hehe, j'ai déjà utilisé ce genre de truc pour des connections ssh entrantes:
1/ ne laisse entrer que des clefs dont la partie publique m'a ete envoye par mail (pas de connexion par mot de passe).
2/ dans le command="...", je lance un script qui vérifie la validité de la clef (d'après la date par exemple).
comme ca le type de la maintenance qui doit se connecter le 1 avril, il me donne sa clef publique et avec elle il arrive (par rebond) directement sur le système à maintenir sans connaitre le mot de passe (pas changé assez souvent et plus facile à refiler à un pote), et seulement le jour prévu. la veille ca marche pas, le lendemain ca ne marche plus...
reste a logguer tout ce qu'il fait dans cette connection pour vérifier qu'il se limite a la maintenance prévue.
tu veux une piste ?
essaye 443 (https), tu essaie d'abord avec ton navigateur sur un site de banque, c'est plus discret que nmap :-)).
la plupart des proxy web sont obligé de laisser passer ces requetes, et qui plus est établissent une connexion directe puisque le contenu est de toutes facons chiffré.
chez toi, a grand coup de iptables, tu redirige le port tcp/443 vers tcp/22 (comme ca ton daemon ssh tourne aussi sur le port traditionnel 22), et tu passe a travers le proxy web avec un script perl tout bete (je n'ai pas encore lu l'article j'y vais de suite pour voir ce qu'ils font).
Certes il ne faut pas minimiser l'impact de cette faille ... mais:
elle depend d'un débordement de buffer sur les noms de chemin. Pour l'activer, il faut quand meme créer en local (peut etre sur un drive reseau aussi) une arborescence de fou.
la faille c'est que le noyau, au lieu de renvoyer une erreur, renvoie la taille de son buffer (trop petit) et donc renvoie un chemin tronqué.
A priori ce sera difficile a exploiter a distance, puisqu'il faut avoir le droit de creer des repertoires imbriqués sur la machine.
Cela ne signifie pas que c'est impossible si vous hebergez un serveur FTP avec droit en écriture par exemple.(encore que la création de repertoires imbriqués n'est pas conseillée sur les serveurs FTP).
Il etait une fois un berger et ses moutons au bord de la route.
Tout d'un coup, surgit une Jeep Cherokee flambant neuve, conduite par un jeune homme en chemise Hugo Boss, pantalon YSL, baskets Nike, etc.
La voiture s'arrete et le jeune homme s'adresse au berger :
- Si je devine combien de moutons vous avez, vous m'en donnez un ?
Le berger regarde le jeune homme, regarde les moutons qui broutent et accepte.
Le jeune homme gare la voiture, branche le notebook et le GSM, entre dans un site de la NASA, scrute le terrain a l'aide du GPS, etabli une base de donnees, 60 tableaux Excel pleins d'algorithmes et d'exponentielles, plus un rapport de 150 pages imprime sur sa mini imprimante HIGH-TECH.
Il se tourne vers le berger et dit :
- Vous avez ici 1586 moutons.
- C'est tout a fait correct, vous pouvez avoir votre mouton.
Le jeune homme prend le mouton et le met dans le coffre de la jeep.
A ce moment la, le berger lui demande :
- Si je devine votre profession, vous me rendez mon mouton ?
- Oui.
Le berger dit tout de suite :
- Vous etes consultant
- Comment vous avez devine ?
- Tres facile, repond le berger :
1) Vous etes venu ici sans qu'on vous appelle.
2) Vous me taxez un mouton pour me dire ce que je savais deja..
3) Et vous ne comprenez rien a ce que je fais, parce que vous avez pris mon chien !
Parce que tu crois que les entreprises change leurs equipements informatique tous les 3 ans depuis que l'amortissement se fait sur 3 ans ????
laisse moi rigoler. Je vois des pentium 166 de partout dans les grosse boites. Les postes clients sont changés "relativement" souvent (mais pas tous les 3 ans), et ils deviennent plus rapides que les serveurs. Les equipements reseaux ne sont changés que lorsqu'ils cassent ... quand au cablage c'est encore pire.
alors poser de la fibre aujourd'hui c'est forcement un "surequipement" si on a besoin de 10Mbits, mais c'est fait pour durer.
Bref amortir sur 3 ans c'est un probleme de compta, pas de gestion de parc.
Honnetement, puisqu'on en reparle, il n'est pas le seul a se poser des questions sur le logo.
Ce logo est amusant. le rapport avec les LL est vraiment ... difficile a voir. On reconnait a peine Tux avec son masque, et le plus gros de l'image c'est quand meme une femme qui prends un bain. rapport avec linux, les LL ???
En entreprise, quand le big boss passe dans le bureau, je prefererai un logo plus "hacker" ou "geek" que celui la.
Ce logo ne fait pas site oueb tres serieux. Quand le chef passe, de faire croire que ca a un rapport avec le taf !!
Je comprends que dans certaines boites ou a l'ecole ce ne soit pas un probleme... mais il faut penser a tous, donc peut etre prevoir dans les themes le choix d'un logo plus ... neutre !
je serais très heureux de pouvoir récupérer un DIVX des autres reportages.
Moi aussi !!
J'ai pu telecharger les DivX du reportage sur linux... mais il manque les autres reportages de la soirée "rebelles du net".
De plus je trouve la grille de programme Arte sur le net tres mal faite sur un point: quand on clique sur la fiche d'un reportage, on ne trouve que la date de la premiere diffusion, pas de reference aux eventuelles autres programmations ...il faut donc lire le programme toutes les semaines pour voir si ca repasse !!
ARTE si vous lisez liuxfr, reprogrammez les reportages "rebelles du net" svp, meme a une heure pas possible (4h du mat ?)
Ou alors si quelqu'un a enregistre ca en VHS ou DV, je veux bien produire un divX du bidule si il me prete sa k7.
Moi je rouspete souvent apres RedHat (mais les autres c'est pareil) qui mettent des dependance telles que tu ne peux pas installer un client X sans avoir le serveur.
par exemple je veux mettre fwbuilder, ou meme juste un xload sur un serveur qui ne possede pas de serveur X11. C'est tres utile, il suffit de se logguer en ssh dessus, ssh exporte le display automatiquement et je peux faire tourner le client X11 et afficher sur le serveur X de mon portable.
la seule méthode "propre" que j'ai trouvé c'est de piquer les libs X11 et le binaire sur une autre machine et de la copier sur le serveur.
Sous redhat (mais les autres c'est pareil), pour installer les libs X11 il faut installer le serveur. Pour installer un client (xclock par exemple), il faut avoir les libs ET le serveur. Enfin pour l'export display il faut xauth (un client X11) qui ne s'installe pas sans serveur ...
Bref ces dependances c'est un vrai plat de nouilles. Sans parler des packages utilent pour Gnome (SDL par exemple) qui dependent aussi de truc KDE. soit c'est --nodeps, soit il faut tout installer.
Donc je résume: vous n'utilisez jamais --nodeps. Tant mieux pour vous, mais je présume que c'est parceque vous ne regardez pas trop ce qui est installé sur votre machine. faites un "rpm -qa" et posez vous la question pour chaque package: "a quoi ca sert, en ai-je besoin". Je fait cela systematiquement sur mes machines DE PROD, et ca fout la trouille.
il y a trop de distrib differentes qui utilisent le systeme RPM ?
ou alors les utilisateurs sont trop con pour n'installer que des RPM destinés a leur distrib ??
[si pas dispo, telecharger le rpm source et faire un rpm -ba package n'est pas difficile quand meme !!]
<Humour>
Ah, si seulement RedHat avait release RPM en closed source, les autres distrib ne s'en seraient pas servies et tout le monde serait heureux car en telechargeant un RPM on serait sur qu'il a été fait pour RedHat.
</Humour>
tu recupere la liste des users avec le login graphique.
rien ne t'empeche d'utiliser pop/imap/telnet/ssh/rsh/rlogin/...
pour faire ton attaque brute-force et valider les mots de passe.
voir de profiter d'un cgi a la con ou d'un mot de passe dans squid, .. bref ca laisse des possibilitées.
(meme si je trouve l'annonce un peu dramatisante, ce probleme en lui seul n'en est pas vraiment un).
Rappelons aussi que beaucoup d'"admin" Unix installent X11 sur toutes les machines pour mouvoir lancer linuxconf/smit/... en mode graphique.
Ils n'ont pas encore capté que
1/ c'est dangereux
2/ c'est inutile (on peut installer un client smit graphique et exporter le DISPLAY sans avoir le serveur X sur le serveur !!)
donc X11 lourd, gourmand, inutile et buggé jusqu'a etre dangereux tourne sur beaucoup de serveurs en DMZ ... ARG!!
Humm, désolé mais apparemment tu ne sais pas lire.
je quote la meme phrase que toi: "On many systems, freeing the same memory twice will crash the application"
il y est expliqué les différentes implémentations de malloc/free et quels systèmes les utilises.
il y est aussi expliqué comment en profiter pour lancer un shell sous linux et hurd.
Je cite quelques extraits de l'article (long et tres technique, pas la peine de poster ici):
There are only a few common malloc implementations. The most common ones
are the System V one, implemented by AT&T, the GNU C Library implementation
and the malloc-similar interface of the Microsoft operating systems
(RtlHeap*).
Here is a table of algorithms and which operating systems use them:
Algorithm | Operating System
------------------------+--------------------------------------------------
BSD kingsley | 4.4BSD, AIX (compatibility), Ultrix
BSD phk | BSDI, FreeBSD, OpenBSD
GNU Lib C (Doug Lea) | Hurd, Linux
System V AT&T | Solaris, IRIX
Yorktown | AIX (default)
RtlHeap* | Microsoft Windows *
------------------------+--------------------------------------------------
<snip>
ell, however, exploitation is pretty straight forward now:
si la faille n'est pas exploitable, ce n'est plus un probleme de sécurité mais simplement un BUG.
Chez microsoft, on ne corrige pas les bugs a la volée cela n'est plus a démontrer.
Vu l'ampleur du probleme (zlib est utilisée de partout), il y a des TONNES de logiciels a corriger. Je trouve donc OPTIMAL de vérifier d'abord a quoi cela expose les clients avant de faire des release de patchs a gogo.
Si l'implementation de free() sur windows ne fait rien quand on l'appelle une seconde fois pour le meme segment de mémoire, il y a un bug dans l'algo de zlib qui n'est pas une faille, ni un probleme pour l'utilisateur (puisque ne crash pas le logiciel non plus). Si c'est le cas, je ne comprendrais pas que tout le monde fasse des release de patch pour un bug qui est pour le moins 'virtuel'.
Par contre il est vrai qu'un peu plus de certitude sur le diagnostique du cote windows ne ferai pas de mal.
le bug dans la zlib est un double free. Ce genre de bug peu avoir des effets completement differents selon l'implementation de malloc/free dans le système.
Linux est completement vulnerable, le double free peu mener a un bel exploit, mais windows utilise une implementation de gestion mémoire assez différente (pour notre plus grand bonheur vu les perfs :-).
Il se pourrait bien que free() chez eux s'appercoive que la zone est déjà dé-allouée et ne fasse rien par exemple. Pour le moment l'article Cnet dit qu'ils verifient si c'est un probleme chez eux. D'après ce que j'ai lu sur bugtrack, il a des chances que sous windows ce genre de bug soit juste un bug de plus et pas un trou de sécurité ...
Que ceux qui ont des preuves avancent, que les autres attendent d'en savoir plus, mais de grace restons calmes avant de devenir ridicules.
qui n a aucune tolérance envers les erreurs de code html (ce qui veut dire que plein de sites ne s affichent pas normalement)
hummm ... que veut dire s'afficher normalement ??
moi je trouve pas forcement normal d'interpreter les erreurs et de les corriger a la volée. C'est une interpretation de la norme pas forcement standard. Comme d'habitude, on corrige le probleme avec une rustine au lieu de l'attaquer a la source (la page pas standard). Et comme d'habitude, ca a des consequences ailleurs: ca pousse les auteurs HTML a travailler comme des gorets :-)
En fait la norme n'est pas complete. Elle devrait inclure le message d'insulte a produire obligatoirement si la page est pourrie.
Effectivement, y en un 1 qui suit :-)
Ma remarque n'etait pas motivée par le bug en question uniquement (en fait le bug porte sur un masque qui a "oublie" de fixer l'IP destination).
Il faudrait ameliorer les modules conntrack pour decortiquer les protocoles qui passent dans le port ouvert. Si j'autorise le DCC irc, y a pas de raison de laisser passer du SSL natif (bon ok, avec une machine complice a l'exterieur, tout est toujours possible, par exemple encapsuler le SSL dans des faux fichiers qui passent en vrai DCC).
Bref la securite c'est pas simple quand les utilisateurs veulent avoir accès a tout un tas de protocoles.
Si j'avais du temps, je me pencherai bien sur la validation des protocoles. Il faudrait pouvoir dire: j'ai autorisé le port 80, si c'est autre chose que de l'HTTP couic on ferme.
d'ailleur cela devrait etre en userland a brancher sur le module iptables qui demande la validation a un process userland ....
humm, c'est un peu simpliste ton histoire.
On peux se servir de cette faille pour "s'échapper" d'un firewall.
Par exemple imaginons que je veuille faire du napster. sympa mais personne ne peux se connecter sur ma machine parceque ce p...n d'admin qui fait le malin avec son linux a mis un firewall debian fait a la main.
comme il a laissé le module conntrack_irc, je vais fabriquer un paquet irc spécial qui va demander au firewall de laisser entrer le port qui va bien pour toutes les machines internes et toute la boite pourra faire partie du reseau napster ...
meme chose avec le port 80, 25, 21 ... voir 23 tien, pourquoi je laisserai pas mon poste carrement ouvert a l'exterieur en telnet ??
d'ailleur, je vais meme ecrire un proxy socks qui tire parti de cette faille pour que tout le monde puisse faire tout ce qu'il veut en passant par mon proxy. NA.
Bon de toutes manieres, laisser irc sur un firewall avec un vrai LAN derriere ... c'est le résultat de politiques comme "notre interface reflechit pour vous, pas besoin d'etre admin pour ca", en clair ca ne devrait pas exister sous linux d'ailleur cette faille n'a pas fait de bruit...
les bench ne sont valables que dans les memes conditions que celles de leur réalisation.
en clair, ce que disent les bench est faux chez toi.
pour les db, en changeant de requettes, de bases, de hardware, de reseau .... tu donnes l'avantage a l'un ou a l'autre.
donc a moins d'utiliser les memes requetes sur les memes données et avec le meme materiel sur le meme reseau, ce résultat est simplement "indicatif" et non reproductible chez toi.
maintenant, une difference de x18 ou x22, ca merite quand meme explication ... il y a forcement un loup soit dans la méthode soit un bug dans .Net qu'oracle c'est dépeché de mettre a profit :-)
(quand on voit le bench réalisé par MS, on se dit qu'il faut vraiment pas prendre les resultats de bench au pied de la lettre).
Tout ce que j'ai lu comme systeme 802.11b sur 15km se basait sur des antennes directionnelle. Cela signifie qu'il faudrait "viser" très précisement le bus. quasiement impossible si il n'est pas garé exactement a la meme place tous les jours, ou si l'antenne a l'interieur du bus n'est pas fixée non plus.
Bref je ne pense pas que ce soit la bonne solution.
il y a la solution "kit de refroidissement liquide" comme sur les mobilettes (vu dans la news d'hier sur le nouvel AMD).
sinon, mon firewall est planqué dans un placard (dans la salle de bain - je sais c'est pas le meilleur endroit mais apres 2 ans je pense que ca va tenir !!). Je l'ai bricolé pour qu'il fasse moins de bruit:
-pas besoin d'un athlon a 1Ghz )=> un pentium sans ventilo sur le cpu suffit.
-j'ai remplacé le ventilo de l'alim d'origine par un ventilo avec roulements pris sur un vieux PC serveur. Ce ventilo fait du bruit quand il tourne normalement, mais une fois branché en 5V au lieu de 12V, il ne fait plus de bruit du tout et son diametre propulse quand meme pas mal d'air.
pour le switch qui fait du bruit, j'ai décidé que les ventilo ne servaient a rien dans un switch et je les ai tout simplement débranché ... il y a 18mois. apparement j'avais raison.
A la limite, le plus simple ce serait de prendre un vieux portable pentium pour faire un firewall.
peu de bruit, peu de place, port pcmcia deja inclu pour le 802.11 ... a voir
Pourtant de mon cote je me suis laisse seduire par la publicite de ESR sur cml2. Ca a l'air bien son truc, sur le papier tout du moins, je ne l'ai pas testé.
Je pense qu'il faudra bien l'integrer un jour ...
ce serai dommage de jeter ce travail si il est pas mal fait. Il devra surement le scinder en petits patchs ou alors Linus va finalement accepter (sur le 2.5 c'est quand meme pas trop risque surtout que c'est le debut du 2.5).
Il y avait le meme probleme pour les patchs pcmcia, ou meme usb il me semble. soit ils ont ete integre petit a petit (scindés donc), soit Linus a cracké a force d'arguments (mais avec la promesse du mainteneur que l'on ne l'y reprendrait plus).
# hehe
Posté par PLuG . En réponse à la dépêche Connexion au travers d'une passerelle. Évalué à 10.
1/ ne laisse entrer que des clefs dont la partie publique m'a ete envoye par mail (pas de connexion par mot de passe).
2/ dans le command="...", je lance un script qui vérifie la validité de la clef (d'après la date par exemple).
comme ca le type de la maintenance qui doit se connecter le 1 avril, il me donne sa clef publique et avec elle il arrive (par rebond) directement sur le système à maintenir sans connaitre le mot de passe (pas changé assez souvent et plus facile à refiler à un pote), et seulement le jour prévu. la veille ca marche pas, le lendemain ca ne marche plus...
reste a logguer tout ce qu'il fait dans cette connection pour vérifier qu'il se limite a la maintenance prévue.
[^] # Re: Il faut un accès sur la gateway !
Posté par PLuG . En réponse à la dépêche Connexion au travers d'une passerelle. Évalué à 10.
http://ssh.inet-one.com/dir.1999-05/msg00011.html(...)
[^] # Re: Il faut un accès sur la gateway !
Posté par PLuG . En réponse à la dépêche Connexion au travers d'une passerelle. Évalué à 10.
essaye 443 (https), tu essaie d'abord avec ton navigateur sur un site de banque, c'est plus discret que nmap :-)).
la plupart des proxy web sont obligé de laisser passer ces requetes, et qui plus est établissent une connexion directe puisque le contenu est de toutes facons chiffré.
chez toi, a grand coup de iptables, tu redirige le port tcp/443 vers tcp/22 (comme ca ton daemon ssh tourne aussi sur le port traditionnel 22), et tu passe a travers le proxy web avec un script perl tout bete (je n'ai pas encore lu l'article j'y vais de suite pour voir ce qu'ils font).
[^] # Re: Mettre à jour...
Posté par PLuG . En réponse à la dépêche Faille de sécurité dans les noyaux Linux. Évalué à 9.
elle depend d'un débordement de buffer sur les noms de chemin. Pour l'activer, il faut quand meme créer en local (peut etre sur un drive reseau aussi) une arborescence de fou.
la faille c'est que le noyau, au lieu de renvoyer une erreur, renvoie la taille de son buffer (trop petit) et donc renvoie un chemin tronqué.
A priori ce sera difficile a exploiter a distance, puisqu'il faut avoir le droit de creer des repertoires imbriqués sur la machine.
Cela ne signifie pas que c'est impossible si vous hebergez un serveur FTP avec droit en écriture par exemple.(encore que la création de repertoires imbriqués n'est pas conseillée sur les serveurs FTP).
[^] # Re: Gartner = troll??
Posté par PLuG . En réponse à la dépêche 20% de dépenses inutiles en infrastructures. Évalué à 10.
Il etait une fois un berger et ses moutons au bord de la route.
Tout d'un coup, surgit une Jeep Cherokee flambant neuve, conduite par un jeune homme en chemise Hugo Boss, pantalon YSL, baskets Nike, etc.
La voiture s'arrete et le jeune homme s'adresse au berger :
- Si je devine combien de moutons vous avez, vous m'en donnez un ?
Le berger regarde le jeune homme, regarde les moutons qui broutent et accepte.
Le jeune homme gare la voiture, branche le notebook et le GSM, entre dans un site de la NASA, scrute le terrain a l'aide du GPS, etabli une base de donnees, 60 tableaux Excel pleins d'algorithmes et d'exponentielles, plus un rapport de 150 pages imprime sur sa mini imprimante HIGH-TECH.
Il se tourne vers le berger et dit :
- Vous avez ici 1586 moutons.
- C'est tout a fait correct, vous pouvez avoir votre mouton.
Le jeune homme prend le mouton et le met dans le coffre de la jeep.
A ce moment la, le berger lui demande :
- Si je devine votre profession, vous me rendez mon mouton ?
- Oui.
Le berger dit tout de suite :
- Vous etes consultant
- Comment vous avez devine ?
- Tres facile, repond le berger :
1) Vous etes venu ici sans qu'on vous appelle.
2) Vous me taxez un mouton pour me dire ce que je savais deja..
3) Et vous ne comprenez rien a ce que je fais, parce que vous avez pris mon chien !
[^] # Re: Un miroir partiel en Belgique
Posté par PLuG . En réponse à la dépêche Rediffusion émission Arte : Nom de code Linux. Évalué à -1.
[^] # Re: oui, mais comment les connaitre avant.
Posté par PLuG . En réponse à la dépêche 20% de dépenses inutiles en infrastructures. Évalué à 10.
laisse moi rigoler. Je vois des pentium 166 de partout dans les grosse boites. Les postes clients sont changés "relativement" souvent (mais pas tous les 3 ans), et ils deviennent plus rapides que les serveurs. Les equipements reseaux ne sont changés que lorsqu'ils cassent ... quand au cablage c'est encore pire.
alors poser de la fibre aujourd'hui c'est forcement un "surequipement" si on a besoin de 10Mbits, mais c'est fait pour durer.
Bref amortir sur 3 ans c'est un probleme de compta, pas de gestion de parc.
[^] # Re: Un nouveau logo ? (Encore lui ?) ;)
Posté par PLuG . En réponse à la dépêche Mise à jour LinuxFr. Évalué à 0.
Ce logo est amusant. le rapport avec les LL est vraiment ... difficile a voir. On reconnait a peine Tux avec son masque, et le plus gros de l'image c'est quand meme une femme qui prends un bain. rapport avec linux, les LL ???
En entreprise, quand le big boss passe dans le bureau, je prefererai un logo plus "hacker" ou "geek" que celui la.
Ce logo ne fait pas site oueb tres serieux. Quand le chef passe, de faire croire que ca a un rapport avec le taf !!
Je comprends que dans certaines boites ou a l'ecole ce ne soit pas un probleme... mais il faut penser a tous, donc peut etre prevoir dans les themes le choix d'un logo plus ... neutre !
[^] # Re: Un miroir partiel en Belgique
Posté par PLuG . En réponse à la dépêche Rediffusion émission Arte : Nom de code Linux. Évalué à -1.
Moi aussi !!
J'ai pu telecharger les DivX du reportage sur linux... mais il manque les autres reportages de la soirée "rebelles du net".
De plus je trouve la grille de programme Arte sur le net tres mal faite sur un point: quand on clique sur la fiche d'un reportage, on ne trouve que la date de la premiere diffusion, pas de reference aux eventuelles autres programmations ...il faut donc lire le programme toutes les semaines pour voir si ca repasse !!
ARTE si vous lisez liuxfr, reprogrammez les reportages "rebelles du net" svp, meme a une heure pas possible (4h du mat ?)
Ou alors si quelqu'un a enregistre ca en VHS ou DV, je veux bien produire un divX du bidule si il me prete sa k7.
P'tet qu'on devrait simplement écrire à ARTE ??
[^] # Re: nécessaire mais pas suffisant
Posté par PLuG . En réponse à la dépêche Introduction à urpmi. Évalué à 10.
Moi je rouspete souvent apres RedHat (mais les autres c'est pareil) qui mettent des dependance telles que tu ne peux pas installer un client X sans avoir le serveur.
par exemple je veux mettre fwbuilder, ou meme juste un xload sur un serveur qui ne possede pas de serveur X11. C'est tres utile, il suffit de se logguer en ssh dessus, ssh exporte le display automatiquement et je peux faire tourner le client X11 et afficher sur le serveur X de mon portable.
la seule méthode "propre" que j'ai trouvé c'est de piquer les libs X11 et le binaire sur une autre machine et de la copier sur le serveur.
Sous redhat (mais les autres c'est pareil), pour installer les libs X11 il faut installer le serveur. Pour installer un client (xclock par exemple), il faut avoir les libs ET le serveur. Enfin pour l'export display il faut xauth (un client X11) qui ne s'installe pas sans serveur ...
Bref ces dependances c'est un vrai plat de nouilles. Sans parler des packages utilent pour Gnome (SDL par exemple) qui dependent aussi de truc KDE. soit c'est --nodeps, soit il faut tout installer.
Donc je résume: vous n'utilisez jamais --nodeps. Tant mieux pour vous, mais je présume que c'est parceque vous ne regardez pas trop ce qui est installé sur votre machine. faites un "rpm -qa" et posez vous la question pour chaque package: "a quoi ca sert, en ai-je besoin". Je fait cela systematiquement sur mes machines DE PROD, et ca fout la trouille.
[^] # Re: nécessaire mais pas suffisant
Posté par PLuG . En réponse à la dépêche Introduction à urpmi. Évalué à 3.
il y a trop de distrib differentes qui utilisent le systeme RPM ?
ou alors les utilisateurs sont trop con pour n'installer que des RPM destinés a leur distrib ??
[si pas dispo, telecharger le rpm source et faire un rpm -ba package n'est pas difficile quand meme !!]
<Humour>
Ah, si seulement RedHat avait release RPM en closed source, les autres distrib ne s'en seraient pas servies et tout le monde serait heureux car en telechargeant un RPM on serait sur qu'il a été fait pour RedHat.
</Humour>
[^] # Re: login screen?
Posté par PLuG . En réponse à la dépêche Faille importante sous UNIX. Évalué à 2.
rien ne t'empeche d'utiliser pop/imap/telnet/ssh/rsh/rlogin/...
pour faire ton attaque brute-force et valider les mots de passe.
voir de profiter d'un cgi a la con ou d'un mot de passe dans squid, .. bref ca laisse des possibilitées.
(meme si je trouve l'annonce un peu dramatisante, ce probleme en lui seul n'en est pas vraiment un).
[^] # Re: faut dire...
Posté par PLuG . En réponse à la dépêche Faille importante sous UNIX. Évalué à 7.
Ils n'ont pas encore capté que
1/ c'est dangereux
2/ c'est inutile (on peut installer un client smit graphique et exporter le DISPLAY sans avoir le serveur X sur le serveur !!)
donc X11 lourd, gourmand, inutile et buggé jusqu'a etre dangereux tourne sur beaucoup de serveurs en DMZ ... ARG!!
(alors de la a laisser XDMCP en plus ...)
[^] # Re: Verifions mieux BIS ;-)
Posté par PLuG . En réponse à la dépêche Le bug de Zlib touche aussi des produits Microsoft. Évalué à 6.
je quote la meme phrase que toi:
"On many systems, freeing the same memory twice will crash the application"
comme vous insistez cette fois je vais argumenter avec une URL sur cet exellent article de phrack:
http://www.phrack.org/phrack/57/p57-0x09(...)
il y est expliqué les différentes implémentations de malloc/free et quels systèmes les utilises.
il y est aussi expliqué comment en profiter pour lancer un shell sous linux et hurd.
Je cite quelques extraits de l'article (long et tres technique, pas la peine de poster ici):
There are only a few common malloc implementations. The most common ones
are the System V one, implemented by AT&T, the GNU C Library implementation
and the malloc-similar interface of the Microsoft operating systems
(RtlHeap*).
Here is a table of algorithms and which operating systems use them:
Algorithm | Operating System
------------------------+--------------------------------------------------
BSD kingsley | 4.4BSD, AIX (compatibility), Ultrix
BSD phk | BSDI, FreeBSD, OpenBSD
GNU Lib C (Doug Lea) | Hurd, Linux
System V AT&T | Solaris, IRIX
Yorktown | AIX (default)
RtlHeap* | Microsoft Windows *
------------------------+--------------------------------------------------
<snip>
ell, however, exploitation is pretty straight forward now:
<jmp-ahead, 2> <6> <4 bogus> <nop> <shellcode> |
\xff\xff\xff\xfc \xff\xff\xff\xfc <retloc - 12> <retaddr>
CQFD
[^] # Re: Verifions mieux BIS ;-)
Posté par PLuG . En réponse à la dépêche Le bug de Zlib touche aussi des produits Microsoft. Évalué à 10.
Chez microsoft, on ne corrige pas les bugs a la volée cela n'est plus a démontrer.
Vu l'ampleur du probleme (zlib est utilisée de partout), il y a des TONNES de logiciels a corriger. Je trouve donc OPTIMAL de vérifier d'abord a quoi cela expose les clients avant de faire des release de patchs a gogo.
Si l'implementation de free() sur windows ne fait rien quand on l'appelle une seconde fois pour le meme segment de mémoire, il y a un bug dans l'algo de zlib qui n'est pas une faille, ni un probleme pour l'utilisateur (puisque ne crash pas le logiciel non plus). Si c'est le cas, je ne comprendrais pas que tout le monde fasse des release de patch pour un bug qui est pour le moins 'virtuel'.
Par contre il est vrai qu'un peu plus de certitude sur le diagnostique du cote windows ne ferai pas de mal.
# Verifions mieux BIS ;-)
Posté par PLuG . En réponse à la dépêche Le bug de Zlib touche aussi des produits Microsoft. Évalué à 10.
le bug dans la zlib est un double free. Ce genre de bug peu avoir des effets completement differents selon l'implementation de malloc/free dans le système.
Linux est completement vulnerable, le double free peu mener a un bel exploit, mais windows utilise une implementation de gestion mémoire assez différente (pour notre plus grand bonheur vu les perfs :-).
Il se pourrait bien que free() chez eux s'appercoive que la zone est déjà dé-allouée et ne fasse rien par exemple. Pour le moment l'article Cnet dit qu'ils verifient si c'est un probleme chez eux. D'après ce que j'ai lu sur bugtrack, il a des chances que sous windows ce genre de bug soit juste un bug de plus et pas un trou de sécurité ...
Que ceux qui ont des preuves avancent, que les autres attendent d'en savoir plus, mais de grace restons calmes avant de devenir ridicules.
[^] # Re: Parade
Posté par PLuG . En réponse à la dépêche TEMPEST, version optique. Évalué à 10.
chez moi cette frequence est independant de celle du cpu.
mais j'ai peut-etre pas le meme écran que toi :-)
[^] # Re: C est moche ce que tu dis en mode aigri ;))
Posté par PLuG . En réponse à la dépêche Les raisons du déclin de Netscape. Évalué à 10.
hummm ... que veut dire s'afficher normalement ??
moi je trouve pas forcement normal d'interpreter les erreurs et de les corriger a la volée. C'est une interpretation de la norme pas forcement standard. Comme d'habitude, on corrige le probleme avec une rustine au lieu de l'attaquer a la source (la page pas standard). Et comme d'habitude, ca a des consequences ailleurs: ca pousse les auteurs HTML a travailler comme des gorets :-)
En fait la norme n'est pas complete. Elle devrait inclure le message d'insulte a produire obligatoirement si la page est pourrie.
[^] # Re: Use the source, Luke !
Posté par PLuG . En réponse à la dépêche Trou de sécurité dans Netfilter. Évalué à 1.
Ma remarque n'etait pas motivée par le bug en question uniquement (en fait le bug porte sur un masque qui a "oublie" de fixer l'IP destination).
Il faudrait ameliorer les modules conntrack pour decortiquer les protocoles qui passent dans le port ouvert. Si j'autorise le DCC irc, y a pas de raison de laisser passer du SSL natif (bon ok, avec une machine complice a l'exterieur, tout est toujours possible, par exemple encapsuler le SSL dans des faux fichiers qui passent en vrai DCC).
Bref la securite c'est pas simple quand les utilisateurs veulent avoir accès a tout un tas de protocoles.
Si j'avais du temps, je me pencherai bien sur la validation des protocoles. Il faudrait pouvoir dire: j'ai autorisé le port 80, si c'est autre chose que de l'HTTP couic on ferme.
d'ailleur cela devrait etre en userland a brancher sur le module iptables qui demande la validation a un process userland ....
faut murir le projet :-)
[^] # Re: Précisions sur la faille
Posté par PLuG . En réponse à la dépêche Trou de sécurité dans Netfilter. Évalué à 10.
On peux se servir de cette faille pour "s'échapper" d'un firewall.
Par exemple imaginons que je veuille faire du napster. sympa mais personne ne peux se connecter sur ma machine parceque ce p...n d'admin qui fait le malin avec son linux a mis un firewall debian fait a la main.
comme il a laissé le module conntrack_irc, je vais fabriquer un paquet irc spécial qui va demander au firewall de laisser entrer le port qui va bien pour toutes les machines internes et toute la boite pourra faire partie du reseau napster ...
meme chose avec le port 80, 25, 21 ... voir 23 tien, pourquoi je laisserai pas mon poste carrement ouvert a l'exterieur en telnet ??
d'ailleur, je vais meme ecrire un proxy socks qui tire parti de cette faille pour que tout le monde puisse faire tout ce qu'il veut en passant par mon proxy. NA.
Bon de toutes manieres, laisser irc sur un firewall avec un vrai LAN derriere ... c'est le résultat de politiques comme "notre interface reflechit pour vous, pas besoin d'etre admin pour ca", en clair ca ne devrait pas exister sous linux d'ailleur cette faille n'a pas fait de bruit...
[^] # Re: Merci pour l info;) En résumé
Posté par PLuG . En réponse à la dépêche Trou de sécurité dans Netfilter. Évalué à 2.
faudrait se tenir plus au courant :-))
-1 ca fait pas avancer le schmilblick
[^] # Re: Forward...
Posté par PLuG . En réponse à la dépêche Oracle Pet Store vs. .NET Pet Store. Évalué à 10.
les bench ne sont valables que dans les memes conditions que celles de leur réalisation.
en clair, ce que disent les bench est faux chez toi.
pour les db, en changeant de requettes, de bases, de hardware, de reseau .... tu donnes l'avantage a l'un ou a l'autre.
donc a moins d'utiliser les memes requetes sur les memes données et avec le meme materiel sur le meme reseau, ce résultat est simplement "indicatif" et non reproductible chez toi.
maintenant, une difference de x18 ou x22, ca merite quand meme explication ... il y a forcement un loup soit dans la méthode soit un bug dans .Net qu'oracle c'est dépeché de mettre a profit :-)
(quand on voit le bench réalisé par MS, on se dit qu'il faut vraiment pas prendre les resultats de bench au pied de la lettre).
[^] # Re: Au sujet du wireless...
Posté par PLuG . En réponse à la dépêche Le wireless sous Linux pour tous. Évalué à 4.
Tout ce que j'ai lu comme systeme 802.11b sur 15km se basait sur des antennes directionnelle. Cela signifie qu'il faudrait "viser" très précisement le bus. quasiement impossible si il n'est pas garé exactement a la meme place tous les jours, ou si l'antenne a l'interieur du bus n'est pas fixée non plus.
Bref je ne pense pas que ce soit la bonne solution.
[^] # Re: AP
Posté par PLuG . En réponse à la dépêche Le wireless sous Linux pour tous. Évalué à 8.
sinon, mon firewall est planqué dans un placard (dans la salle de bain - je sais c'est pas le meilleur endroit mais apres 2 ans je pense que ca va tenir !!). Je l'ai bricolé pour qu'il fasse moins de bruit:
-pas besoin d'un athlon a 1Ghz )=> un pentium sans ventilo sur le cpu suffit.
-j'ai remplacé le ventilo de l'alim d'origine par un ventilo avec roulements pris sur un vieux PC serveur. Ce ventilo fait du bruit quand il tourne normalement, mais une fois branché en 5V au lieu de 12V, il ne fait plus de bruit du tout et son diametre propulse quand meme pas mal d'air.
pour le switch qui fait du bruit, j'ai décidé que les ventilo ne servaient a rien dans un switch et je les ai tout simplement débranché ... il y a 18mois. apparement j'avais raison.
A la limite, le plus simple ce serait de prendre un vieux portable pentium pour faire un firewall.
peu de bruit, peu de place, port pcmcia deja inclu pour le 802.11 ... a voir
[^] # Re: plus d'info
Posté par PLuG . En réponse à la dépêche La crise des patchs du noyau. Évalué à 10.
Pourtant de mon cote je me suis laisse seduire par la publicite de ESR sur cml2. Ca a l'air bien son truc, sur le papier tout du moins, je ne l'ai pas testé.
Je pense qu'il faudra bien l'integrer un jour ...
ce serai dommage de jeter ce travail si il est pas mal fait. Il devra surement le scinder en petits patchs ou alors Linus va finalement accepter (sur le 2.5 c'est quand meme pas trop risque surtout que c'est le debut du 2.5).
Il y avait le meme probleme pour les patchs pcmcia, ou meme usb il me semble. soit ils ont ete integre petit a petit (scindés donc), soit Linus a cracké a force d'arguments (mais avec la promesse du mainteneur que l'on ne l'y reprendrait plus).
qui vivra verra...