Ce lien était deja dans la RC2, j'ai vu ça cette aprés midi sur les 9.2 qui ont je ne sais comment été installé hier sur les ordis d'une salle info de ma fac.
Je suppose que c'est une 9.2RC2, vu le numéro du kernel...
En effet, je comprends ta frustration, mais, chaque patch en plus dans mandrake, ça fait un patch de plus a maintenir, et je pense qu'il vaut mieux le transmettre upstream.
Déja, ça profite à tout le monde, c'est donc beaucoup mieux, et en plus, ça décharge le mainteneur, qui n'a pas toujours le temps de vérifier le patch, et surtout dans le cas de xfree, de le tester.
( et un accés contributeur ne te donne pas le droit de tripoter xfree à ta sauce... et ne te permet pas non plus d'avoir les patchs sur main plus rapidement, donc pas de regrets )
OOo 1.1 RC4 + patch du cvs, donc, par honneté, mandrake a garder le nom, vu que temps de gens ne comprenait pas la notation précedente...
Pareil pour koffice.
Perso, j'ai pas eu de problémes avec openoffice.org, et je m'en sert depuis quelques temps deja ( en cooker ).
Le noyau 2.6 est dans les contribs, donc sur les miroirs ftp.
En plus, les statistiques s'accordent avec ton propos, les gens super fort se basent sur leur distro, donc, comme on le voit sur le tableau, on voir que Debian est en tête chez les personnes super génial qui font des distros.
Ah, on me signale dans l'oreillette que c'est RH en tête, et donc que ton argument tombe a l'eau, une équipe de sauvetage va vite le repêcher je l'espére.
Je te rappelle que justement, mandrake n'en a pas parlé, c'est un type de osnews qui a révelé l'affaire. Suite aux trolls monstrueux qui a éclaté ici, le responsable communication a fait un communiqué de presse. Donc permet moi de légerement nuancer tes propos.
interopérabilité des systémes, non ?
cf yahoo/reuters :
"Un autre amendement précise que l'utilisation d'une technique brevetée n'est pas considérée comme une contrefaçon si elle est nécessaire pour assurer la communication entre différents systèmes ou réseaux informatiques"
Faut voir le texte exacte, mais, bon je voit pas en quoi ça emmerde plus que les drivers binaires sans les specifications. En tout cas, pas beaucoup plus...
On attends toujours les drivers nvidia 3d libres, alors qu'il y a pas de brevets...
( note, je critique pas le travail des personnes qui veulent faire un driver pour nvidia, je sais que c'est trés dur )
Pourtant le manque d'impartialité ne pose probléme à personne quand les magazines sont de notre avis.
Exemple, LMF, linux journal, avec des pubs pour RH, pour Suse. Si une étude venait à sortir en expliquant que Linux c'est mieux que windows dans un de ces magazines, personne ne dirait que son impartialité est douteuse.
La saturation de mémoire, c'est pas trés aléatoire à provoquer, à mon sens :)
La vrai question est de savoir ce que la libération d'une zone mémoire peut provoquer. Prenons une variable qui serait touché par ce "nettoyage", sous quelle condition peut t'on exploiter ça ?
A part un pointeur à moitié effacé, qui pointerai du coup sur une autre zone, qui serait théoriquement sous le controle du pirate, je voit pas trop. Et, ça ne me semble pas être trés trivial.
Et sauf erreur de ma part, c'est suivi par un appel à fatal, qui se traduit par un message d'erreur et un exit, non ?
Donc, il faut réussir à corrompre la section .dtors ( éxecuté à la fermeture, pour les programmes compilés par gcc ) pour exploiter ça, ou réussir à corrompre l'appel à fatal, ou à exit, ou à une fonction, ce qui me semble donc être plus facile à exploiter par la suite.
Si jamais on arrive justement à corrompre un de ces éléments, alors, la faille est dans la corruption, et pas dans le crash. Car la charge se déclencherai alors lors d'une extinction ( exemple, un upgrade ), ce qui est tout aussi mauvais.
J'ai bon, ou je raconte des conneries ?
J'ai peut être oublié quelque chose dans mon raisonnement.
C'est toujours le meme type de probléme de libération de mémoire qui ne devrais pas être libéré, donc, est ce que tu peut justifier pourquoi ça serait plus exploitable que le précedent ?
Sachant que j'attends toujours l'exploit promis pour le premier...
Non, le type demande si un exploit existe, sans donner plus d'infos sur qui fait quoi, ni donner de preuve. Donc, ça ne veut pas dire qu'un exploit circule.
Soit microsoft dit que c'est vrai et c'est vrai, soit ils disent que c'est faux et ils mentent, donc c'est vrai.
Même si les actions de microsoft montre que , logiquement, ils ne veulent pas perdre de part de marchés, je ne pense pas que les fuites d'halloween soient vrais. Ça tombe justement au bon moment, pour "aider" les clients a avoir un moyen de pression énorme sur microsoft.
Pas le genre de trucs qui servirait l'opensource, pas le genre d'info que ESR aurait inventé..
J'ai vite lu les modifications, mais, à part risquer de désallouer de la mémoire qui n'a pas été alloué, on risque quoi ( bon ok, ça fait un crash ) ?
Autant je comprends le probléme d'un débordement de tampon, autant je ne voit pas l'exploit potentiel ici, à premiere vue. Quelqu'un peut expliquer ?
J'aurais pu penser à un éventuel décalage de la mémoire, mais non, ça marche pas comme ça, la mémoire libére ne descend pas dans la pile, j'ai trop joué a crackattack...
Perso, je pense que les fichiers de configs de toutes les distribs se valent.
Sur slack, ils sont la ou la doc le dit, sur debian/mdk/rh ils sont la ou rpm/dpkg te le dit, c'est pas compliqué à retrouver, faut vraiment le vouloir pour pas si retrouver.
Quand à la qualité même de la config, les developpeurs upstream font souvent leur boulot correctment, et dans tout les cas, ça dispense pas de lire la doc.
Brillant. Le systéme arrive à determiner intelligement quel fichier va ou ?
Il automatise les tests pour voir si ça lance, et il monitore ça via strace ?
Sérieusement, tu peut peut developper, pour les non packageurs ?
surtout, tu as as tout casser 4 sources pour les paquets, tu as un formulaire d'ajout, qui se retrouve sous forme d'un assistatn ( urpmi.setup ), a comparer aux 100aines de sites referencés sur apt-get.org, à comparer au mix testing/stable/unstable/experimental que certains font...
On arrive trés bien a se debrouiller avec les sources par défaut debian + quelques sites ( mplayer ), et avec plf/contribs pour mdk.
Mais bon globalement, je vous rappelle que des tas de gens se servent de windows, et se débrouille pas trop mal avec un systéme de gestion des mises à jours inexistant, donc se battre pour savoir qui a le mieux, c'est un peu ridicule.
Oui, mais si tu va par la, il y a des paquets dans mandrake qui sont pas dans debian :
rsipclient ( nat en userspace ), par exemple.
Un paquet splitté de distcc, avec le moniteur gnome, pour un autre exemple.
Bien sur, j'ai du chercher quelques minutes pour trouver ces exemples, mais ça prouve que ça commence a être rattrapé.
[^] # Re: Mandrake 9.2 (FiveStar) enfin disponible !
Posté par Misc (site web personnel) . En réponse à la dépêche Mandrake 9.2 (FiveStar) enfin disponible !. Évalué à 0.
Je suppose que c'est une 9.2RC2, vu le numéro du kernel...
[^] # Re: Contributeur.. moi je veux bien mais...
Posté par Misc (site web personnel) . En réponse à la dépêche Mandrake 9.2 (FiveStar) enfin disponible !. Évalué à 5.
Déja, ça profite à tout le monde, c'est donc beaucoup mieux, et en plus, ça décharge le mainteneur, qui n'a pas toujours le temps de vérifier le patch, et surtout dans le cas de xfree, de le tester.
( et un accés contributeur ne te donne pas le droit de tripoter xfree à ta sauce... et ne te permet pas non plus d'avoir les patchs sur main plus rapidement, donc pas de regrets )
[^] # Re: Mandrake 9.2 (FiveStar) enfin disponible !
Posté par Misc (site web personnel) . En réponse à la dépêche Mandrake 9.2 (FiveStar) enfin disponible !. Évalué à 2.
Pour la prochaine fois ?
[^] # Re: Mandrake 9.2 est sorti
Posté par Misc (site web personnel) . En réponse au journal Mandrake 9.2 est sorti. Évalué à 1.
Pareil pour koffice.
Perso, j'ai pas eu de problémes avec openoffice.org, et je m'en sert depuis quelques temps deja ( en cooker ).
Le noyau 2.6 est dans les contribs, donc sur les miroirs ftp.
[^] # Re: Affiche BSA
Posté par Misc (site web personnel) . En réponse à la dépêche La BSA organise sa semaine du "Logiciel professionnel". Évalué à 1.
[^] # Re: Affiche BSA
Posté par Misc (site web personnel) . En réponse à la dépêche La BSA organise sa semaine du "Logiciel professionnel". Évalué à 2.
http://lea-linux.org/_src/coupsdebecs/anti-bsa.pdf(...)
http://lea-linux.org/coupsdebecs/#parodiebsa(...)
N'hésitez pas à en coller à _coté_ des affiches de la BSA.
[^] # Re: L'auteur de Snort dément la rumeur d'une backdoor.
Posté par Misc (site web personnel) . En réponse à la dépêche L'auteur de Snort dément la rumeur d'une backdoor.. Évalué à 2.
http://www.uzine.net/article1891.html(...)
[^] # Re: Sortie de Gaim 0.69 et 0.70
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Gaim 0.69 et 0.70. Évalué à 2.
[^] # Re: Après X, voici Y...
Posté par Misc (site web personnel) . En réponse à la dépêche Après X, voici Y.... Évalué à 3.
En gros, ça pourrait aller plus vite, avec un systéme un peu plus haut niveau, qui gererait des caches. Si j'ai faux, pas trop tapé, svp :)
[^] # Re: Sortie de la Knoppix 3.3
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de la Knoppix 3.3. Évalué à 0.
En plus, les statistiques s'accordent avec ton propos, les gens super fort se basent sur leur distro, donc, comme on le voit sur le tableau, on voir que Debian est en tête chez les personnes super génial qui font des distros.
Ah, on me signale dans l'oreillette que c'est RH en tête, et donc que ton argument tombe a l'eau, une équipe de sauvetage va vite le repêcher je l'espére.
[^] # Re: Accès priviligié pour les membres du club Mandrake
Posté par Misc (site web personnel) . En réponse à la dépêche Accès priviligié pour les membres du club Mandrake. Évalué à 2.
Il faut d'abord installer les updates, puis urpmi, puis le reste.
Et rouler jeunesse.
Je détaille aps les commandes, elles sont dispos sur le web ou sur les diverses ML.
[^] # Re: Accès priviligié pour les membres du club Mandrake
Posté par Misc (site web personnel) . En réponse à la dépêche Accès priviligié pour les membres du club Mandrake. Évalué à 5.
[^] # Re: Mauvaise nouvelle : brevets logiciels adoptés
Posté par Misc (site web personnel) . En réponse à la dépêche Directive sur les brevets logiciels adoptée. Évalué à 4.
interopérabilité des systémes, non ?
cf yahoo/reuters :
"Un autre amendement précise que l'utilisation d'une technique brevetée n'est pas considérée comme une contrefaçon si elle est nécessaire pour assurer la communication entre différents systèmes ou réseaux informatiques"
Faut voir le texte exacte, mais, bon je voit pas en quoi ça emmerde plus que les drivers binaires sans les specifications. En tout cas, pas beaucoup plus...
On attends toujours les drivers nvidia 3d libres, alors qu'il y a pas de brevets...
( note, je critique pas le travail des personnes qui veulent faire un driver pour nvidia, je sais que c'est trés dur )
[^] # Re: Revue de Presse - Septembre 2003 (suite)
Posté par Misc (site web personnel) . En réponse à la dépêche Revue de Presse - Septembre 2003 (suite). Évalué à 9.
Exemple, LMF, linux journal, avec des pubs pour RH, pour Suse. Si une étude venait à sortir en expliquant que Linux c'est mieux que windows dans un de ces magazines, personne ne dirait que son impartialité est douteuse.
[^] # Re: Lan party wifi sur Metz
Posté par Misc (site web personnel) . En réponse à la dépêche Lan party wifi sur Metz. Évalué à 2.
# Re: Lan party wifi sur Metz
Posté par Misc (site web personnel) . En réponse à la dépêche Lan party wifi sur Metz. Évalué à 0.
http://linuxfr.org/2003/09/11/13898.html(...)
[^] # Re: Faille sendmail et vulnérabilité OpenSSH
Posté par Misc (site web personnel) . En réponse à la dépêche Faille Sendmail et vulnérabilité OpenSSH. Évalué à 4.
La vrai question est de savoir ce que la libération d'une zone mémoire peut provoquer. Prenons une variable qui serait touché par ce "nettoyage", sous quelle condition peut t'on exploiter ça ?
A part un pointeur à moitié effacé, qui pointerai du coup sur une autre zone, qui serait théoriquement sous le controle du pirate, je voit pas trop. Et, ça ne me semble pas être trés trivial.
Et sauf erreur de ma part, c'est suivi par un appel à fatal, qui se traduit par un message d'erreur et un exit, non ?
Donc, il faut réussir à corrompre la section .dtors ( éxecuté à la fermeture, pour les programmes compilés par gcc ) pour exploiter ça, ou réussir à corrompre l'appel à fatal, ou à exit, ou à une fonction, ce qui me semble donc être plus facile à exploiter par la suite.
Si jamais on arrive justement à corrompre un de ces éléments, alors, la faille est dans la corruption, et pas dans le crash. Car la charge se déclencherai alors lors d'une extinction ( exemple, un upgrade ), ce qui est tout aussi mauvais.
J'ai bon, ou je raconte des conneries ?
J'ai peut être oublié quelque chose dans mon raisonnement.
[^] # Re: Sortie de OpenSSH 3.7.1
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Open SSH 3.7. Évalué à 1.
C'est toujours le meme type de probléme de libération de mémoire qui ne devrais pas être libéré, donc, est ce que tu peut justifier pourquoi ça serait plus exploitable que le précedent ?
Sachant que j'attends toujours l'exploit promis pour le premier...
[^] # Re: Sortie de Open SSH 3.7
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Open SSH 3.7. Évalué à 1.
[^] # Re: Microsoft se pose en victime de pratiques anticoncurrentielles...
Posté par Misc (site web personnel) . En réponse à la dépêche Microsoft se pose en victime de pratiques anticoncurrentielles . Évalué à 1.
Soit microsoft dit que c'est vrai et c'est vrai, soit ils disent que c'est faux et ils mentent, donc c'est vrai.
Même si les actions de microsoft montre que , logiquement, ils ne veulent pas perdre de part de marchés, je ne pense pas que les fuites d'halloween soient vrais. Ça tombe justement au bon moment, pour "aider" les clients a avoir un moyen de pression énorme sur microsoft.
Pas le genre de trucs qui servirait l'opensource, pas le genre d'info que ESR aurait inventé..
[^] # Re: Sortie de Open SSH 3.7
Posté par Misc (site web personnel) . En réponse à la dépêche Sortie de Open SSH 3.7. Évalué à 2.
Autant je comprends le probléme d'un débordement de tampon, autant je ne voit pas l'exploit potentiel ici, à premiere vue. Quelqu'un peut expliquer ?
J'aurais pu penser à un éventuel décalage de la mémoire, mais non, ça marche pas comme ça, la mémoire libére ne descend pas dans la pile, j'ai trop joué a crackattack...
[^] # Re: Interview de Gaël Duval
Posté par Misc (site web personnel) . En réponse à la dépêche Interview de Gaël Duval. Évalué à 2.
Sur slack, ils sont la ou la doc le dit, sur debian/mdk/rh ils sont la ou rpm/dpkg te le dit, c'est pas compliqué à retrouver, faut vraiment le vouloir pour pas si retrouver.
Quand à la qualité même de la config, les developpeurs upstream font souvent leur boulot correctment, et dans tout les cas, ça dispense pas de lire la doc.
[^] # Re: Interview de Gaël Duval
Posté par Misc (site web personnel) . En réponse à la dépêche Interview de Gaël Duval. Évalué à 1.
Il automatise les tests pour voir si ça lance, et il monitore ça via strace ?
Sérieusement, tu peut peut developper, pour les non packageurs ?
[^] # Re: Interview de Gaël Duval
Posté par Misc (site web personnel) . En réponse à la dépêche Interview de Gaël Duval. Évalué à 1.
On arrive trés bien a se debrouiller avec les sources par défaut debian + quelques sites ( mplayer ), et avec plf/contribs pour mdk.
Mais bon globalement, je vous rappelle que des tas de gens se servent de windows, et se débrouille pas trop mal avec un systéme de gestion des mises à jours inexistant, donc se battre pour savoir qui a le mieux, c'est un peu ridicule.
[^] # Re: Interview de Gaël Duval
Posté par Misc (site web personnel) . En réponse à la dépêche Interview de Gaël Duval. Évalué à 1.
rsipclient ( nat en userspace ), par exemple.
Un paquet splitté de distcc, avec le moniteur gnome, pour un autre exemple.
Bien sur, j'ai du chercher quelques minutes pour trouver ces exemples, mais ça prouve que ça commence a être rattrapé.