En fait il y a plusieurs versions O.96.
Depusi que le paquet est sur sourceforge il a été modifié tout en gardant le même numéro de version !!!
Il y a donc dans la nature des plusieurs versions 0.96 tout a fait vulnérable et ce d'autant plus que la dernière version l'est toujours !!!
diff -uNr pureftpd-0.96a/pure-ftpd-0.96/README pureftpd-0.96b/pure-ftpd-0.96/README
--- pureftpd-0.96a/pure-ftpd-0.96/README Thu Mar 15 19:56:19 2001
+++ pureftpd-0.96b/pure-ftpd-0.96/README Fri Mar 16 09:41:56 2001
@@ -9,9 +9,10 @@
Pure-FTPd is a fast, production-quality, standard-conformant FTP server,
based upon Troll-FTPd.
-Unlike other popular FTP servers, it has no known security flaw, it is
-really trivial to set up and it is especially designed for modern Linux
-kernels (setfsuid, sendfile, capabilities) .
+Unlike other popular FTP servers, it's designed to be secure in default
+configuration, has no known buffer overflow, it is really trivial to set up
+and it is especially designed for modern Linux kernels (setfsuid, sendfile,
+capabilities) .
Features include PAM support, IPv6, chroot()ed home directories, virtual
domains, built-in 'ls', anti-warez system, bounded ports for passive
Le fichier le plus critique (src/ls.c) est bien sur modifié au passage.
Pour quelqu'un qui ce dit être expert en sécurité je trouve le comportement injustifiable !
1) Il annonce publiquement sur divers forums publiques toute la méthodologie pour faire planter les serveurs FTP des concurrants en annoncant que le sien est nickel sans laisser le temps aux concurrents de produire un patch.
2) Il joue l'outragé lorsque en réponse de son comportement immature les équipes concurrentes annonce publiquement les failles de son logiciel.
3) Constatant que sa version de pure-ftpd qu'il croyait être exempte de bogue l'est finalement tout autant que les autres il tente de maquiller ce fait en releasant des versions différentes ayant le même numéro de version !!!
Je croyais Frank DENIS être une personne fort respectable et compétente. Or suite à la comédie qu'il joue depuis son annonce il vient de chuter définitivement dans mon estime.
Pourquoi ne pas mettre en place un backend NNTP.
La consultation des news pourrait se faire via un logiciel de forum de discussion tout a fait standard avec le gros avantage de savoir exactement quelles sont les messages déja lu et quelles sont les nouveaux. Le serveur serait grandement déchargé d'une partie des consultations qui ne consiste qu'a voir si il y a des nouveaux messages.
Pour poster des commentaires on continuerai de passer par Dacode ou via son logiciel de forum si il s'agit de répondre a un message déja modéré.
Étant donné qu'il y a rarement une seule personne impliquée dans un développement informatique on peut légitimement dire qu'il y a diffusion d'un logiciel lorsque d'autres utilisateurs non impliqué directement dans son développement l'utilise.
En conséquence de quoi j'estime qu'une société qui, par exemple, modifie le source du noyau linux pour afficher son logo au démarrage sur le poste de la secrétaire (qui n'est surement pas celle qui connait le C ou qui fait du beta test) doit donner à la communauté à sa demande (elle ne devrait même pas avoir à demander) le patch qu'elle a créé.
Dans le cas de Sony, en imaginant qu'ils aient porté GNU/Linux sur PS/2, tant que le prototype est dans les laboratoires il n'y a pas de raison de diffuser les modifications. Si ils se mettent à distribuer des PS/2 sous GNU/Linux (en dehors d'une phasee de beta test interne) alors ils devront diffuser les modifications apporter au système GNU/Linux.
La voiture que je connaissais qui utiliser ce moteur était la mazda RX-7.
Le problème de ce moteur est l'usure des joints du piston et la grande consommation d'huile.
C'est le moteur Wankel (plus trés sur de l'orthographe) mais la grosse dférence c'est que le piston du moteur Wankel est monobloc et articulé autour d'un piston alors que dans ce cas le piston est articulé et n'a pas d'axe central.
Les radios ont payés à la SACEM le droit de diffuser de la musique. Elles sont tenus de noter sur papier quelle titre est passé à quelle heure...
L'auditeur qui enregistre les musiques qui passe à la radio a déja payé une taxe pour la SACEM à l'achat de sa cassette vierge.
Le sites Web qui diffuse des MP3 n'a surement pas payé les droits à la SACEM.
Le surfeur qui télécharge les MP3 n'a pas payé de taxe pour les enregistrer sur un quelquonque support informatique (sauf maintenant le CDROM).
Il est donc normal que les ayants-droit cherche à récupérer leur du.
Il est bien entendu que ce que je dit concerne uniquement les musiques sous droits d'auteurs géré par un quelquonque organisme reconnu par les auteurs eux-mêmes.
Là ou cela n'est absolument plus noral, c'est lorsque que ces dit organismes cherche à interdire le téléchargement et la mise a disposition d'oeuvre libre de droit de diffusion et cherche a taxer de manière unilatéral des supports dont l'usage n'est absolument pas limité au stockage d'oeuvre protégé.
A priori, la fait que Enlightenment s'avére plus rapide que ses "concurents" vient du fait qu'il utilise l'accélération matériel OpenGL des cartes graphiques pour accélérer toutes les opérations 2D.
Hormis OpenGL, XFree ne donne aucun moyen d'utiliser les accélérations des cartes graphiques actuelles (transparences, transformations,...).
> 2) pourquoi latter l'autre tout de suite ? Tu peux très bien chopper la liste des process httpd, démarrer une autre session apache puis killer les anciens : pendant un instant, tu auras 2 fois le nombres de threads que tu as d'habitude !
Non, ce n'est pas possible. Un seul processus à la fois peut écouter un port IP. Donc tant que le processus httpd père est présent, je ne peut en démarrer un autre qui écoute sur le même port (80 en l'occurence).
Je vais peut etre dire une grosse bétise, auquel cas que l'on me corrige au plus tôt.
Imaginons que j'ai apache 1.3.14 qui fonctionne (processus httpd)
J'écrase sur disque, grâce au patch Debian, le fichier binaire httpd avec celui d'apache 1.3.17 (supprimer l'ancien binaire, puis installer le nouveau reviens normalement au même)
En mémoire j'aurais toujours apache 1.3.14.
Pour que ce soit effectivement Apache 1.3.17 qui fonctionne je suis obligé de quitter le processus httpd en cours et de relancer le nouveau.
Donc ce patch ne sert à rien pour avoir de la haute disponibilité et pour mettre à jour les paquets.
De plus si je ne redémarre pas le processus httpd, je prend le risque d'avoir une erreur de chargement de page si tout le binaire httpd n'est pas en mémoire.
A quoi cela sert-il de pouvoir écrire sur des fichiers en cours d'exécution ?
Il me semble que la mise à jour d'un paquets passe par la suppression des anciens fichiers, puis par l'installation des nouveaux. Dans ces conditions il n'est pas nécessaires de patcher le noyau pour supprimer un fichier en cours d'exécution.
Ce patch a t'il vraiment une utilité ?
C'est impressionant de voir qu'un document originelement écrit en français, puis traduit en turc (une URL ?), puis retraduit et adapté en français conserve exactement le même vocabulaire, les mêmes structures de phrases et la même ponctuation (points de suspension, guillemets).
Il serait de bon ton que l'auteur de l'article de LMF s'exprime sur cette troublante affaire !
Lundi matin, j'ai entendu à la radio qu'une commission européénne (si je ne m'abuses) aller mener une enquète pour voir si il n'y a pas entente illégale entre les majors sur le prix élevés des CDS et autres médias de loisirs...
Espérons qu'elle creuse en profondeur et fasse du nettoyage chez les majors !
La licence est à 32,5 milliards de francs.
Les investissements en infrastructure sont aussi au environ de 30 millard de francs soit 70 milliards d'investissements.
Retour sur investissement en 5 ans et 15 millions de client potentiel.
Soit 933 F par an et par client. C'est moins cher que le téléphone portable !
1% de CD vendu en moins, mais combien de % de DVD vendu en plus ?
Le budget loisirs n'est pas extensible à l'infini et je suis sûr que si on fait la somme CD + DVD c'est au moins 10% de vente en plus que l'année dernière !!!
Un petit extrait de cette news de l'AFP, http://www.atcd.f2s.com/snep3.htm,(...) ou Pascal Négre tente de justifier une protection a outrance des droits d'auteurs.
"Q : Pourquoi demandez-vous l'extension de la durée de protection des droits des producteurs et des artistes interprètes ?
R : "Il n'y pas de raison que cette protection soit de 90 ans aux Etats-Unis et de 50 ans chez nous, suivant la première publication d'un disque. Nous demandons au moins l'alignement sur la durée de protection des droits des auteurs-compositeurs en France, soit 70 ans après le décès des créateurs.
C'est toute la problématique du patrimoine qui est en jeu, à partir du moment où l'oeuvre d'un artiste tombe dans le domaine public, elle meurt une deuxième fois, c'est ce qui explique la quasi-disparition du répertoire de la chanson d'avant-guerre, c'est ce qui est arrivé à Maurice Chevalier, c'est ce qui risque d'arriver demain à des artistes comme Trénet, Brassens, Presley ou les Beatles".
Si l'on suis son raisonnement, les oeuvres libres de droit sont voués à l'oubli. Pourtant, ce ne sont pas les rééditions d'artistes de musiques classiques, jazz, opérettes qui manquent.
Preysley et les Beatles sont voués à l'oubli si les droits d'auteurs ne sont pas quasi éternelles.
Paul Mc Carthney et Mickel Jackson propriétaire des droits des Beatles ne sont pourtant pas à plaindre (multimilliardaire !!!). On comprend aussi pourquoi il ne veulent pas perdre la poule aux oeufs d'or.
J'ai du mal à comprendre que le citoyen lambda paye une rente à vie à certaines catégories de personnes pour un effort qui n'a été que ponctuel.
Je suis d'avis que pour être équitable et logique, l'on doivent payer à vie à tous les ouvriers du batîment un "complément de revenus" pour chaque murs que l'on utilise au quotidien !! Ya pas de raison, les murs de ma maison me sont bien plus profitable que les braillements de certains "artistes".
[^] # Re: mdr!
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Vulnerabilite ProFTPd/BSD FTPd. Évalué à 1.
Depusi que le paquet est sur sourceforge il a été modifié tout en gardant le même numéro de version !!!
Il y a donc dans la nature des plusieurs versions 0.96 tout a fait vulnérable et ce d'autant plus que la dernière version l'est toujours !!!
Pour prouver mes dires voici un extrait du patch ( http://christophe.merlet.free.fr/GNU-Linux/mdr/pureftpd-0.96-mdr.pa(...) ) entre la version du 16 mars à 07h12 et celle du 16 mars 19h15 (au décalage horaire prés) :
diff -uNr pureftpd-0.96a/pure-ftpd-0.96/README pureftpd-0.96b/pure-ftpd-0.96/README
--- pureftpd-0.96a/pure-ftpd-0.96/README Thu Mar 15 19:56:19 2001
+++ pureftpd-0.96b/pure-ftpd-0.96/README Fri Mar 16 09:41:56 2001
@@ -9,9 +9,10 @@
Pure-FTPd is a fast, production-quality, standard-conformant FTP server,
based upon Troll-FTPd.
-Unlike other popular FTP servers, it has no known security flaw, it is
-really trivial to set up and it is especially designed for modern Linux
-kernels (setfsuid, sendfile, capabilities) .
+Unlike other popular FTP servers, it's designed to be secure in default
+configuration, has no known buffer overflow, it is really trivial to set up
+and it is especially designed for modern Linux kernels (setfsuid, sendfile,
+capabilities) .
Features include PAM support, IPv6, chroot()ed home directories, virtual
domains, built-in 'ls', anti-warez system, bounded ports for passive
Le fichier le plus critique (src/ls.c) est bien sur modifié au passage.
Pour quelqu'un qui ce dit être expert en sécurité je trouve le comportement injustifiable !
1) Il annonce publiquement sur divers forums publiques toute la méthodologie pour faire planter les serveurs FTP des concurrants en annoncant que le sien est nickel sans laisser le temps aux concurrents de produire un patch.
2) Il joue l'outragé lorsque en réponse de son comportement immature les équipes concurrentes annonce publiquement les failles de son logiciel.
3) Constatant que sa version de pure-ftpd qu'il croyait être exempte de bogue l'est finalement tout autant que les autres il tente de maquiller ce fait en releasant des versions différentes ayant le même numéro de version !!!
Je croyais Frank DENIS être une personne fort respectable et compétente. Or suite à la comédie qu'il joue depuis son annonce il vient de chuter définitivement dans mon estime.
# La solution pourrait elle être NNTP
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche DaNews: Information spéciale. Évalué à 1.
La consultation des news pourrait se faire via un logiciel de forum de discussion tout a fait standard avec le gros avantage de savoir exactement quelles sont les messages déja lu et quelles sont les nouveaux. Le serveur serait grandement déchargé d'une partie des consultations qui ne consiste qu'a voir si il y a des nouveaux messages.
Pour poster des commentaires on continuerai de passer par Dacode ou via son logiciel de forum si il s'agit de répondre a un message déja modéré.
[^] # Re: GPL
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Linux sur Playstation 2. Évalué à 1.
En conséquence de quoi j'estime qu'une société qui, par exemple, modifie le source du noyau linux pour afficher son logo au démarrage sur le poste de la secrétaire (qui n'est surement pas celle qui connait le C ou qui fait du beta test) doit donner à la communauté à sa demande (elle ne devrait même pas avoir à demander) le patch qu'elle a créé.
Dans le cas de Sony, en imaginant qu'ils aient porté GNU/Linux sur PS/2, tant que le prototype est dans les laboratoires il n'y a pas de raison de diffuser les modifications. Si ils se mettent à distribuer des PS/2 sous GNU/Linux (en dehors d'une phasee de beta test interne) alors ils devront diffuser les modifications apporter au système GNU/Linux.
# Ca radote...
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Apache 1.3.19. Évalué à 1.
Chaque fois qu'il y a une nouvelle version, ils disent la même chose. Ca devient lassant tant de perfection ;-)
[^] # Re: Pourquoi merci Yahoo ?
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Bientot dans accents dans vos URLs.. Évalué à 1.
Décidément, cette boîte ne se fait pas que des copains dans la presse informatique !!!
[^] # Re: C'est un peu vieux....
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Un moteur n'importe quel carburant. Évalué à 3.
Le problème de ce moteur est l'usure des joints du piston et la grande consommation d'huile.
Le site allemand du moteur Wankel
http://www.wankel-rotary.com/seite1.htm(...)
Même la citroën GS a eu droit au moteur
http://membres.tripod.fr/francoisb/birotor.htm(...)
Des infos sur le moteur Wankel
http://www.monito.com/wankel/(...)
Des photos du moteur (Il a vraiment fonctionné en compétition)
http://www.monito.com/wankel/rce.html(...)
[^] # Re: C'est un peu vieux....
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Un moteur n'importe quel carburant. Évalué à 1.
# À propos du canard...
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Révisions des interfaces graphiques. Évalué à 2.
http://www.microsoft.com/windowsxp/guide/images/dg6-windowslogon.gi(...)
et regardez le nom que donne Apple au canard de MacOS 9 : Sarah http://www.apple.com/fr/macos/images/screens/login.jpg(...)
Et ne me dites pas pas que c'est un pur hasard...
Comme dit l'autre : "I'll be back"
[^] # Re: Houlala, ca frise l'intox !
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche IFPI Belge poursuit les utilisateurs de Napster. Évalué à 1.
L'auditeur qui enregistre les musiques qui passe à la radio a déja payé une taxe pour la SACEM à l'achat de sa cassette vierge.
Le sites Web qui diffuse des MP3 n'a surement pas payé les droits à la SACEM.
Le surfeur qui télécharge les MP3 n'a pas payé de taxe pour les enregistrer sur un quelquonque support informatique (sauf maintenant le CDROM).
Il est donc normal que les ayants-droit cherche à récupérer leur du.
Il est bien entendu que ce que je dit concerne uniquement les musiques sous droits d'auteurs géré par un quelquonque organisme reconnu par les auteurs eux-mêmes.
Là ou cela n'est absolument plus noral, c'est lorsque que ces dit organismes cherche à interdire le téléchargement et la mise a disposition d'oeuvre libre de droit de diffusion et cherche a taxer de manière unilatéral des supports dont l'usage n'est absolument pas limité au stockage d'oeuvre protégé.
[^] # Re: Ca promet !
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Enlightenment 0.17 arrive !. Évalué à 1.
Hormis OpenGL, XFree ne donne aucun moyen d'utiliser les accélérations des cartes graphiques actuelles (transparences, transformations,...).
[^] # Re: Question sur l'installation
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche HelixCode Red Carpet. Évalué à 1.
Non, ce n'est pas possible. Un seul processus à la fois peut écouter un port IP. Donc tant que le processus httpd père est présent, je ne peut en démarrer un autre qui écoute sur le même port (80 en l'occurence).
[^] # Re: Ximian et Eazel
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche HelixCode Red Carpet. Évalué à 1.
http://linuxfr.org/2001/02/05/2194,0,0,0.php3(...)
[^] # Re: Question sur l'installation
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche HelixCode Red Carpet. Évalué à 1.
Imaginons que j'ai apache 1.3.14 qui fonctionne (processus httpd)
J'écrase sur disque, grâce au patch Debian, le fichier binaire httpd avec celui d'apache 1.3.17 (supprimer l'ancien binaire, puis installer le nouveau reviens normalement au même)
En mémoire j'aurais toujours apache 1.3.14.
Pour que ce soit effectivement Apache 1.3.17 qui fonctionne je suis obligé de quitter le processus httpd en cours et de relancer le nouveau.
Donc ce patch ne sert à rien pour avoir de la haute disponibilité et pour mettre à jour les paquets.
De plus si je ne redémarre pas le processus httpd, je prend le risque d'avoir une erreur de chargement de page si tout le binaire httpd n'est pas en mémoire.
un "http://localhost/server-info"(...) devrait permettre de vérifier mes dires mais je n'ai pas deux binaires sous la main.
Cela dit, si le patch permet effectivement de mettre à jour en mémoire un changement de binaire sans interruption de service, je veux l'URL !
[^] # Re: Question sur l'installation
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche HelixCode Red Carpet. Évalué à 1.
A quoi cela sert-il de pouvoir écrire sur des fichiers en cours d'exécution ?
Il me semble que la mise à jour d'un paquets passe par la suppression des anciens fichiers, puis par l'installation des nouveaux. Dans ces conditions il n'est pas nécessaires de patcher le noyau pour supprimer un fichier en cours d'exécution.
Ce patch a t'il vraiment une utilité ?
# Whaouuu
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Linux Magazine France. Évalué à 1.
Il serait de bon ton que l'auteur de l'article de LMF s'exprime sur cette troublante affaire !
[^] # Re: Gnome ?
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche DaNews: Résumé de la Linux-Expo. Évalué à 1.
http://mail.gnome.org/archives/gnome-1.4-list/2001-January/msg00027(...)
En résumé : 27 mars = GNOME 1.4 final
[^] # Re: Des arguments
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Pétition des artistes pour le respect de la loi Lang. Évalué à 1.
Lundi matin, j'ai entendu à la radio qu'une commission européénne (si je ne m'abuses) aller mener une enquète pour voir si il n'y a pas entente illégale entre les majors sur le prix élevés des CDS et autres médias de loisirs...
Espérons qu'elle creuse en profondeur et fasse du nettoyage chez les majors !
# Pourtant sa semble etre rentable...
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche UMTS: un de moins !. Évalué à 1.
Les investissements en infrastructure sont aussi au environ de 30 millard de francs soit 70 milliards d'investissements.
Retour sur investissement en 5 ans et 15 millions de client potentiel.
Soit 933 F par an et par client. C'est moins cher que le téléphone portable !
[^] # Re: Du point de vue legal...
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Réseau sans fil sous Linux. Évalué à 1.
À ma connaissance il faut toujours faire une demande
http://www.art-telecom.fr/licences/rlrref.htm(...)
[^] # Re: Boudiou...
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche A vot'bon coeur!. Évalué à 1.
Le budget loisirs n'est pas extensible à l'infini et je suis sûr que si on fait la somme CD + DVD c'est au moins 10% de vente en plus que l'année dernière !!!
# TROIS QUESTIONS A Pascal Nègre (président des producteurs)
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Redevance sur les supports numériques : l'APRIL va plus loin. Évalué à 1.
"Q : Pourquoi demandez-vous l'extension de la durée de protection des droits des producteurs et des artistes interprètes ?
R : "Il n'y pas de raison que cette protection soit de 90 ans aux Etats-Unis et de 50 ans chez nous, suivant la première publication d'un disque. Nous demandons au moins l'alignement sur la durée de protection des droits des auteurs-compositeurs en France, soit 70 ans après le décès des créateurs.
C'est toute la problématique du patrimoine qui est en jeu, à partir du moment où l'oeuvre d'un artiste tombe dans le domaine public, elle meurt une deuxième fois, c'est ce qui explique la quasi-disparition du répertoire de la chanson d'avant-guerre, c'est ce qui est arrivé à Maurice Chevalier, c'est ce qui risque d'arriver demain à des artistes comme Trénet, Brassens, Presley ou les Beatles".
Si l'on suis son raisonnement, les oeuvres libres de droit sont voués à l'oubli. Pourtant, ce ne sont pas les rééditions d'artistes de musiques classiques, jazz, opérettes qui manquent.
Preysley et les Beatles sont voués à l'oubli si les droits d'auteurs ne sont pas quasi éternelles.
Paul Mc Carthney et Mickel Jackson propriétaire des droits des Beatles ne sont pourtant pas à plaindre (multimilliardaire !!!). On comprend aussi pourquoi il ne veulent pas perdre la poule aux oeufs d'or.
J'ai du mal à comprendre que le citoyen lambda paye une rente à vie à certaines catégories de personnes pour un effort qui n'a été que ponctuel.
Je suis d'avis que pour être équitable et logique, l'on doivent payer à vie à tous les ouvriers du batîment un "complément de revenus" pour chaque murs que l'on utilise au quotidien !! Ya pas de raison, les murs de ma maison me sont bien plus profitable que les braillements de certains "artistes".
[^] # Re: Vieille news. Déjà vu ailleurs
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Brave GNU World 23. Évalué à -1.
Je n'y manquerai pas :)
[^] # Re: Vieille news. Déjà vu ailleurs
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Brave GNU World 23. Évalué à 1.
# J'en veux une aussi !
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Ginger : la révolution à roulettes. Évalué à 1.
http://www.msnbc.com/news/285231.asp(...)
Visez un peu la roue arrière ;-))
Moi aussi je veux le meme fauteil de bureau :)
# Mais que font les modéros...
Posté par Christophe Merlet (site web personnel) . En réponse à la dépêche Death to billou?. Évalué à -1.
Vous en saurez plus sur antitrust, et son penchant logiciel libre, en lisant la news précédente
http://linuxfr.org/section/Cin%E9ma/1741,0,0,0.php3(...)