Benoît Sibaud a écrit 9302 commentaires

La plupart sinon la totalité des points évoqués dans ce fil ont déjà été utilisés sur le site, précédemment et au fil des changements d'outils et d'essais.

Corrigé, merci. (Dîtes passé simple vs dites participe passé)

J'ai hésité à ajouter l'indentation avec des tabulations, mais j'ai supposé que ça génèrerait plus de débat sans, et que l'auteur voulait la même chose. Avec des tabulations de cinq caractères évidemment (et UTF-16 comme il se doit).

SSE3 (2004)
SSSE3 (2006): Supplemental Streaming SIMD Extension 3 (SSSE3), « contient 16 nouvelles instructions par rapport au SSE3 »

Ajoutée, merci.

https://linuxfr.org/posts/nouveau

Sur l'équipe sécurité Debian, présentation à Pass The Salt 2018: https://2018.pass-the-salt.org/files/talks/01-debian-security-team.pdf

Il faut aussi garder en tête que toutes les distributions ne corrigent pas toutes les CVE sur toutes les versions (faute de temps notamment), par exemple les infos Debian/Ubuntu (uniquement parce que je sais les retrouver plus vite que sur les RedHat/CentOS, et j'ai pris openssh au hasard, j'avais fait précédemment l'expérience avec httpd/apache2) :

• Debian https://security-tracker.debian.org/tracker/source-package/openssh

  • 8 jessie oldstable 1:6.7p1-5+deb8u7 (5 CVE non patchées dont deux mineures) // fin support LTS en juin 2020
  • 9 stretch stable 1:7.4p1-10+deb9u6 (1 CVE non patchée mineure) // fin du support normal en juin 2022
  • 10 buster testing 1:7.9p1-9 (1 CVE non patchée mineure) // fin du support normal en juin 2024
  • sid unstable 1:7.9p1-9 (1 CVE non patchée mineure)

• Ubuntu https://people.canonical.com/~ubuntu-security/cve/pkg/openssh.html

  • 12.04 Precise/e 9 CVE non patchées dont 7 mineures) // fin du support en avril 2017
  • 14.04 Trusty 6.6p1-2ubuntu2.13 (0 CVE non patché) // fin du support en avril 2019
  • 16.04 Xenial 1:7.2p2-4ubuntu2.8 (0 CVE non patché) // fin du support en avril 2021
  • 18.04 Bionic 1:7.6p1-4ubuntu0.3 (0 CVE non patché) // fin du support en avril 2028
  • 18.10 Cosmic 1:7.7p1-4ubuntu0.3 (0 CVE non patché) // non LTS, fin du support en avril 2019
  • 19.04 Disco 1:7.9p1-9 (1 CVE en cours de traitement) // non LTS, fin du support en octobre 2019

Episode #190 du podcast sécu NoLimitSecu consacré à la conférence Pass the Salt 2018
https://www.nolimitsecu.fr/pass-the-salt-2018/ (40 min)

Third Party Services: We use Google Cloud Platform.

Mozilla stocke (et rend disponible) des fichiers reçus chiffrés¹ limités en taille² sur Google Cloud. Mozilla les efface au maximum après une durée max^3.

^1: algo 128-bit AES-GCM encryption via the Web Crypto API (Encryption)

^2: taille max < 2,5 Go selon la page d'accueil (Connectez-vous pour envoyer jusqu'à 2,5 Go) ou < 2 Go selon la FAQ (There is a 2GB file size limit built in to Send), sachant que ça bouffe les ressources niveau navigateur forcément

^3: durée max de 24h selon la FAQ (Files are available to be downloaded for 24 hours, after which they are removed from the server) ou 7j suivant la page Legal (By default, files are stored for a maximum of either 24 hours or 7 days.)

La liste des bugs critiques Debian

Corrigé, merci.

Corrigé, merci.

Crédits : Next INpact (licence: CC by SA 3.0)

(l'image ne s'affiche actuellement pas automatiquement sur LinuxFr.org depuis NextINpact en raison d'une absence de Content-Type, cf nxiv6 #179, l'image a été copiée sur Toile-Libre.org)

Plutôt dans l'aide que dans le wiki: Peut-on proposer des offres d'emploi sur le site ?

C'est perdinent.

Corrigé, merci.

Reste à savoir si moinser ou plusser un journal c'est de l'éditorialisation.

Faire les corrections de forme (orthographe, grammaire, rectifier un lien ou améliorer le balisage markdown par exemple) rendre par contre dans l'éditorialisation.

Corrigé, merci.

L'équivalent serait plutôt le shell script qui fait le apt update, le apt installé, la config, le redémarrage du service, etc.

ansible vs shell : le premier amène l'idempotence, est plus facile, le shell c'est piégeux, ansible c'est gestion du parc tandis que ton script va gérer une machine uniquement, ansible est aussi plus haut niveau et fournit une bibliothèque de fonctions, etc.

Le changement Gtk -> Qt par défaut correspond à Wireshark 2.0 (cf le lien dans la dépêche).

$ python
Python 2.7.16 (default, Mar  4 2019, 15:29:09) 
[GCC 8.3.0] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> 🐧=42
  File "<stdin>", line 1
    🐧=42
    ^
SyntaxError: invalid syntax

$ python3
Python 3.7.2+ (default, Feb 27 2019, 15:41:59) 
[GCC 8.2.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> 🐧=42
  File "<stdin>", line 1
    🐧=42
    ^
SyntaxError: invalid character in identifier

$ export 🐧=42
bash: export: « 🐧=42 » : identifiant non valable

$ cat main.c
int main() {
 int 🐧=42;
 return 🐧;
}
$ gcc --version
gcc (Debian 8.3.0-2) 8.3.0
Copyright (C) 2018 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
$ gcc main.c 
main.c: In function ‘main’:
main.c:2:6: error: stray ‘\360’ in program
  int ����=42;
      ^
main.c:2:7: error: stray ‘\237’ in program
  int ����=42;
       ^
main.c:2:8: error: stray ‘\220’ in program
  int ���=42;
        ^
main.c:2:9: error: stray ‘\247’ in program
  int ��=42;
         ^
main.c:2:10: error: expected identifier or ‘(’ before ‘=’ token
  int 🐧=42;
          ^
main.c:3:9: error: stray ‘\360’ in program
  return ����;
         ^
main.c:3:10: error: stray ‘\237’ in program
  return ����;
          ^
main.c:3:11: error: stray ‘\220’ in program
  return ���;
           ^
main.c:3:12: error: stray ‘\247’ in program
  return ��;
            ^
main.c:3:2: warning: ‘return’ with no value, in function returning non-void
  return 🐧;
  ^~~~~~
main.c:1:5: note: declared here
 int main() {
     ^~~~

$ ruby --version
ruby 2.5.3p105 (2018-10-18 revision 65156) [x86_64-linux-gnu]
$ irb
irb(main):001:0> 🐧=42
=> 42
irb(main):002:0> print 🐧
42=> nil

$ cat t.pl 
my $🐧=42;
print $🐧;
$ perl --version

This is perl 5, version 28, subversion 1 (v5.28.1) built for x86_64-linux-gnu-thread-multi
(with 59 registered patches, see perl -V for more detail)
(...)
$ perl t.pl 
Can't use global $� in "my" at t.pl line 1, near "my $�"
Unrecognized character \x9F; marked by <-- HERE after my $�<-- HERE near column 6 at t.pl line 1.

Par nature (analyse de plus de 1500 protocoles et écoute du réseau), Wireshark est souvent concerné par des alertes sécurité.

Sur ce point, le projet fait des tests de fuzzing. D'ailleurs le binaire fuzzshark est arrivé avec la branche 3.0.0 (compilation activée ou désactivée par cmake avec BUILD_fuzzshark). Il s'agit apparemment du remplacement ou de l'intégration dans le code du projet de oss-fuzz (discussion ancienne).

Un selffreakdeFrankenstein plutôt, mais oui.

RAR = Lettre recommandée avec accusé de réception en France

Quelques autres cas de soucis importants (au minimum pour l'image d'un système et de sa sécurité) :

• https://linuxfr.org/users/patrick_g/journaux/intrusion-sur-les-serveurs-fedorared-hat et https://linuxfr.org/users/isnotgood/journaux/enfin-les-d%C3%A9tails-sur-lintrusion-des-serveurs-fedora
• https://linuxfr.org/news/slackware-site-web-pirat%C3%A9-et-explications
• https://linuxfr.org/news/du-nouveau-sur-les-serveurs-debian-compromis
• https://linuxfr.org/users/finss/journaux/des-serveurs-de-freebsd-org-compromis
• https://linuxfr.org/news/linux-mint-a-ete-compromise
• …

Remarque: j'étais évidemment ironique avec les chiffres sur les CVE (d'ailleurs la doc dit explicitement de ne pas le faire. The CVE search was designed to help identify specific vulnerabilities and exposures, and not to find sets of problems that share common attributes such as operating systems. Therefore, you should not search CVE by operating system because your results will be incomplete.)

Si tu en sais plus que moi sur SELinux sous Debian, n’hésite pas à nous éclairer.

https://wiki.debian.org/SELinux

The Debian packaged Linux kernels have SELinux support compiled in, but disabled by default. To enable it, see the Setup Notes.

Il y a encore trop de logiciels demander de désactiver SELinux en première étape ou sans support (comme le code LinuxFr.org par exemple) pour que ça soit généralisable partout. Les autres distributions auraient-elles peur delaisser un tel avantage à RedHat/IBM en se créant une dépendance sur SELinux ? (y a déjà Systemd déjà…)

Côté sécurité, je citerais aussi les efforts https://reproducible-builds.org/who/ (et y a pas CentOS/RedHat dedans).
La responsabilité des grosses failles peut aussi être compliquée (pas trop dans les cas précités pour Debian) : faut-il attribuer les failles Systemd à Red Hat? Ou celles de sudo ou openssh à OpenBSD ?