C'est marrant comme il ne t'es jamais venu a l'idee que l'heure n'est pas la meme a Seattle et a Paris(ou autre ville de la savane) et qu'il m'arrive de dormir, pourtant c'est pas un concept complique a comprendre.
Je ne vois pas ce qu'il y a a justifier, MS utilise ses patentes pour se faire des brouzoufs, tout comme IBM, HP, etc... font depuis des annees.
J'imagines bien que ca enrage certains vu qu'ils deviennent rouge des qu'ils entendent le mot brevet ou MS, mais ca sera pas la premiere fois qu'ils enragent.
Parce qu'un soft indépendant de l'OS, quand il est troué et qu'on le sait troué depuis des années, on peut le virer sans difficulté pour le remplacer par un autre moins troué ?
Tu m'expliques alors comment font les les gens qui utilisent Eudora ou Mozilla sous Windows ?
Magie noire ?
Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.
Et la reponse est fausse.
1) Il n'est pas plus complique de hacker un Linux ou un Windows troue
2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux
3) Propager un trou c'est le meme topo sur Linux et Windows, quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL
Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.
On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque il utilisait Redhat ou Mandrake, certainement pas Debian.
C'etait sur un service demarre par defaut, donc tous les utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin d'installer NFS, le service etait deja la, et demarre par defaut.
N'importe qui aurait pu ecrire un ver qui se propage par cette porte d'entree.
Bref, la seule difference avec Blaster, c'est que qq'un a ecrit Blaster, alors que personne n'a pris la peine d'ecrire un ver pour la faille sous Linux (vu que tres peu de gens utilisent Linux).
AMHA, oui, mais ça n'engage que moi. La différence ? Windows n'est livré qu'avec outlook express, la moindre distrib a au moins une quinzaine de client mail. Donc l'utilisateur a le choix du logiciel qu'il va utiliser pour lire ses messages. Après, s'il choisit des truc pas libre et pas sécurisé, ça reste son problème, et tant pis pour lui, mais au moins au départ il a le choix ! Sous Outlook, un petit mail avec un exe ou une page html volontairement mal codée, et bing au revoir...
C'est marrant, parce que sous Windows aussi t'as le choix, tiens moi par exemple, j'utilises pas Outlook a la maison.
Et puis, c'est vrai que le DSL est tellement répandu en France, que les mises à jours via windows update sont hyper-aisées, n'est ce pas ? Quel con l'utilisateur de ne pas savoir que la première chose à faire quand on connecte son windows au net est d'aller sur update. Et c'est tellement marrant de redémarrer 15 fois sa bécane en une heure, et pour le néophite de faire les bons choix parmi toutes ces mises à jours. Car Windows s'adresse aussi au néophite, n'est ce pas ?
Ah c'est con, parce que Windows Update t'as pas besoin de savoir qu'il faut y aller, Windows y va tout seul et t'avertit quand il y a des updates. D'autre part, pas besoin de 15 reboots non plus.
T'es sur que tu connais Windows ?
Tes produits, je les connais par coeur, je les ai vendu pendant 5 ans, chez un gros assembleur du sud. Puisque mes innocentes victimes me pardonner...
Je les ai aussi réinstallé pendant 5 ans, sur les bécanes des clients parce que ça arrétait pas de planter! Et bravo pour le support en ligne sur les produits comme NT4 server ou 2000 server
Si toi tu connais nos produits par coeur, tu le montres tres tres mal.
Au fait, la faille béante RPC, vous en êtes où de sa correction ? Parce que ça fait quand même un bail que vous la trainez celle là....
Laquelle ?
Ben reste quand même une différence: y'en a un qui m'aura couté 5000 balles supplémentaires pour commencer à utiliser de façon convenable mon PC, l'autre y m'aura rien couté. Qu'un OS et des logiciels libres et gratos plantent sur ma machine, me perdent mes données, mes documents et toutes les choses précieuses que j'ai dessus(ça m'est jamais arrivé en 5 ans), j'aurai les boules, certes. Mais quand je débourse une telle somme en espèrant avoir un système stable et qu'il s'avère que c'est une m**** sans nom, instable, friande d'écran bleu, et sans garanti, excuse moi mais là y'a franchement de quoi les avoir à l'envers
C'est marrant ta description de Windows, on sent vraiment le gars qui connait Windows.
peine perdu vu que ton attitude se conforme au mot d'ordre de M$: dénigrer linux sur la sécurite
C'est marrant, tu me montres ou j'ai dit que Linux etait pire que Windows ?
Ah oui bien sur, tu ne vas pas y arriver.
Tu as juste oublie dans ta logique que je parles en general, a la vue de ce qui se passe sur a peu pres tous mes posts, je parles pas d'un post en particulier.
C'est flagrant, et je ne suis de loin pas le seul a le remarquer.
Mais quand il y a une faille dans un logiciel Adobe, est-ce qu'on accuse Microsoft, nous ? C'est très facile de ta part de clamer "haha, mais y'a des failles dans Evolution et Mutt !", alors que ce sont des logiciels complètement indépendants de l'OS (parce que oui, contrairement à ce que ta boîte voudrait faire croire, un browser web, un lecteur multimedia ou même un gestionnaire de fichiers, ça _doit_ être indépendant de l'OS).
Ah ? Et j'accuses l'OS ou moi ?
Tout ce que je dis, c'est que Linux et Windows n'ont aucune difference au niveau de la protection contre ce genre de problemes, rien d'autres.
D'autre part quel est l'interet de savoir si les softs sont independants de l'OS ou pas ?
La question est : tel OS est-il plus protege que l'autre contre ce type d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.
De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).
"The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions."
Voila je t'en ai trouve un, dans un service demarre par defaut sur plusieurs distributions comme dit plus haut, et le plus drole est que le service est le meme type de service que pour Blaster : RPC.
Tu sais comme moi que le jour ou Linux sera repandu sur les desktops, les gens utiliseront le client mail qui leur plait en se foutant totalement de la licence, regarder la licence n'avait donc ici aucune importance.
Le point etant simplement de montrer que l'OS Linux(ou GNU/Linux pour ceux qui y tiennent) n'est pas plus protege de ce type de problemes que Windows.
Ce n'est pas une histoire de libre ou pas, c'est une histoire de conception d'OS et d'applications tournant sur un OS donne, et le resultat tel que montre est que Windows et Linux sont identiques sur ces points, memes risques, memes resultats.
Et quand il y a une faille dans Mozilla, Evolution, Mutt, etc... ?
cf. plus haut pour voir que oui, il y en a, et resultat, si tu installes pas ces patchs, tu passes d'une faille limitee a ton user a une faille atteignant le systeme entier.
J'ai jamais dit que c'etait comparable a Blaster, simplement croire que parce que la faille est uniquement locale alors il n'y a pas besoin de patcher est idiot, et c'est de ca dont on parlait.
En plus, franchement t'as peur de rien en donnant ces exemples là !! Mutt, pine et Fingerd, rien que ça !!! Snifff....
Faut savoir, je croyais que c'etait pas possible de se faire entuber en lisant un e-mail sous Linux ?
T'as change d'avis ? Ou plutot tu ne sais pas de quoi tu parles ?
J'vais t'en donner d'autres dans le même genre alors, tant qu'à faire dans le comique (et le ridicule): compte root sans mot de passe avec telnet ou ftp ouvert, Xchat avec DCC Send auto-accept et configuré dans ~/, les mots de passes admin envoyé en clair par mail sur msn aussi, non, pourquoi pas tant qu'on y est ??? Sérieux, t'as essayé d'être drôle là, t'as jamais cru dans les arguments que tu viens de donner ? Si ? ..... alors c'est que t'as jamais approché un manchot de ta vie, tu l'as vu de loin, de dos et par temps de brouillard! En plus il devait neiger....
Pourquoi ? C'est etre idiot que de lire ses e-mails avec Mutt ou Pine ? Il y a quoi de different par rapport a lire ses e-mails avec Outlook ?
Tu me parles de mauvaise foi, faudrait te regarder dans la glace.
C'est con que tu fasses pas le meme genre de liste pour Linux et consorts, parce que t'arriverais au meme resultat.
Un trou de securite sur Windows ou Linux, c'est le meme topo.
Qu'ensuite des millions de personnes sous Windows soient touchees et pas sous Linux car il y a des dizaines de millions de gens utilisant Windows et pas Linux, ca n'a rien a voir, l'erreur a la base est exactement la meme chez Windows et chez Linux.
Bref, ta liste elle correspond a quoi ? Elle ne fait que montrer que des gens n'updatent par leurs softs, qu'il y a des trous dans des softs Microsoft, comme partout ailleurs, et que quand un soft est hyper repandu, ca fait bcp de gens touches.
Ta liste ne signifie absolument rien quand au fait que MS est pire que les autres, car n'importe qui d'autre a la place de MS(sur 95% des desktops, 50% des serveurs) se retrouverait avec le meme resultat.
Quand a Octobre 2001, microsoft qui veut faire interdire toute diffusion d'information relative aux failles de sécurité de ses logiciels ( http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...)) ), arguant du fait qu'ils n'arriveront jamais à les corriger, celui là, je suppose qu'il était écrit trop petit et que tu l'as pas vu, c'est ça ? Zut alors !!
Faudrait que t'apprennes a lire.
Ce qu'il demande c'est de retenir les infos de l'exploit jusqu'a ce que le patche sorte plutot que le sortir tout de suite.
Il ne parle pas de garder un silence total sur les failles.
Comment voulez vous assurer un débat constructif en vous acharnant à coup de - sur toute personne qui defend (et avec repartie - ne vous en deplaise ) le point de vue inverse de celui communement admis sur ce forum ???
Tu as tout compris.
Un debat constructif ca ne les interesse pas. Des qu'ils voient un commentaire qui ne va pas dans le sens qui leur plait, ils essaient de le cacher car ca pourrait remettre en cause leurs prejuges.
Tu utilises un des trous de securite remotes qui ne donnent qu'un acces limite (nobody avec Apache, etc...) et hop, tu deviens root sur la machine avec le trou local.
Je suppose que ça ne peut pas arriver chez vous (process, assurance qualité, gnagnagna),
Si ca peut arriver, c'etait d'ailleurs l'objet de la discussion, que ca arrivait chez nous. Je voulais juste montrer a notre cher ami qu'on etait loin d'etre les seuls.
mais si par extraordinaire cela se produisait, hypothèse folle j'en conviens, comment un utilisateur (j'inclus les admins chevronnés) pourrait il s'apercevoir que les fichiers créés après l'application d'un fix(pack) sont world-writable ? Comment pourrait il rapporter le problème, et serait il écouté ?
Comment ? Ben en regardant sa machine, tu crois que chez Mandrake ils s'en sont rendus compte comment ?
Plus de la moitie des bugs qu'on fixe sont reportes par les utilisateurs.
donne un seul exemple d'une faille linux , ou sendmail ou mysql ou autre, qui ait été mondialement connue et exploité et qui a mis des milliers d'entreprises par terre, en leur coutant beaucoup de ronds ....
Virus qui passait par Openssl
Donc, si t'as des liens à fournir là dessus, des liens qui montrent qu'un linux défectueux (et pas installé par des yuriths) a entrainé la liquidation d'une société et la mise au chomage de tout son personnel, n'hésite pas donne, c'est pour élargir ma culture. Attention, je dis pas que c'est impossible, mais je veux voir.
Si t'as la meme chose pour MS, donne je veux voir aussi.
Et puis, une différence importante entre les failles linux et windows: pour exploiter celle de linux, va quand même falloir que tu te lèves tôt le matin, que tu te prépares quelques litres de café et que tu ais des munitions de clopes. Pour windows, suffit juste de te rendre sur une page web ou d'ouvrir un malheureux email....
Je te rassures, sur Linux aussi lire un e-mail ca suffit :
Arf, et si tu apprenais a lire plutot que me traiter de mauvaise foi ?
Je dis de lire la partie *Update* du lien, c'est pas pour rien :
"The kernels provided in MDKSA-2003:066-1 (2.4.21-0.24mdk) had a problem where all files created on any filesystem other than XFS, and using any kernel other than kernel-secure, would be created with mode 0666, or world writeable. The 0.24mdk kernels have been removed from the mirrors and users are encouraged to upgrade and remove those kernels from their systems to prevent accidentally booting into them."
On parlait des patchs qui foutent le boxon, c'est un exemple typique.
Ca veut pas dire que Microsoft a donne de nouveau 8 millions, ca veut dire que SCO de nouveaux millions, pas forcement de la meme provenance que les precedents.
D'ailleurs la phrase complete est :
"The company did (as was disclosed previously) get another $8 million from Microsoft for a "broader" Unix license."
Alors ce qui m'amuse en définitive, si une grosse société à plusieurs milliards de dollars ne corrige pas ses serveurs et se laisse envahir par un ver (conf. blaster.worm), comment pourrait-elle se prétendre meilleure ?
Ben au hasard, le fait que les patchs pour Code Red, Nimda, Slammer, Blaster,... etaient dispo avant que le ver apparaisse.
En passant, Blaster n'a rien fait du tout chez nous, le departement IT forcait les patchs sur les machines, et menacait de bloquer les ports des machines non patchees.
Aug 18, 2003 SCO Announces Release of SCO Authentication 2.1 for Microsoft Active Directory
Aug 18, 2003 SCO Announces UnixWare Office Mail Server 2.0
Jul 31, 2003 SCO Announces Availability of OpenServer Kernel Personality on UnixWare
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 6.
[^] # Re: Microsoft va faire payer l'utilisation du système de fichiers FAT
Posté par pasBill pasGates . En réponse à la dépêche Microsoft va faire payer l'utilisation du système de fichiers FAT. Évalué à 2.
Je ne vois pas ce qu'il y a a justifier, MS utilise ses patentes pour se faire des brouzoufs, tout comme IBM, HP, etc... font depuis des annees.
J'imagines bien que ca enrage certains vu qu'ils deviennent rouge des qu'ils entendent le mot brevet ou MS, mais ca sera pas la premiere fois qu'ils enragent.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -1.
Tu m'expliques alors comment font les les gens qui utilisent Eudora ou Mozilla sous Windows ?
Magie noire ?
Et la réponse est : d'un côté tu as un OS sur lequel il faut que le gars de l'autre côté sache très précisément ce qu'il fait pour avoir son rootkit, et de l'autre un OS qui non seulement se fait trouer de tous les côtés mais en plus propage le trou partout où il peut.
Et la reponse est fausse.
1) Il n'est pas plus complique de hacker un Linux ou un Windows troue
2) Des trous il n'y en pas pas forcement plus dans Windows que dans Linux
3) Propager un trou c'est le meme topo sur Linux et Windows, quand t'es dedans tu fais ce que tu veux, cf. le ver pour OpenSSL
Je dois être aveugle, je ne vois absolument pas en quoi son mode de propagation est similaire à celui de MSBlast. De plus, on parle depuis plusieurs posts de l'utilisateur lambda, celui qui n'a aucun logiciel serveur, un seul compte sur sa machine et n'a donc qu'un risque _très réduit_ de se faire pirater via l'exploit subi par Debian. Tu peux m'expliquer en quoi un utilisateur lambda a besoin de NFS ? De plus, cette histoire de "installé par défaut", je ne sais pas ce qu'il en est pour les SuSE et les Red Hat de l'époque, mais pour la Debian, c'est du flan. J'espère que tu as un exemple un peu plus pertinent que celui-ci, parce que pour le coup, c'est un peu maigre.
On parle de l'utilisateur lambda, cet utilisateur lambda, a l'epoque il utilisait Redhat ou Mandrake, certainement pas Debian.
C'etait sur un service demarre par defaut, donc tous les utilisateurs de RH, Mdk, Suse,... etaient concernes, pas besoin d'installer NFS, le service etait deja la, et demarre par defaut.
N'importe qui aurait pu ecrire un ver qui se propage par cette porte d'entree.
Bref, la seule difference avec Blaster, c'est que qq'un a ecrit Blaster, alors que personne n'a pris la peine d'ecrire un ver pour la faille sous Linux (vu que tres peu de gens utilisent Linux).
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
C'est marrant, parce que sous Windows aussi t'as le choix, tiens moi par exemple, j'utilises pas Outlook a la maison.
Et puis, c'est vrai que le DSL est tellement répandu en France, que les mises à jours via windows update sont hyper-aisées, n'est ce pas ? Quel con l'utilisateur de ne pas savoir que la première chose à faire quand on connecte son windows au net est d'aller sur update. Et c'est tellement marrant de redémarrer 15 fois sa bécane en une heure, et pour le néophite de faire les bons choix parmi toutes ces mises à jours. Car Windows s'adresse aussi au néophite, n'est ce pas ?
Ah c'est con, parce que Windows Update t'as pas besoin de savoir qu'il faut y aller, Windows y va tout seul et t'avertit quand il y a des updates. D'autre part, pas besoin de 15 reboots non plus.
T'es sur que tu connais Windows ?
Tes produits, je les connais par coeur, je les ai vendu pendant 5 ans, chez un gros assembleur du sud. Puisque mes innocentes victimes me pardonner...
Je les ai aussi réinstallé pendant 5 ans, sur les bécanes des clients parce que ça arrétait pas de planter! Et bravo pour le support en ligne sur les produits comme NT4 server ou 2000 server
Si toi tu connais nos produits par coeur, tu le montres tres tres mal.
Au fait, la faille béante RPC, vous en êtes où de sa correction ? Parce que ça fait quand même un bail que vous la trainez celle là....
Laquelle ?
Ben reste quand même une différence: y'en a un qui m'aura couté 5000 balles supplémentaires pour commencer à utiliser de façon convenable mon PC, l'autre y m'aura rien couté. Qu'un OS et des logiciels libres et gratos plantent sur ma machine, me perdent mes données, mes documents et toutes les choses précieuses que j'ai dessus(ça m'est jamais arrivé en 5 ans), j'aurai les boules, certes. Mais quand je débourse une telle somme en espèrant avoir un système stable et qu'il s'avère que c'est une m**** sans nom, instable, friande d'écran bleu, et sans garanti, excuse moi mais là y'a franchement de quoi les avoir à l'envers
C'est marrant ta description de Windows, on sent vraiment le gars qui connait Windows.
peine perdu vu que ton attitude se conforme au mot d'ordre de M$: dénigrer linux sur la sécurite
C'est marrant, tu me montres ou j'ai dit que Linux etait pire que Windows ?
Ah oui bien sur, tu ne vas pas y arriver.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 2.
C'est flagrant, et je ne suis de loin pas le seul a le remarquer.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
Ah ? Et j'accuses l'OS ou moi ?
Tout ce que je dis, c'est que Linux et Windows n'ont aucune difference au niveau de la protection contre ce genre de problemes, rien d'autres.
D'autre part quel est l'interet de savoir si les softs sont independants de l'OS ou pas ?
La question est : tel OS est-il plus protege que l'autre contre ce type d'attaque. Que Mutt ou Outlook soit dans l'OS ou pas n'y change rien.
De plus, des failles, il y en a des plus difficiles à exploiter que d'autres et, comme par hasard, sous Windows on en trouve avec lesquelles il n'y a même pas besoin d'avoir un cracker de l'autre côté vu que la transmission de la chose est automatique. Si tu m'en trouves une sous Linux qui agisse de la même manière sans qu'un serveur web soit installé sur la machine, je suis tout disposé à la connaître (que je sache, on attrappait pas MSBlast à cause de IIS).
http://www.cert.org/advisories/CA-2000-17.html(...)
"The CERT/CC has begun receiving reports of an input validation vulnerability in the rpc.statd program being exploited. This program is included, and often installed by default, in several popular Linux distributions."
Voila je t'en ai trouve un, dans un service demarre par defaut sur plusieurs distributions comme dit plus haut, et le plus drole est que le service est le meme type de service que pour Blaster : RPC.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
Le point etant simplement de montrer que l'OS Linux(ou GNU/Linux pour ceux qui y tiennent) n'est pas plus protege de ce type de problemes que Windows.
Ce n'est pas une histoire de libre ou pas, c'est une histoire de conception d'OS et d'applications tournant sur un OS donne, et le resultat tel que montre est que Windows et Linux sont identiques sur ces points, memes risques, memes resultats.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
Et quand il y a une faille dans Mozilla, Evolution, Mutt, etc... ?
cf. plus haut pour voir que oui, il y en a, et resultat, si tu installes pas ces patchs, tu passes d'une faille limitee a ton user a une faille atteignant le systeme entier.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 2.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 3.
Ben vas y donne moi le nom, j'sais pas je l'ai jamais vu dans le coin.
Va voir par toi meme http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=(...)
En plus, franchement t'as peur de rien en donnant ces exemples là !! Mutt, pine et Fingerd, rien que ça !!! Snifff....
Faut savoir, je croyais que c'etait pas possible de se faire entuber en lisant un e-mail sous Linux ?
T'as change d'avis ? Ou plutot tu ne sais pas de quoi tu parles ?
J'vais t'en donner d'autres dans le même genre alors, tant qu'à faire dans le comique (et le ridicule): compte root sans mot de passe avec telnet ou ftp ouvert, Xchat avec DCC Send auto-accept et configuré dans ~/, les mots de passes admin envoyé en clair par mail sur msn aussi, non, pourquoi pas tant qu'on y est ??? Sérieux, t'as essayé d'être drôle là, t'as jamais cru dans les arguments que tu viens de donner ? Si ? ..... alors c'est que t'as jamais approché un manchot de ta vie, tu l'as vu de loin, de dos et par temps de brouillard! En plus il devait neiger....
Pourquoi ? C'est etre idiot que de lire ses e-mails avec Mutt ou Pine ? Il y a quoi de different par rapport a lire ses e-mails avec Outlook ?
Tu me parles de mauvaise foi, faudrait te regarder dans la glace.
C'est con que tu fasses pas le meme genre de liste pour Linux et consorts, parce que t'arriverais au meme resultat.
Un trou de securite sur Windows ou Linux, c'est le meme topo.
Qu'ensuite des millions de personnes sous Windows soient touchees et pas sous Linux car il y a des dizaines de millions de gens utilisant Windows et pas Linux, ca n'a rien a voir, l'erreur a la base est exactement la meme chez Windows et chez Linux.
Bref, ta liste elle correspond a quoi ? Elle ne fait que montrer que des gens n'updatent par leurs softs, qu'il y a des trous dans des softs Microsoft, comme partout ailleurs, et que quand un soft est hyper repandu, ca fait bcp de gens touches.
Ta liste ne signifie absolument rien quand au fait que MS est pire que les autres, car n'importe qui d'autre a la place de MS(sur 95% des desktops, 50% des serveurs) se retrouverait avec le meme resultat.
Quand a
Octobre 2001, microsoft qui veut faire interdire toute diffusion d'information relative aux failles de sécurité de ses logiciels ( http://www.microsoft.com/technet/treeview/default.asp?url=/technet/(...)) ), arguant du fait qu'ils n'arriveront jamais à les corriger, celui là, je suppose qu'il était écrit trop petit et que tu l'as pas vu, c'est ça ? Zut alors !!
Faudrait que t'apprennes a lire.
Ce qu'il demande c'est de retenir les infos de l'exploit jusqu'a ce que le patche sorte plutot que le sortir tout de suite.
Il ne parle pas de garder un silence total sur les failles.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 2.
Tu as tout compris.
Un debat constructif ca ne les interesse pas. Des qu'ils voient un commentaire qui ne va pas dans le sens qui leur plait, ils essaient de le cacher car ca pourrait remettre en cause leurs prejuges.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 1.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 1.
Si ca peut arriver, c'etait d'ailleurs l'objet de la discussion, que ca arrivait chez nous. Je voulais juste montrer a notre cher ami qu'on etait loin d'etre les seuls.
mais si par extraordinaire cela se produisait, hypothèse folle j'en conviens, comment un utilisateur (j'inclus les admins chevronnés) pourrait il s'apercevoir que les fichiers créés après l'application d'un fix(pack) sont world-writable ? Comment pourrait il rapporter le problème, et serait il écouté ?
Comment ? Ben en regardant sa machine, tu crois que chez Mandrake ils s'en sont rendus compte comment ?
Plus de la moitie des bugs qu'on fixe sont reportes par les utilisateurs.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 1.
Virus qui passait par Openssl
Donc, si t'as des liens à fournir là dessus, des liens qui montrent qu'un linux défectueux (et pas installé par des yuriths) a entrainé la liquidation d'une société et la mise au chomage de tout son personnel, n'hésite pas donne, c'est pour élargir ma culture. Attention, je dis pas que c'est impossible, mais je veux voir.
Si t'as la meme chose pour MS, donne je veux voir aussi.
Et puis, une différence importante entre les failles linux et windows: pour exploiter celle de linux, va quand même falloir que tu te lèves tôt le matin, que tu te prépares quelques litres de café et que tu ais des munitions de clopes. Pour windows, suffit juste de te rendre sur une page web ou d'ouvrir un malheureux email....
Je te rassures, sur Linux aussi lire un e-mail ca suffit :
http://www.sfu.ca/~siegert/linux-security/msg00107.html(...)
http://www.cotse.com/mailing-lists/bugtraq/1999/0491.html(...)
http://www.opennet.ru/base/exploits/1063730283_626.txt.html(...)
...
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -2.
Tu as la liberte de risquer le meme sort que gnu.org ou debian
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -3.
Je dis de lire la partie *Update* du lien, c'est pas pour rien :
"The kernels provided in MDKSA-2003:066-1 (2.4.21-0.24mdk) had a problem where all files created on any filesystem other than XFS, and using any kernel other than kernel-secure, would be created with mode 0666, or world writeable. The 0.24mdk kernels have been removed from the mirrors and users are encouraged to upgrade and remove those kernels from their systems to prevent accidentally booting into them."
On parlait des patchs qui foutent le boxon, c'est un exemple typique.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -3.
4 exemples sur le *kernel*
Maintenant tu rajoutes tous les autres composants de l'OS, on rigolera bien.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -2.
http://www.linuxworld.com/story/32707.htm(...)
http://lwn.net/Alerts/41290/(...) (cf. partie "Update")
http://www.clustermatic.org/pipermail/linuxbios/2002-December/00133(...)
http://seclists.org/lists/linux-kernel/2003/Oct/1745.html(...)
Ca ce n'est que le kernel 2.4, je parles pas des autres composants de l'OS.
[^] # Re: SCO s'interpose dans le rachat de Suse par Novell
Posté par pasBill pasGates . En réponse à la dépêche SCO s'interpose dans le rachat de Suse par Novell. Évalué à 1.
SCO a recu 8 autres millions de Microsoft.
Ca veut pas dire que Microsoft a donne de nouveau 8 millions, ca veut dire que SCO de nouveaux millions, pas forcement de la meme provenance que les precedents.
D'ailleurs la phrase complete est :
"The company did (as was disclosed previously) get another $8 million from Microsoft for a "broader" Unix license."
Ils parlent de l'unique licence achetee par MS.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à 0.
[^] # Re: Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22
Posté par pasBill pasGates . En réponse à la dépêche Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22. Évalué à -1.
Ben au hasard, le fait que les patchs pour Code Red, Nimda, Slammer, Blaster,... etaient dispo avant que le ver apparaisse.
En passant, Blaster n'a rien fait du tout chez nous, le departement IT forcait les patchs sur les machines, et menacait de bloquer les ports des machines non patchees.
# Re: nan c'est un fake ? : /
Posté par pasBill pasGates . En réponse au journal nan c'est un fake ? : /. Évalué à 3.
[^] # Re: SCO s'interpose dans le rachat de Suse par Novell
Posté par pasBill pasGates . En réponse à la dépêche SCO s'interpose dans le rachat de Suse par Novell. Évalué à 0.
http://ir.sco.com/releases.cfm(...)
Aug 18, 2003 SCO Announces Release of SCO Authentication 2.1 for Microsoft Active Directory
Aug 18, 2003 SCO Announces UnixWare Office Mail Server 2.0
Jul 31, 2003 SCO Announces Availability of OpenServer Kernel Personality on UnixWare
# Re: Le Bios vous observe...
Posté par pasBill pasGates . En réponse au journal Le Bios vous observe.... Évalué à 1.
Oh, et puis comme solution 5) tu pourrais prendre ce BIOS et faire tourner Linux dessus