Effectivement le fichier de configuration par défaut fourni par les mainteneurs Debian contient : BrowseRemoteProtocols dnssd cups
Il suffit de remplacer par : BrowseRemoteProtocols dnssd
et de relancer le service.
J'oubliais l'essentiel. Inutile de désactiver un service qui peut être utile.
Cela se règle dans la configuration de cups-browsed, voir les directives BrowseProtocols dans man cups-browsed.conf.
Et comme c'est essentiellemnt un problème de configuration par défaut (sur certaines distributions ?) on peut comprendre que certains développeur soient réticents pour corriger la faille au niveau du code.
elles permettent à un utilisateur distant de faire exécuter du code en tant que root lors d'une impression initiée par un utilisateur du système. En particulier, elle permet donc à un utilisateur local de devenir root par ce biais.
Je n'ai pas tout décortiqué mais je n'ai vu nulle part que cela permettait une élévation de privilège. Le code malveillant injecté est en principe exécuté par l'utilisateur système lp
La plupart des systèmes Linux de bureau activent CUPS et cups-browsed par défaut. Certains serveurs sur internet exposent cups-browsed signale l'auteur.
Certes mais les conditions de l'exploitation de la faille rendent son succès très improbable. Et de ce point de vue les valeurs de CVSS me semblent encore largement exagérées (il y a déjà eu débat sur la pertinence de ces indicateurs de gravité).
Nous sommes d'accord. Il ya des projets qui ont une excellente documentation, par exemple Apache, Postfix, Dovecot et d'autre qui sont très mal ou très peu dosumentés.
L'article tient plus de l'éditorial avec une accroche un peu excessive. Ce n'est pas une raison pour faire une généralisation fumeuse en disant qu'il ne faut pas lire ZDnet (ok, en général c'est pas formidable ;)
Le wiki ArchLinux est un des rares cas de documentation collaborative d'ampleur et de très grande qualité (du moins dans la version anglophone, la VF introudit parfois des approximations voire des erreurs). Je suppose que c'est dû à une bonne coordination et modération.
L'article relaie le point de vue de « Jon Corbet, rédacteur en chef de LWN, la meilleure publication sur Linux et superviseur de la documentation du noyau Linux » et de « Alejandro Colomar, qui a maintenu le projet Linux man-pages pendant les quatre dernières années, vient de démissionner. »
Mais effectivement le titre un peu accrocheur ne rend pas justice à l'état réeel de la documentaion Linux (du noyau) qui s'est bien amélioré ces dernières années, ou des pages de man. Si on ne peut pas vraiment parler de Capharnaûm, les problèmes sont réels : fonctionnalités peu ou mal documentées, difficile à comprendre, etc. Il suffit d'aller visiter les liens présent dans l'article.
La gravité de la faille serait confirmée par RedHat et Canonical ce qui ne semble pas être l'avis des développeurs concernés et contactés par Simone Margaritelli. Wait and see…
Il est probable que les conditions d'exploitation de la faille la rendent beaucoup moins préoccupante que tente de le faire cette anonce tonitruante.
Quant à la fameuse French Tech, ça tient plus de l'élevage de subvention
Je me doutais que cela allait dériver sur la French Tech bien que le fait que ce soit de la merde (ou pas) n'entre pas en ligne de compte dans le présupposé totalement injustifié que cette personne n'ait aucune compétence en matière de numérique. (À ma connaissance cet organisme ne délivre aucune subvention publique.)
Il n'y a aucun sexisme dans mes posts.
C'est ce que tu penses, ce n'est pas forcément ce qu'un lecteur ou une lectrice peut ressentir. Le sexisme est tellement ancré dans les mentalités que l'on l'est bien souvent sans vraiment s'en rendre compte.
privateur est une traduction légitime de proprietary de ans ce contexte puisque sa définition est donnée par opposition au logiciel libre.
A contrario je ne connais pas d'équivalent en anglais de privateur et la traduction en français par prorpiétaire est mauvaise puisqu'elle ne correspond pas au sens anglais de « breveté, marque déposée ».
Non tu ne comprends pas, car encore une fois tu commentes sans avoir lu et sans savoir.
Elle a été responsable dans d'assez grosses boîtes de commerce en ligne puis à la direction de la French Tech.
Je n'insiste sur le côté sexiste déjà relevé dans un autre commentaire.
Mais ceci n'a guère d'importance vu le peu de temps que ce gouvernement va durer :-D
Aujourd’hui, évoquer Israël, une quelconque désapprobation d’un élément de sa politique, voire apparemment la plus simple des phrases — un seul mot, et des plus banales — peut faire coller une étiquette de nazi antisémite à quiconque. Peut-être faudrait-il trouver un juste équilibre.
C'est faux puisqu'il a été établi que Netanyahu est un nazi sans prépuce.
Le terme d'antisémite n'a d'ailleurs pas vraiment de sens dans le conflit israelo-palestinine puisque les deux peuples sont sémitiques. Ils sont tous fils de Sem (au sens biblique) sauf bien sûr le Likoud et le Hamas qui sont des fils de putes.
Certes. Mais ce n'est pas du tout ce dont il est question dans l'entretien mis en lien. C'est bien pourquoi je me suis permis de signaler au commentateur qu'il n'avait pas dû en lire l'intégralité.
Et visiblement tu n'as pas été plus loin. Sinon tu aurais compris ce propos liminaire.
La problématique est d'avoir des fonctionnalités pour exploiter des données (requêtes, simples recherches) chifrées par sécurité.
Si les données ne sont pas chiffrées, on peut envisager toutes les fonctionnalités. Si elles le sont, sans que le serveur puisse les déchifrer il devient très difficile de proposer des fonctionnalités de base comme une simple recherche.
C'est possible, mais le message d'erreur bien que bizarrement mis en forme est assez explicite : il s'agit apparemment d'un nom d'utilisateur contenant des caractères non autorisés :
': use --badname to ignore 'test6
C'est facile à reproduire en lançant la commande avec par exemple tes:t comme nom d'utilisateur.
Sur une Debian, voir le fichier /etc/adduser.conf, extrait :
# Non-system user- and groupnames are checked against this regular
# expression.
# Default: NAME_REGEX="^[a-z][-a-z0-9_]*\$?$"
#NAME_REGEX="^[a-z][-a-z0-9_]*\$?$"
Comme on ne voit pas de caractère interdit dans le retour, je suppose que le nom réel a été caviardé…
N.B. : le seule présence de l'option peu usitée --badname laisse supposer qu'il ya eu un souci dès le départ avec le nom d'utilisateur.
Il y a un décalage entre les coûts, très importants, et les revenus potentiels. Beaucoup des applications de l’IA offrant les plus grandes perspectives de revenus sont sensibles à ce que le secteur appelle les « hallucinations », c’est-à-dire les erreurs [comme une réponse factuellement fausse dans un texte]. Or, personne dans l’IA n’a de théorie convaincante sur la façon dont on pourra éliminer ces erreurs.
Quand on parle de ces cas d’usages sensibles (la santé, la conduite autonome de véhicules…), les entreprises de l’IA proposent généralement comme solution d’ajouter un humain dans la boucle, pour vérifier la décision ou le contenu produit par le logiciel. Mais l’intérêt pratique et financier de ces IA est, selon leurs créateurs, qu’elles sont censées agir beaucoup plus rapidement que les humains. Et si on a besoin de gens pour revoir chacune de leurs actions, cela limite la rentabilité et les éventuels gains en productivité.
Aucun problème pour le prestataire, qui semble avoir fait correctement son travail.
Il faudrait voir l'intégralité de la source, notamment la validité de la signature DKIM.
Mais pourquoi diable foutre des liens si obscurs le corps du message ? Ce sont des techniques utilisées par les malfrats ça :)
C'est AMHA, surtout un technique pour éviter les points négatifs des filtres anti-spams. Il est préférable que tous les liens pointent vers le même domaine.
Je comprends qu'avoir un nom de domaine qui n'a rien a voir avec l'organisme à l'origine du courriel rende suspicieux. Mais c'est malheureusement une pratique courante sur le web et dans les courriels.
À la suite de la transposition en droit français de la Directive 2018/1972 du Parlement européen et du Conseil, la déclaration préalable à l’établissement d’une activité d’opérateur de communications électroniques au sens de l’article L. 33-1 du code des postes et des communications électroniques n’est plus nécessaire.
L'obligation de déclaration préalable semble avoir été supprimée en 2018.
Les autres FAI (il y en a des centaines en France, dont FDN d'ailleurs) n'ont strictement aucune obligation.
Je n'ai pas la patience de décortiquer les textes de lois et décrets mais je suis pratiquement sûre qu'ils ont tous cette obligation. Il est cependant possible que cela ne s'applique qu'aux FAI déclarés à l'ARCEP.
[^] # Re: désactivé par défaut
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 4.
Effectivement le fichier de configuration par défaut fourni par les mainteneurs Debian contient :
BrowseRemoteProtocols dnssd cupsIl suffit de remplacer par :
BrowseRemoteProtocols dnssdet de relancer le service.
[^] # Re: Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 5.
J'oubliais l'essentiel. Inutile de désactiver un service qui peut être utile.
Cela se règle dans la configuration de cups-browsed, voir les directives BrowseProtocols dans man cups-browsed.conf.
Et comme c'est essentiellemnt un problème de configuration par défaut (sur certaines distributions ?) on peut comprendre que certains développeur soient réticents pour corriger la faille au niveau du code.
# Infos à vérifier
Posté par Voltairine . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 6.
Je n'ai pas tout décortiqué mais je n'ai vu nulle part que cela permettait une élévation de privilège. Le code malveillant injecté est en principe exécuté par l'utilisateur système lp
Certes mais les conditions de l'exploitation de la faille rendent son succès très improbable. Et de ce point de vue les valeurs de CVSS me semblent encore largement exagérées (il y a déjà eu débat sur la pertinence de ces indicateurs de gravité).
cf. https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities
(voir aussi la discussion dans la rubrique liens de linuxfr)
C'est probablement du fait
de son ego surdimensionnéd'une mauvaise communication et d'un manque de patience de sa part.[^] # Re: La solution ? Ne lisez pas zdnet
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 1.
Nous sommes d'accord. Il ya des projets qui ont une excellente documentation, par exemple Apache, Postfix, Dovecot et d'autre qui sont très mal ou très peu dosumentés.
L'article tient plus de l'éditorial avec une accroche un peu excessive. Ce n'est pas une raison pour faire une généralisation fumeuse en disant qu'il ne faut pas lire ZDnet (ok, en général c'est pas formidable ;)
[^] # Re: …pas seulement commerciales
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 3.
Le wiki ArchLinux est un des rares cas de documentation collaborative d'ampleur et de très grande qualité (du moins dans la version anglophone, la VF introudit parfois des approximations voire des erreurs). Je suppose que c'est dû à une bonne coordination et modération.
[^] # Re: La solution ? Ne lisez pas zdnet
Posté par Voltairine . En réponse au lien La documentation sur Linux et les logiciels libres est un véritable capharnaüm. Évalué à 4. Dernière modification le 26 septembre 2024 à 08:46.
L'article relaie le point de vue de « Jon Corbet, rédacteur en chef de LWN, la meilleure publication sur Linux et superviseur de la documentation du noyau Linux » et de « Alejandro Colomar, qui a maintenu le projet Linux man-pages pendant les quatre dernières années, vient de démissionner. »
Mais effectivement le titre un peu accrocheur ne rend pas justice à l'état réeel de la documentaion Linux (du noyau) qui s'est bien amélioré ces dernières années, ou des pages de man. Si on ne peut pas vraiment parler de Capharnaûm, les problèmes sont réels : fonctionnalités peu ou mal documentées, difficile à comprendre, etc. Il suffit d'aller visiter les liens présent dans l'article.
# À la source
Posté par Voltairine . En réponse au lien Une faille de sécurité à distance jugée très sérieuse sera rendue publique le 6 octobre 2024. Évalué à 8.
Le tweet de Simone Margaritelli
https://threadreaderapp.com/thread/1838169889330135132.html
Le ton est assez curieux mais on peu avoir un ego surdimensionné, être très mauvais communicant et être un bon expert en sécurité.
La gravité de la faille serait confirmée par RedHat et Canonical ce qui ne semble pas être l'avis des développeurs concernés et contactés par Simone Margaritelli. Wait and see…
Il est probable que les conditions d'exploitation de la faille la rendent beaucoup moins préoccupante que tente de le faire cette anonce tonitruante.
[^] # Re: merci papa?
Posté par Voltairine . En réponse au lien Qui est Clara Chappaz, la nouvelle secrétaire d’État chargée de l’IA et du numérique ? . Évalué à -4.
Je me doutais que cela allait dériver sur la French Tech bien que le fait que ce soit de la merde (ou pas) n'entre pas en ligne de compte dans le présupposé totalement injustifié que cette personne n'ait aucune compétence en matière de numérique. (À ma connaissance cet organisme ne délivre aucune subvention publique.)
C'est ce que tu penses, ce n'est pas forcément ce qu'un lecteur ou une lectrice peut ressentir. Le sexisme est tellement ancré dans les mentalités que l'on l'est bien souvent sans vraiment s'en rendre compte.
[^] # Re: Ben si
Posté par Voltairine . En réponse au lien Licences « Fair Source » : ni libres, ni open-source, ni privatrices. Évalué à 1.
Un peu de lecture :
https://www.gnu.org/proprietary/proprietary.fr.html
privateur est une traduction légitime de proprietary de ans ce contexte puisque sa définition est donnée par opposition au logiciel libre.
A contrario je ne connais pas d'équivalent en anglais de privateur et la traduction en français par prorpiétaire est mauvaise puisqu'elle ne correspond pas au sens anglais de « breveté, marque déposée ».
[^] # Re: Ministre de la transition écologique et du lobby pétrolier
Posté par Voltairine . En réponse au lien Ce sera comme avant, en pire.. Évalué à 10.
Aussi ;)
Je me demande à quoi sert la HATVP… ou alors il va falloir m'expliquer ce qu'est un conflit d'interêt…
# Ministre de la transition écologique et du lobby pétrolier
Posté par Voltairine . En réponse au lien Ce sera comme avant, en pire.. Évalué à 8. Dernière modification le 23 septembre 2024 à 15:15.
https://lvsl.fr/pannier-runacher-perenco-et-konbini-quand-les-interets-petroliers-se-repeignent-en-vert/
[^] # Re: merci papa?
Posté par Voltairine . En réponse au lien Qui est Clara Chappaz, la nouvelle secrétaire d’État chargée de l’IA et du numérique ? . Évalué à -2.
Non tu ne comprends pas, car encore une fois tu commentes sans avoir lu et sans savoir.
Elle a été responsable dans d'assez grosses boîtes de commerce en ligne puis à la direction de la French Tech.
Je n'insiste sur le côté sexiste déjà relevé dans un autre commentaire.
Mais ceci n'a guère d'importance vu le peu de temps que ce gouvernement va durer :-D
# Lien tronqué
Posté par Voltairine . En réponse au lien Un cinquième data center géant s’installe à Marseille sous un feu de critiques. Évalué à 2.
Merci de corriger si possible :
https://www.liberation.fr/environnement/un-cinquieme-data-center-geant-sinstalle-a-marseille-sous-un-feu-de-critiques-20240918_LXN2NKKUKZEEHCDR6LQHIQNLNM/
[^] # Re: Quoi ?
Posté par Voltairine . En réponse au lien Des centaines de blessés dans l'explosion de leurs bipeurs !. Évalué à 5.
C'est faux puisqu'il a été établi que Netanyahu est un nazi sans prépuce.
Le terme d'antisémite n'a d'ailleurs pas vraiment de sens dans le conflit israelo-palestinine puisque les deux peuples sont sémitiques. Ils sont tous fils de Sem (au sens biblique) sauf bien sûr le Likoud et le Hamas qui sont des fils de putes.
[^] # Re: Prémisse
Posté par Voltairine . En réponse au lien Quel est le prix à payer pour la sécurité de nos données ?. Évalué à 1.
Certes. Mais ce n'est pas du tout ce dont il est question dans l'entretien mis en lien. C'est bien pourquoi je me suis permis de signaler au commentateur qu'il n'avait pas dû en lire l'intégralité.
# Le révolté du Bounty
Posté par Voltairine . En réponse au lien [Mon blog] Lettre au ministère de l'intérieur, sur l'accès au code source de France Identité. Évalué à 6.
Je parie que si tu as une réponse on va te dire que tu peux participer au « bug bounty » :
https://yeswehack.com/programs/france-identite-numerique-public-bug-bounty-program
et comme ça tu pourras gagner 100 balles et un mars.
[^] # Re: Prémisse
Posté par Voltairine . En réponse au lien Quel est le prix à payer pour la sécurité de nos données ?. Évalué à 0.
Et visiblement tu n'as pas été plus loin. Sinon tu aurais compris ce propos liminaire.
La problématique est d'avoir des fonctionnalités pour exploiter des données (requêtes, simples recherches) chifrées par sécurité.
Si les données ne sont pas chiffrées, on peut envisager toutes les fonctionnalités. Si elles le sont, sans que le serveur puisse les déchifrer il devient très difficile de proposer des fonctionnalités de base comme une simple recherche.
[^] # Re: Hadopi, où es-tu ?
Posté par Voltairine . En réponse au lien Opportunité à saisir: 20 Go de fuite de donnée provenant de Cap Gemini. Évalué à 5.
Et j'ai posté ce lien il ya 24 heures…
[^] # Re: à creuser
Posté par Voltairine . En réponse au message Probléme de script automatisation de nouvel user sur serveur. Évalué à 2. Dernière modification le 14 septembre 2024 à 18:21.
C'est possible, mais le message d'erreur bien que bizarrement mis en forme est assez explicite : il s'agit apparemment d'un nom d'utilisateur contenant des caractères non autorisés :
C'est facile à reproduire en lançant la commande avec par exemple
tes:tcomme nom d'utilisateur.Sur une Debian, voir le fichier /etc/adduser.conf, extrait :
Comme on ne voit pas de caractère interdit dans le retour, je suppose que le nom réel a été caviardé…
N.B. : le seule présence de l'option peu usitée --badname laisse supposer qu'il ya eu un souci dès le départ avec le nom d'utilisateur.
[^] # Re: Dans le 9.3 c'est mieux
Posté par Voltairine . En réponse au journal Le pass Sport du gouvernement français ressemble à une grosse arnaque. Évalué à 0.
whois est ton ami
# … et les revenus potentiels
Posté par Voltairine . En réponse au lien L’intelligence artificielle est une bulle : il y a un décalage entre les coûts, très importants, et . Évalué à 10.
Extrait de l'interview de Cory Doctorow :
[^] # Re: Un presta ?
Posté par Voltairine . En réponse au journal Le pass Sport du gouvernement français ressemble à une grosse arnaque. Évalué à 4.
Il faudrait voir l'intégralité de la source, notamment la validité de la signature DKIM.
C'est AMHA, surtout un technique pour éviter les points négatifs des filtres anti-spams. Il est préférable que tous les liens pointent vers le même domaine.
Je comprends qu'avoir un nom de domaine qui n'a rien a voir avec l'organisme à l'origine du courriel rende suspicieux. Mais c'est malheureusement une pratique courante sur le web et dans les courriels.
# Moi non, car c'est utile (notifications)
Posté par Voltairine . En réponse au lien J'ai désactivé les Service Workers sur mon Firefox version Desktop ! Et vous ?. Évalué à 10. Dernière modification le 28 août 2024 à 18:47.
Par contre j'ai bloqué les cookies des 166 « partenaires » de ghacks.net.
[^] # Re: Excellente initiative
Posté par Voltairine . En réponse au lien Politique de dns.shaftinc.fr. Évalué à 1.
En êtes-vous bien sûr ?
https://extranet.arcep.fr/communications-electroniques/identifiant-ce/demande-identifiant-ce
L'obligation de déclaration préalable semble avoir été supprimée en 2018.
Voir aussi le commentaire suivant de Donk.
[^] # Re: Excellente initiative
Posté par Voltairine . En réponse au lien Politique de dns.shaftinc.fr. Évalué à 1. Dernière modification le 27 août 2024 à 08:32.
Je n'ai pas la patience de décortiquer les textes de lois et décrets mais je suis pratiquement sûre qu'ils ont tous cette obligation. Il est cependant possible que cela ne s'applique qu'aux FAI déclarés à l'ARCEP.
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000030195477
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000048108146