Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[3615Mavie] : Chroniques de geeks (tome 6)
View unanswered posts
View posts from last 24 hours

Goto page Previous  1, 2, 3 ... , 11, 12, 13  Next  
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
Dominique_71
Veteran
Veteran


Joined: 17 Aug 2005
Posts: 1500
Location: Switzerland (Romandie)

PostPosted: Fri Apr 04, 2014 2:13 pm    Post subject: Reply with quote

Linus a de nouveau piqué une grosse colère : Systemd vs Linux, quand l'intransigeance d'un développeur tourne au ridicule....

Quote:
systemd parse la ligne de commande utilisé pour booter le noyau Linux (via
/proc/cmdline). Si l'option debug a été passé au noyau, systemd considère
que l'option le concerne au même titre que Linux et peut inonder dmesg au point
que la machine n'arrive plus à booter…


Kay Stevens a répondu que
- debug est générique et n'est pas une option exclusivement réservé à Linux.
- Que quelque chose de vrillé emballe les logs inutilement est un comportement auquel on doit s'attendre.
Il a fermé le ban (et le ticket bugzilla!) en déclarant qu'il ne s'agissait en aucun d'un bug.

Linus a alors averti: Greg (Kroah Hartman), pour information, je ne remonte plus aucun code de Kay dans le noyau tant que durera ce comportement.

Un autre article intéressant est celui d'IgnorantGuru, un expert un cryptographie qui a expérimenté les pressions qu'un développeur peut subir de la part d'agents cachés, article dans lequel il déplore la main-mise de Red-Hat, une multinationale dont le premier client est l'armée US et des corporations comme google toutes impliquées dans le scandale de la NSA, sur des logiciels clés de Linux comme udev, udisks, xorg, dbus, systemd, etc., lesquels sont utilisés par toutes les principales distributions, ainsi que sur des composents de bureau comme GNOME et GTK. Il dénonce aussi leur arrogance.

Au moins avec systemd leur plan est clair: prendre le contrôle de GNU-Linux pour le transformer en un GNU-systemd OS similaire à windows, hyper compliqué, mal documenté et cassé par design comme le démontre ce bug et d'autres. Ils ne s'en cache même pas: chez Red-Hat.
_________________
[[[ To any NSA and FBI agents reading that text: please consider ]]]
[[[ whether defending the US Constitution against all enemies, ]]]
[[[ foreign or domestic, requires you to follow Snowden's example. ]]]
Back to top
View user's profile Send private message
kopp
Advocate
Advocate


Joined: 09 Apr 2004
Posts: 2869
Location: Grenoble, France

PostPosted: Fri Apr 04, 2014 5:57 pm    Post subject: Reply with quote

Bon, rien à voir avec systemd, mais pour changer un peu, j'ai des soucis avec qemu/kvm (en virtualisation uniquement, pas de problème en ému) et les derniers noyaux.

En gros, la machine virtuelle se bloque plus ou moins, il faut que je la mette en pause et la relance pour la débloquer (mais si j'ai tapé des choses avant la mise en pause, ça a été pris en compte bien que non affiché, puisque ça s'affiche une fois le retour de pause)
Bref, si ce n'était que ça, mais surtout si je ne suis pas assez rapide pour le détecter, ça finit par bloquer complètement ma machine hôte (je peux vraiment plus rien faire, si ce n'est un hard reboot, les MagicSysKeys ne fonctionnent pas, rien, quedalle, peanuts)

J'ai testé plusieurs versions de qemu, même celles en **, rien ne change. Par contre, si je change de noyau sur l'hote, pour passer à du 3.12 ou antérieur, plus de problème. 3.13 et 3.14, ça plante. J'ai regardé ce qui avait pu changé de manière grossière (un diff sur les fichiers config), notamment des choses relatives au scheduler, à l'accounting, ou autre qui aurait pu être en cause, mais je n'ai rien trouvé qui semble significatif, ou bien qui change le résultat lorsque je change ces options

Bref, un peu l'impasse là. dans htop, je vois que le processus semble ne plus rien faire (0% de cpu), je ne vois rien dans dmesg (mais j'ai pas un niveau très élevé pour printk, j'ai pas ressayé depuis que j'ai compris qu'on pouvait le changer.

Et j'ai peut-être mal cherché, mais je n'ai rien trouvé d'intéressant relatif au problème sur google.

Quelqu'un aurait des idées de pistes pour isoler la source du problème ?
Back to top
View user's profile Send private message
El_Goretto
Advocate
Advocate


Joined: 29 May 2004
Posts: 2873
Location: Paris

PostPosted: Tue Apr 08, 2014 8:02 am    Post subject: Reply with quote

Boooom!
Allez les gars, on synchronise, on démasque et on update en serrant les fesses :)
_________________
-PC: 2500K/P8Z68V, 8Go, R9-290, ARC1220+5xWD500RE3, M4 256Go
-Home servers (hardened): µ-serv N40L, 2Go ECC ; NF9D-2700, 4Go ; DS61, i3 2100T, 16Go
-Réseau: ERL-3 + 3x switches GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
kopp
Advocate
Advocate


Joined: 09 Apr 2004
Posts: 2869
Location: Grenoble, France

PostPosted: Tue Apr 08, 2014 8:21 am    Post subject: Reply with quote

El_Goretto wrote:
Boooom!
Allez les gars, on synchronise, on démasque et on update en serrant les fesses :)

ça fait rêver ça !

J'ai pas bien compris, mais en tant que end-user, on n'a pas de mise à jour à faire ou j'ai mal compris ?
Enfin, à part virer tous les cookies d'identifications, etc
Back to top
View user's profile Send private message
XavierMiller
Moderator
Moderator


Joined: 23 Jul 2004
Posts: 5447
Location: ~Brussels - Belgique

PostPosted: Tue Apr 08, 2014 8:31 am    Post subject: Reply with quote

Apparemment, ce serait en ordre si vous synchronisez votre arbre et faites les mises à jour si nécessaire.
_________________
Xavier Miller
(FR) Merci de respecter les règles du forum.
http://www.xaviermiller.be
Back to top
View user's profile Send private message
El_Goretto
Advocate
Advocate


Joined: 29 May 2004
Posts: 2873
Location: Paris

PostPosted: Tue Apr 08, 2014 8:37 am    Post subject: Reply with quote

XavierMiller wrote:
Apparemment, ce serait en ordre si vous synchronisez votre arbre et faites les mises à jour si nécessaire.

Niet, je viens de faire le sync ya moins d'une 1/2h, et il a fallu démasquer la 1.0.1g.

@kopp: oui, j'ai l'impression que cela concerne avant tout les "serveurs".
_________________
-PC: 2500K/P8Z68V, 8Go, R9-290, ARC1220+5xWD500RE3, M4 256Go
-Home servers (hardened): µ-serv N40L, 2Go ECC ; NF9D-2700, 4Go ; DS61, i3 2100T, 16Go
-Réseau: ERL-3 + 3x switches GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
Dominique_71
Veteran
Veteran


Joined: 17 Aug 2005
Posts: 1500
Location: Switzerland (Romandie)

PostPosted: Tue Apr 08, 2014 10:41 am    Post subject: Reply with quote

El_Goretto wrote:

@kopp: oui, j'ai l'impression que cela concerne avant tout les "serveurs".


C'est sur. Le plus embêtant est qu'il est impossible de savoir si un serveur a été compromis, car un exploit utilisant cette faille ne laisse pas de trace, ce qui implique pour un administrateur de serveur d'appliquer le principe de précaution et de révoquer tous les mots de passe, certificats, cookies, etc. :x
_________________
[[[ To any NSA and FBI agents reading that text: please consider ]]]
[[[ whether defending the US Constitution against all enemies, ]]]
[[[ foreign or domestic, requires you to follow Snowden's example. ]]]
Back to top
View user's profile Send private message
Dominique_71
Veteran
Veteran


Joined: 17 Aug 2005
Posts: 1500
Location: Switzerland (Romandie)

PostPosted: Tue Apr 08, 2014 10:46 am    Post subject: Reply with quote

Vu qu'on est dans les bugs rigolos, celui-là était pas mal: 2.4.x kernel uptime counter problem :D
_________________
[[[ To any NSA and FBI agents reading that text: please consider ]]]
[[[ whether defending the US Constitution against all enemies, ]]]
[[[ foreign or domestic, requires you to follow Snowden's example. ]]]
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3756
Location: Lyon, France

PostPosted: Tue Apr 08, 2014 11:56 am    Post subject: Reply with quote

Et là je suis content que mon serveur tourne sur un bon vieux FreeBSD 9.1 qui est resté sur openssl 0.9.8. :P Par contre FreeBSD 10.0 est touché.
_________________
Google+ | Twitter
Back to top
View user's profile Send private message
nutsi
n00b
n00b


Joined: 13 Jul 2012
Posts: 31

PostPosted: Tue Apr 08, 2014 12:24 pm    Post subject: Reply with quote

@El_Goretto: J'ai pas eu besoin d'unmask moi même la 1.0.1g. La sync a suffit (je suis en ~arch).
Back to top
View user's profile Send private message
El_Goretto
Advocate
Advocate


Joined: 29 May 2004
Posts: 2873
Location: Paris

PostPosted: Tue Apr 08, 2014 12:56 pm    Post subject: Reply with quote

nutsi wrote:
@El_Goretto: J'ai pas eu besoin d'unmask moi même la 1.0.1g. La sync a suffit (je suis en ~arch).

Au temps pour moi, je ne voulais pas dire "unmask" mais ajouter le keyword ~amd64 :) (moi je suis en stable ;))

Pour ceux qui veulent se taper une flippe: filippo.io/Heartbleed/ pour tester vos serveurs :)

--
edit:
La GLSA est parue, donc j'imagine que la 1.0.1g est stabilisée en mode fissa-panique-de-fesses.
_________________
-PC: 2500K/P8Z68V, 8Go, R9-290, ARC1220+5xWD500RE3, M4 256Go
-Home servers (hardened): µ-serv N40L, 2Go ECC ; NF9D-2700, 4Go ; DS61, i3 2100T, 16Go
-Réseau: ERL-3 + 3x switches GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1026

PostPosted: Thu Apr 10, 2014 11:19 am    Post subject: Reply with quote

El_Goretto wrote:

--
edit:
La GLSA est parue, donc j'imagine que la 1.0.1g est stabilisée en mode fissa-panique-de-fesses.


L'article GLSA wrote:
Severity: normal


:lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol:
_________________
--
Un seul mot d'ordre : don't feed the troll anymore
Back to top
View user's profile Send private message
El_Goretto
Advocate
Advocate


Joined: 29 May 2004
Posts: 2873
Location: Paris

PostPosted: Thu Apr 10, 2014 3:30 pm    Post subject: Reply with quote

Oupsman wrote:
El_Goretto wrote:

--
edit:
La GLSA est parue, donc j'imagine que la 1.0.1g est stabilisée en mode fissa-panique-de-fesses.


L'article GLSA wrote:
Severity: normal


:lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol:


...

Comme quoi, nous n'avons pas les mêmes valeurs (un exploit remote sans trace avec leak d'infos, sérieux...). J'en connais qui ont récupéré les mdp mails de leurs DGs, grâce à cette faille (juste pour le PoC, sûrement, hein).
_________________
-PC: 2500K/P8Z68V, 8Go, R9-290, ARC1220+5xWD500RE3, M4 256Go
-Home servers (hardened): µ-serv N40L, 2Go ECC ; NF9D-2700, 4Go ; DS61, i3 2100T, 16Go
-Réseau: ERL-3 + 3x switches GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1026

PostPosted: Thu Apr 10, 2014 6:36 pm    Post subject: Reply with quote

El_Goretto wrote:

...

Comme quoi, nous n'avons pas les mêmes valeurs (un exploit remote sans trace avec leak d'infos, sérieux...). J'en connais qui ont récupéré les mdp mails de leurs DGs, grâce à cette faille (juste pour le PoC, sûrement, hein).


Pour moi, la sévérité n'est certainement pas Normal/Orange, mais plutot Critical/Rouge voir Fatal/Black.

Vu le risque de fuite d'infos, ajouté au fait que la fuite d'informations n'est pas décelable, non, vraiment, classer cette faille comme "Normale", c'est ... de l'inconscience (pour ne pas dire de l'incompétence).
_________________
--
Un seul mot d'ordre : don't feed the troll anymore
Back to top
View user's profile Send private message
boozo
Advocate
Advocate


Joined: 01 Jul 2004
Posts: 3137

PostPosted: Thu Apr 10, 2014 10:34 pm    Post subject: Reply with quote

Juste pour ma culture, dans ce type de cas, est-ce que (au sein d'une boite ou d'une structure) quelqu'un mesure ou essaye d'evaluer ce qui a été potentiellement compromis (donc pu être potentiellement exploité) depuis que la faille existes ? Et si oui comment ? 8O

Parce que sauf a dire, entre la version foo en prod depuis x jours qui introduit la faille et la version bar qui la corrige, il s'est écoulé y jours pendant lesquels, vu notre traffic, nos connection, nos transactions journalières : il a donc pu se produire "?" Mais quoi ? Concrêtement ? Numeriquement ?
Quelles données exactes, recencées sont potentiellements compromises pour la boite ?

Ça se fait ou on se contente de dire on blinde et on verra bien si qqch se manifeste ?
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1026

PostPosted: Fri Apr 11, 2014 5:12 am    Post subject: Reply with quote

Quand une faille comme celle-ci est publiée, on commence par vérifier qu'on est bien à risque, c'est à dire que les versions des logiciels installés correspondent bien à ceux qui sont dit critiques.

Ensuite, vu le risque, qui est ici la divulgation des données privées du serveur (son certificat SSL et sa clé privée), cela peut conduire à un attaquant qui a au final accès à un moyen de décrypter le trafic échangé entre les clients et le serveur HTTPS*.

Ici, la procédure est donc de considérer les certificats SSL et les clés privées qui y sont liées comme compromis, et donc il faut les changer. Ce qui coûte du fric (un certificat EV coûte dans les 700 €, en gros), je doute que beaucoup de sociétés le fassent.

* Comme il s'agit ici d'une faille dans une librairie SSL, il faut regarder tous les logiciels qui utilisent cette librairie, et agir sur tous ces logiciels. Je me demande d'ailleurs si mes serveurs IMAPS et POPS sont vulnérables, faut que je cherche.
_________________
--
Un seul mot d'ordre : don't feed the troll anymore
Back to top
View user's profile Send private message
Dominique_71
Veteran
Veteran


Joined: 17 Aug 2005
Posts: 1500
Location: Switzerland (Romandie)

PostPosted: Fri Apr 11, 2014 5:46 am    Post subject: Reply with quote

Il faut changer aussi tous les mots de passe. Selon le dernier mail de l'EFF, des agences de renseignement ont exploité cette faille, mais ils ne savent pas encore si elle a été exploitée avant d'être connue par le grand public.

-- Si vous êtes un administrator système:
https://www.eff.org/deeplinks/2014/04/bleeding-hearts-club-heartbleed-recovery-system-administrators
-- Si vous avez un site web:
https://www.eff.org/deeplinks/2014/04/why-web-needs-perfect-forward-secrecy
_________________
[[[ To any NSA and FBI agents reading that text: please consider ]]]
[[[ whether defending the US Constitution against all enemies, ]]]
[[[ foreign or domestic, requires you to follow Snowden's example. ]]]
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1026

PostPosted: Fri Apr 11, 2014 6:51 am    Post subject: Reply with quote

Dominique_71 wrote:
Il faut changer aussi tous les mots de passe. Selon le dernier mail de l'EFF, des agences de renseignement ont exploité cette faille, mais ils ne savent pas encore si elle a été exploitée avant d'être connue par le grand public.

-- Si vous êtes un administrator système:
https://www.eff.org/deeplinks/2014/04/bleeding-hearts-club-heartbleed-recovery-system-administrators
-- Si vous avez un site web:
https://www.eff.org/deeplinks/2014/04/why-web-needs-perfect-forward-secrecy


Les adeptes de la théorie du complot ont de beaux jours devant eux ...

J'aimerais bien savoir comment l'EFF peut avoir la certitude que la faille a été exploitée par des agences de renseignements, vu que ces accès ne sont pas traçables, et je doute que les agences de renseignements laissent fuiter cette information :roll:

Ceci n'empêche pas de mettre à jour, recréer tous les certificats, changer toutes les clés et les mots de passe (perso, c'est déjà fait)

Le PFS, c'est bien, ça garanti la sécurité. Mais ça complexifie le boulot de l'admin réseau qui veut analyser les trames HTTPS :?
_________________
--
Un seul mot d'ordre : don't feed the troll anymore
Back to top
View user's profile Send private message
Dominique_71
Veteran
Veteran


Joined: 17 Aug 2005
Posts: 1500
Location: Switzerland (Romandie)

PostPosted: Fri Apr 11, 2014 11:16 am    Post subject: Reply with quote

Oupsman wrote:
Les adeptes de la théorie du complot ont de beaux jours devant eux ...

J'aimerais bien savoir comment l'EFF peut avoir la certitude que la faille a été exploitée par des agences de renseignements, vu que ces accès ne sont pas traçables, et je doute que les agences de renseignements laissent fuiter cette information :roll:


Il n'y a qu'à lire leur site: https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013

De plus, l'affaire Snowden n'a fait que confirmer ce que tout le monde suspectait depuis pas mal de temps, à savoir que les principaux krackers sur le net sont les services secrets. Et quand on lit les spy files 3 de wikileaks, ont se rend compte que de l'Europe au Brésil, tous les gouvernements qui ont crié aux vierges effarouchées quand ils ont "appris" que les USA les espionnaient achètent les même technologies que celles utilisées par la NSA. Tout ceci ne relève pas d'une quelconque théorie du complot mais de faits établis.

Donc c'est bien plutôt à ceux qui crient encore à la théorie de complot et qui refusent toujours de voir les preuves de se justifier. Moi j'y peut rien si notre société pour toute réponse à la crise ne sait que dérailler de plus en plus vers le fascisme et la dictature. Par contre cela ne m'empêche pas de constater et de désaprouver. Je ne paie pas des impôts pour que mon gouvernement m'espionne. Et je sais qu'il le fait car les preuves sont dans les spy files 3 de wikileaks: la Suisse a même collaboré avec des sociétés israéliennes pour les aider à développer et mettre au point ces logiciels d'espionnage de masse que tous les services secrets de tous les pays industrialisés et de tous les pays émergents s'arrachent! Les faits sont là et sont de la part de nos gouvernement absolument injustifiables! Le scandale des fiches à l'ancienne qui avait agité la Suisse pendant plusieurs décennies n'est rien à coté de l'espionnage massif qu'ils pratiquent aujourd'hui.

On nous parle du stalinisme et du 3ème Reich comme les pires exemples de dictatures, mais les méthodes d'espionnage de la Stasi ou des SS avec leurs fiches manuscrites sont de l'enfantillage à coté des méthodes actuelles d'espionnage de nos gouvernements. Et comme dans l'URSS de Staline et dans le 3ème Reich, les médias embellissent les faits et certains de nos gouvernement pratiquent même la torture. Tout cela ne sont rien que des faits, alors ta théorie du complot, c'est comme la quatrième tour du 11 septembre qui se serait effondrée toute seule... même la majorité des new-yorkais n'y croit plus. Et comme nous l'apprends l'histoire, aucune dictature n'a résisté au temps car le nature de l'être humain est de se rebeller et de s'organiser contre la dictature pour l'abattre.
_________________
[[[ To any NSA and FBI agents reading that text: please consider ]]]
[[[ whether defending the US Constitution against all enemies, ]]]
[[[ foreign or domestic, requires you to follow Snowden's example. ]]]
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1026

PostPosted: Fri Apr 11, 2014 11:33 am    Post subject: Reply with quote

Dominique_71 wrote:

Il n'y a qu'à lire leur site: https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013


Quote:

It would be very bad news if these stories were true, indicating that blackhats and/or intelligence agencies may have had a long period when they knew about the attack and could use it at their leisure.


:roll:

and/or. Pour moi on est dans le domaine de spéculation pure et simple. Si ils se contentaient de relater des faits, ils auraient dit " indicating that someone may have had a long period"

Bientôt, on va lire des articles prétendant que cette faille a été introduite volontairement.

Faut arrêter le délire.

C'est tout.

Bien sûr qu'on est espionné, sur Internet ou sur notre téléphone (ce qui revient au même en fait). Mais personnellement, je m'en contrefous et franchement, ça ne porte pas atteinte pas à ma vie privée. Pour ma part, je considère que ce qui est attentatoire à ma vie privée, c'est la divulgation des informations collectées. Et il y'a divulgation à partir du moment ou un humain le lit. Et si un humain vient à lire les informations que j'envois sur Internet, c'est que quelque part, mes conversations attirent leur attention car les mots clés relatifs au terrorisme ou je sais pas quel autre critère ont été repérés.

:roll:

Faut juste remettre l'église au centre du village et s'occuper de ce qui importe vraiment. Etre outré par cela ? Sérieusement ? Cela fait des siècles que les gouvernements espionnent les populations, tout simplement pour se protéger des menaces, intérieures comme extérieures.

La technologie actuelle le permet plus facilement. Très bien. Personne ne vous oblige à l'utiliser. Si vous l'utilisez, acceptez le fait de pouvoir être espionné. Revenez donc à la transmission de signaux de fumées ou de lettres cachetées à la cire. La, vous êtes à peu près tranquille (et encore).
_________________
--
Un seul mot d'ordre : don't feed the troll anymore
Back to top
View user's profile Send private message
El_Goretto
Advocate
Advocate


Joined: 29 May 2004
Posts: 2873
Location: Paris

PostPosted: Fri Apr 11, 2014 2:22 pm    Post subject: Reply with quote

Quel déchaînement de violence pendant que j'étais le dos tourné :)
J'ai pas eu le temps de tout lire, mais une réponse rapide à ceci:
Oupsman wrote:
Ici, la procédure est donc de considérer les certificats SSL et les clés privées qui y sont liées comme compromis, et donc il faut les changer. Ce qui coûte du fric (un certificat EV coûte dans les 700 €, en gros), je doute que beaucoup de sociétés le fassent.

Sauf fournisseur de certificat extraordinairement moisi (ou 1 certain qui est gratuit, mais en même temps faut pas trop en demander non plus "vu le tarif" ;)), il n'y a pas à racheter un certificat. Il suffit de révoquer l'ancien, et d'en regénérer un autre. Ces opérations ne sont pas payantes (cf "unlimited reissuing certificate operation" ou un truc du genre, sur les sites des vendeurs).
_________________
-PC: 2500K/P8Z68V, 8Go, R9-290, ARC1220+5xWD500RE3, M4 256Go
-Home servers (hardened): µ-serv N40L, 2Go ECC ; NF9D-2700, 4Go ; DS61, i3 2100T, 16Go
-Réseau: ERL-3 + 3x switches GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
Dominique_71
Veteran
Veteran


Joined: 17 Aug 2005
Posts: 1500
Location: Switzerland (Romandie)

PostPosted: Fri Apr 11, 2014 7:13 pm    Post subject: Reply with quote

Oupsman wrote:
and/or. Pour moi on est dans le domaine de spéculation pure et simple. Si ils se contentaient de relater des faits, ils auraient dit " indicating that someone may have had a long period"

Bientôt, on va lire des articles prétendant que cette faille a été introduite volontairement.

Faut arrêter le délire.

Il ont aussi des logs d'attaques très sérieuses qui ne peuvent venir que du crime organisé ou des services de renseignement, et suite aux données visées, ils penchent pour les deuxièmes. Ils leur manquent juste la preuve formelle. De plus, cela ne change rien ni au scandales révélés par Snowden, ni à ceux révélés par wikileaks.

Quote:
Bien sûr qu'on est espionné, sur Internet ou sur notre téléphone (ce qui revient au même en fait). Mais personnellement, je m'en contrefous et franchement, ça ne porte pas atteinte pas à ma vie privée. Pour ma part, je considère que ce qui est attentatoire à ma vie privée, c'est la divulgation des informations collectées. Et il y'a divulgation à partir du moment ou un humain le lit. Et si un humain vient à lire les informations que j'envois sur Internet, c'est que quelque part, mes conversations attirent leur attention car les mots clés relatifs au terrorisme ou je sais pas quel autre critère ont été repérés.

:roll:

Faut juste remettre l'église au centre du village et s'occuper de ce qui importe vraiment. Etre outré par cela ? Sérieusement ? Cela fait des siècles que les gouvernements espionnent les populations, tout simplement pour se protéger des menaces, intérieures comme extérieures.

La technologie actuelle le permet plus facilement. Très bien. Personne ne vous oblige à l'utiliser. Si vous l'utilisez, acceptez le fait de pouvoir être espionné. Revenez donc à la transmission de signaux de fumées ou de lettres cachetées à la cire. La, vous êtes à peu près tranquille (et encore).


Ben moi je ne m'en fous pas et le veux pouvoir utiliser ces technologies sans risquer d'être espionnés simplement parce que des fascistes paranoïaques, et je pèse mes mots, ont décidé d'espionner tout le monde. On parle toujours des bulles spéculatives pour donner les raisons de la crise, mais comme par hasard, ça a coûté beaucoup moins cher de renflouer des banques pourries que l'argent que certains pays dépensent pour faire la guerre, et re-hasard, ce sont les pays qui ont dépensés le plus pour faire la guerre, comme la Grèce qui a été, malgré sa petite taille, avant de plonger le quatrième acheteur mondial d'armes pendant deux décennies, qui ont le plus plongé. Et ce sont les mêmes fascistes paranoïaques qui veulent cet effort de guerre insensé et nous espionner. Ce sont aussi eux qui financent aussi bien les terroristes islamistes que les nazis ukrainiens. Alors non je ne m'en fous pas, c'est pas pour moi, j'ai déjà fait une bonne partie de ma vie, c'est principalement pour mes enfants. Surtout qu'on ne peut pas dire comme dans les années 30 qu'on ne savait pas, et qu'il y a des problèmes bien plus urgent que le terrorisme à régler, à commencer par arrêter de détruire la nature.

Les deux problèmes, exploitation de l'homme par l'homme et guerre, ainsi que l'exploitation/destruction de la nature par l'homme sont en fait un seul et même problème, comme les amérindiens l'avaient dit aux colons puritains qui les massacraient et qui massacraient les bisons (Un être humain qui ne respecte pas la nature est incapable de respecter ses semblables.), comme Marx l'avait relevé il y a bientôt deux siècles et comme les anthropologues l'ont prouvé pendant le 20ème siècle. En même temps, quand je vois le nombre de parents qui, à l'âge où ils prennent leurs habitudes de mobilité, amènent leurs gamins à l'école en voiture au lieu de leur apprendre les bienfaits de la marche ou du vélo, je ne me fais pas d'illusion. Surtout que la gauche a prouvé qu'elle n'est pas meilleure que la droite, et que comme la droite la seule chose qui l'intéresse vraiment est de monopoliser la pensée politique. À gauche c'est du stalinisme, à droite c'est du fascisme. Quand aux écolos ils nagent en plein scientisme et ils sont persuader qu'avec des taxes ils vont pouvoir développer des nouvelles technologies qui résoudront les problèmes causés par les anciennes, alors qu'en pratique les nouvelles technologies ne suppriment pas les anciennes et qu'elles ne font donc que rajouter des sources d'exploitation des ressources naturelles non renouvelables et de pollution aux sources existantes. Alors oui, il y a des problèmes bien plus importants que de continuer à financer le fascisme (le stalinisme est mort) avec nos impôts, à commencer par récupérer le monopole de la politique, démocratie veut dire gouvernement par le peuple, pas par les fascistes.
_________________
[[[ To any NSA and FBI agents reading that text: please consider ]]]
[[[ whether defending the US Constitution against all enemies, ]]]
[[[ foreign or domestic, requires you to follow Snowden's example. ]]]
Back to top
View user's profile Send private message
guilc
Moderator
Moderator


Joined: 15 Nov 2003
Posts: 3321
Location: Paris - France

PostPosted: Sat Apr 12, 2014 5:58 am    Post subject: Reply with quote

El_Goretto wrote:
Oupsman wrote:
El_Goretto wrote:

--
edit:
La GLSA est parue, donc j'imagine que la 1.0.1g est stabilisée en mode fissa-panique-de-fesses.


L'article GLSA wrote:
Severity: normal


:lol: :lol: :lol: :lol: :lol: :lol: :lol: :lol:


...

Comme quoi, nous n'avons pas les mêmes valeurs (un exploit remote sans trace avec leak d'infos, sérieux...). J'en connais qui ont récupéré les mdp mails de leurs DGs, grâce à cette faille (juste pour le PoC, sûrement, hein).

Bah oui mais non ;)
La sévérité est codifiée : http://www.first.org/cvss/cvss-guide.html
Il n’y a pas de prise de main avec accès complet sur le système distant sans authentification. Il n’y a « que » une fuite d’infos (même si ce sont des infos sensibles), donc ce n’est pas une faille critique.

En appliquant la définition du vecteur CVSS, on a un score de 5 (cf: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160), donc « normal »
Oui, les fuites d’information peuvent avoir des conséquences dramatiques, surtout quand elles sont déployées comme ici à l’échelle mondiale, mais il y a bien pire (un accès à une base de données critique permettant la destruction définitive des données par exemple). Le score ignore les considérations « humaines » et c’est fait pour, sinon une faille critique pour l’un serait mineure pour l’autre, et la qualification des vulnérabilités deviendrait ingérable.
_________________
Merci de respecter les règles du forum.

Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing
Back to top
View user's profile Send private message
Oupsman
Veteran
Veteran


Joined: 19 Jul 2004
Posts: 1026

PostPosted: Sat Apr 12, 2014 6:49 am    Post subject: Reply with quote

guilc wrote:

Bah oui mais non ;)
La sévérité est codifiée : http://www.first.org/cvss/cvss-guide.html
Il n’y a pas de prise de main avec accès complet sur le système distant sans authentification. Il n’y a « que » une fuite d’infos (même si ce sont des infos sensibles), donc ce n’est pas une faille critique.

En appliquant la définition du vecteur CVSS, on a un score de 5 (cf: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160), donc « normal »
Oui, les fuites d’information peuvent avoir des conséquences dramatiques, surtout quand elles sont déployées comme ici à l’échelle mondiale, mais il y a bien pire (un accès à une base de données critique permettant la destruction définitive des données par exemple). Le score ignore les considérations « humaines » et c’est fait pour, sinon une faille critique pour l’un serait mineure pour l’autre, et la qualification des vulnérabilités deviendrait ingérable.


Je reformule : etant donné qu'au travers de serveurs utilisant le protocole SSL, des données critiques (santé principalement) passent, pour moi cette faille est critique car elle expose potentiellement les données strictement privées de mes clients.

Le problème est que des admins systèmes qui n'ont pas de notions de services aux utilisateurs peuvent se dire "Boarf c'est qu'une faille de sévérité normale, inutile de patcher aussitôt" alors que pourtant, ouais ce patch est nécessaire, et immédiatement, de même que la regénération des clés et des certifcats l'est tout autant.

Les niveaux de sécurités sont rédigés du point de vu admin système, et non du point de vue utilisateur. C'est la maladie de l'informatique : oublier pour qui on travaille.

C'est dommage.
_________________
--
Un seul mot d'ordre : don't feed the troll anymore
Back to top
View user's profile Send private message
boozo
Advocate
Advocate


Joined: 01 Jul 2004
Posts: 3137

PostPosted: Sat Apr 12, 2014 6:49 am    Post subject: Reply with quote

@Oupsman:> Oui çà je suis bien d'accord, on parle de procédure de traitement, du curatif mais je me suis sans doute mal exprimé. Je voulais juste dire comment évaluer le volant de données de l'entreprise qui ont été potentiellement compromis.

I.e. Si les passwd vpn du DG sont potentiellement "dehors" depuis la version A qui introduit la faille est en prod et jusqu'à son verrouillage : vu les accès aux données dont dispose le profil, alors les données X et Y sont potentiellement compromises.

Bon ok normalement une PSSI doit aussi garantir et circonscrire les impacts en amon des problèmes (ie. pas d'accès aux DB métiers depuis l'exterieur du domaine et domaines étendus, les accès sysadmin ext. bloqués ou limités à de la maintenance "light", ...) et un suivi des logs, du trafic et des trames régulier doit permettre de déceler des actions anormales (qqun qui descendrait une base dans une requète etc...).

Néanmoins, je me demandais donc comment méthodologiquement, évaluer l'impact à grande échelle pour une boite car ce ne doit pas être simple non, même avec une politique de sécurité (si on en a une :roll: ) ?
Savoir si, d'expérience, c'est seulement fait et comment l'évaluer/qualifier/mesurer de manière quali/quanti - hors l'aspect curatif évident du problème en lui-même -
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Goto page Previous  1, 2, 3 ... , 11, 12, 13  Next
Page 12 of 13

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum