit on poursuit des objectifs différents, soit on s'entraide.

quel rapport avec le chroot ?

Sur un ftp anonyme tous les serveurs font un chroot() de toutes façons.

Tu n'as pas compris le bug... car c'est vraiment une erreur de programmation.

*/../* est interprété comme une recherche recursive, il va, à l'intérieur d'un répertoire, lister tous les répertoires un niveau au dessus, c'est à dire entre autres lui-meme, d'où une boucle.

C'est un peu comme si tu faisais :

ln -s . toto

et que tu faisais des 'cd toto' sans cesse en esperant tomber un jour sur autre chose que 'toto'.

Avec 'softlimit' (daemontools) ou avec 'ulimit' ou 'limit' (en shell tout bete) . Si tu utilises G2S comme super-serveur, il y a aussi des directives pour ça, parametrable independemment pour chaque service.

Yep d'ailleurs je remercie l'équipe de proftpd d'avoir crié ça sur tous les toits *30 SECONDES* après avoir posté ce message (anonymement en plus) .

Merci aussi pour sa mauvaise foi et ses fausses accusations (je n'ai jamais bloqué leur serveur).

Cela dit, c'est vrai qu'on a plutot les boules quand un gros trou de sécu est découvert dans ce que l'on vient de coder. J'en ai chialé et je n'ai pas pu fermer l'oeil de la nuit. Enfin bon, au moins ce bug ne sera plus dans la 1.0 .

dpkg-buildpackage pardon.

Je n'ai malheureusement pas de Debian pour construire le paquet.
Recupere le source, puis tape 'dpkg-build' et tu auras le .deb ... N'hesite pas à me l'envoyer pour le mettre sur sourceforge.

Il faut comprendre par la : soyez vigilants si vous avez un serveur avec un FTP ouvert dessus.... Testez s'il est vulnérable et le cas échéant, ajoutez des limites (temps cpu, ram...) ou désactivez-le en attendant un correctif.