Re: Faille Heartbleed d'Openssl
On Tue, Apr 08, 2014 at 11:13:43PM +0200, RHATAY Sami rhatay.e1302...@etud.univ-ubs.fr wrote a message of 52 lines which said: Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi... Problème classique avec testing : pas de mise à jour de sécurité rapide. Si on tient à la sécurité, stable ou unstable. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409073953.gb14...@sources.org
Re: Faille Heartbleed d'Openssl
On Tue, Apr 08, 2014 at 11:01:25PM +0200, Stéphane GARGOLY stephane.garg...@gmail.com wrote a message of 42 lines which said: En consultant la page Next INpact (ex-PC INpact) Il vaut mieux consulter les DSA :-) Ou, sinon, des sources plus primaires : http://seenthis.net/messages/245060 La mise à jour est nécessaire mais pas suffisante. Il faut aussi : - invalider les sessions (la faille permet de lire les cookies) - changer les mots de passe (la faille permet de lire un htpasswd en mémoire) - et sans doute changer les clés TLS (pas uniquement re-signer les certificats), la faille pouvant permettre de lire les clés privées. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409073912.ga14...@sources.org
Re: LXC et Wheezy
Bonjour et merci pour vos réponses. J'ai ajusté ma configuration comme conseillé par phep, pas d'amélioration. J'ai également changé l'adresse MAC de mon conteneur (pour l'instant je n'en ai qu'un, ce n'était donc pas un problème de conflit). Au passage, bien que je ne pense pas que ça soit incompatible, mon hôte est une VM VirtualBox… = Sur l'hôte = == /etc/network/interfaces == auto eth0 iface eth0 inet manual auto br0 iface br0 inet static address 172.16.13.1 netmask 255.255.0.0 gateway 172.16.0.1 network 172.16.0.0 broadcast 172.16.255.255 dns-nameservers 172.16.1.14 bridge_ports eth0 bridge_fd 0 bridge_stp off bridge_waitport 0 bridge_maxwait 0 == route -n == Destination Passerelle Genmask Indic Metric RefUse Iface 0.0.0.0 172.16.0.1 0.0.0.0 UG0 00 br0 172.16.0.0 0.0.0.0 255.255.0.0 U 0 00 br0 == ifconfig == br0 Link encap:Ethernet HWaddr 08:00:27:a6:7f:1e inet adr:172.16.13.1 Bcast:172.16.255.255 Masque:255.255.0.0 adr inet6: fe80::a00:27ff:fea6:7f1e/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4268 errors:0 dropped:26 overruns:0 frame:0 TX packets:2615 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:1493327 (1.4 MiB) TX bytes:596165 (582.1 KiB) eth0 Link encap:Ethernet HWaddr 08:00:27:a6:7f:1e UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4513 errors:0 dropped:14 overruns:0 frame:0 TX packets:2664 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:1577026 (1.5 MiB) TX bytes:619243 (604.7 KiB) loLink encap:Boucle locale inet adr:127.0.0.1 Masque:255.0.0.0 adr inet6: ::1/128 Scope:Hôte UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:71 errors:0 dropped:0 overruns:0 frame:0 TX packets:71 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:0 RX bytes:28273 (27.6 KiB) TX bytes:28273 (27.6 KiB) veth-mbs-coll Link encap:Ethernet HWaddr fe:ad:86:e4:3c:15 adr inet6: fe80::fcad:86ff:fee4:3c15/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:10 errors:0 dropped:0 overruns:0 frame:0 TX packets:500 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:672 (672.0 B) TX bytes:37661 (36.7 KiB) == iptables -L == Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination == iptables -t nat -L == Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination = Sur le conteneur = == /etc/network/interfaces == auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 172.16.13.30 netmask 255.255.0.0 gateway 172.16.1.1 broadcast 172.16.255.255 network 172.16.0.0 == route -n == Destination Passerelle Genmask Indic Metric RefUse Iface 0.0.0.0 172.16.13.1 0.0.0.0 UG0 00 eth0 172.16.0.0 0.0.0.0 255.255.0.0 U 0 00 eth0 == ifconfig == eth0 Link encap:Ethernet HWaddr 00:ff:aa:00:13:30 inet adr:172.16.13.30 Bcast:172.16.255.255 Masque:255.255.0.0 adr inet6: fe80::2ff:aaff:fe00:1330/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:936 errors:0 dropped:22 overruns:0 frame:0 TX packets:11 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 lg file transmission:1000 RX bytes:71424 (69.7 KiB) TX bytes:758 (758.0 B) loLink encap:Boucle locale inet adr:127.0.0.1 Masque:255.0.0.0 adr inet6: ::1/128 Scope:Hôte UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1 errors:0 dropped:0 overruns:0
Re: Faille Heartbleed d'Openssl
On Wed, Apr 09, 2014 at 09:39:53AM CEST, Stephane Bortzmeyer steph...@sources.org said: On Tue, Apr 08, 2014 at 11:13:43PM +0200, RHATAY Sami rhatay.e1302...@etud.univ-ubs.fr wrote a message of 52 lines which said: Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi... Problème classique avec testing : pas de mise à jour de sécurité rapide. Si on tient à la sécurité, stable ou unstable. Ou installer le paquet d'instable au moment de l'alerte (c'estce que j'ai fait). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409080853.gb12...@rail.eu.org
Re: LXC et Wheezy
Le 08/04/2014 23:08, Bzzz a écrit : On Tue, 08 Apr 2014 22:07:08 +0200 phep phep-li...@teletopie.net wrote: Pas de broadcast ? … auto eth0 iface eth0 inet static address 172.16.13.30 netmask 255.255.0.0 gateway 172.16.0.1 network 172.16.0.0 Zarbitunapatoanan+ d'adresse de broadcast… étonant, non; il est, n'est-il pas? Eh, eh, si, mais c'est justement en recopiant et adaptant ce bout de config aux adresses de Seb que je me suis rendu compte que le broadcast manquait dans sa config, que j'ai donc modifié le début de mon message pour souligner cette absence ... et oublié de modifier la fin ;-). Mauvaise relecture, désolé. En revanche, vu le dernier message de Seb, ça semble pas être ça de toute manière. Patrice -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5344ff3d.6080...@teletopie.net
Julian Assange: Debian Is Owned By The NSA
http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/ (danger : gros fumage de moquette) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409082101.ga19...@sources.org
[Résolu] Re: LXC et Wheezy
Le mercredi 09 avril 2014 à 9:43, Sébastien NOBILI a écrit : Au passage, bien que je ne pense pas que ça soit incompatible, mon hôte est une VM VirtualBox… Et pourtant… Mon problème était dans la configuration de VirtualBox. VirtualBox est configuré lui-aussi en pont sur eth0 de mon poste de travail. Dans la configuration avancée de l'interface réseau de VirtualBox : « Mode Promiscuité » était à « Refuser ». Je l'ai passé à « Tout autoriser ». Mes conteneurs LXC peuvent accéder à l'extérieur, l'extérieur peut accéder à mes conteneurs ! Merci pour le coup de main. Seb -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409082629.gd13...@sebian.nob900.homeip.net
Re: Faille Heartbleed d'Openssl
On 08/04/2014 23:01, Stéphane GARGOLY wrote: Euh, pour finir, dites-moi : j'ai révé ou il y a eu déjà un précédent avec cet outil (OpenSSL) aussi important et sensible, il y a des années ? o:-) Je me rappelle d'un gros problème sur openssh il y a quelques années mais pour openssl je ne me rappelle pas. -- Francois Mescam Tel:+33 6 16 05 77 61 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/534504f9.6050...@mescam.org
Re: Faille Heartbleed d'Openssl
On Wed, Apr 09, 2014 at 10:29:45AM +0200, Francois Mescam franc...@mescam.org wrote a message of 19 lines which said: pour openssl je ne me rappelle pas. :-D http://www.debian.org/security/2008/dsa-1571 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409085549.ga22...@sources.org
Re: Faille Heartbleed d'Openssl
Le 04/09/2014 10:55 AM, Stephane Bortzmeyer a écrit : On Wed, Apr 09, 2014 at 10:29:45AM +0200, Francois Mescam franc...@mescam.org wrote a message of 19 lines which said: pour openssl je ne me rappelle pas. :-D http://www.debian.org/security/2008/dsa-1571 Openssh se base sur OpenSSL :-D -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5345192b.2060...@gmail.com
Votre avis sur une erreur unable to handle kernel paging request
Bonjour, ces dernieres semaines, nous avons régulièrement des erreurs de type unable to handle kernel paging request. En voici un exemple: http://pastie.org/9045954 Est-ce que cette erreur ne peut etre due qu'à une probleme de mémoire? Concernant l'erreur mentionnée ci-dessus, il s'agissait d'un rsync de petits fichiers, process qui est passé en uninterruptible sleep. Depuis cette erreur, il y a une partie de l'arborescence disque imactée par le rsync à laquelle je ne peux plus accéder (ls, cd, ...). Ceci peut-il s'expliquer par un probleme mémoire? Un memtest a été effectué, une seule pass ayant eu le temps de se faire. Aucune erreur n'a été reportée lors de ce test, mais est-ce suffisant pour exclure un probleme mémoire? Merci d'avance pour vos avis et conseils. Raphaël
Re: Votre avis sur une erreur unable to handle kernel paging request
2014-04-09 15:25 GMT+02:00 Raphael Bauduin rbli...@gmail.com: Bonjour, ces dernieres semaines, nous avons régulièrement des erreurs de type unable to handle kernel paging request. En voici un exemple: http://pastie.org/9045954 Est-ce que cette erreur ne peut etre due qu'à une probleme de mémoire? Concernant l'erreur mentionnée ci-dessus, il s'agissait d'un rsync de petits fichiers, process qui est passé en uninterruptible sleep. Depuis cette erreur, il y a une partie de l'arborescence disque imactée par le rsync à laquelle je ne peux plus accéder (ls, cd, ...). Ceci peut-il s'expliquer par un probleme mémoire? Un memtest a été effectué, une seule pass ayant eu le temps de se faire. Aucune erreur n'a été reportée lors de ce test, mais est-ce suffisant pour exclure un probleme mémoire? Merci d'avance pour vos avis et conseils. Raphaël Je viens de me rendre compte que sur 21 erreur de ce type, seule 6 adresses sont concernées: c001fad6 c001fade 8804c001fade 8804c001fb2e 8804c001fb39 ea00c001fade J'ai regardé dans le code du kernel mais n'ai pas encore pu vérifier qu'il s'agit d'adresses hardware. Quelqu'un peu confirmer? Raphaël
Re: Votre avis sur une erreur unable to handle kernel paging request
On Wed, Apr 09, 2014 at 03:25:47PM CEST, Raphael Bauduin rbli...@gmail.com said: Bonjour, ces dernieres semaines, nous avons régulièrement des erreurs de type unable to handle kernel paging request. En voici un exemple: http://pastie.org/9045954 Est-ce que cette erreur ne peut etre due qu'à une probleme de mémoire? Concernant l'erreur mentionnée ci-dessus, il s'agissait d'un rsync de petits fichiers, process qui est passé en uninterruptible sleep. Depuis cette erreur, il y a une partie de l'arborescence disque imactée par le rsync à laquelle je ne peux plus accéder (ls, cd, ...). Ceci peut-il s'expliquer par un probleme mémoire? Un memtest a été effectué, une seule pass ayant eu le temps de se faire. Aucune erreur n'a été reportée lors de ce test, mais est-ce suffisant pour exclure un probleme mémoire? Merci d'avance pour vos avis et conseils. J'ai vu ça sur une RHEL 6, avec un clearcase qui fragmentait comme un porc la mémoire kernel. Si memtest passe ça indique quand même que la mémoire physique est fiable. Mais ça n'indique rien de la manière dont les différents modules noyaux se comportent. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409142147.ge12...@rail.eu.org
Re: Faille Heartbleed d'Openssl
On 2014-04-08 23:01:25 +0200, Stéphane GARGOLY wrote: En consultant la page Next INpact (ex-PC INpact) http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securite-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution. [...] Par contre, les autres versions (Oldstable/Squeeze, Testing/Jessie et Unstable/Sid) ne semblent pas être concernées par ce problème. unstable était aussi concerné (il y a eu une mise à jour 1.0.1g-1 hier corrigeant le bug, et une autre 1.0.1g-2 aujourd'hui pour redémarrer les services automatiquement). On 2014-04-09 09:39:12 +0200, Stephane Bortzmeyer wrote: La mise à jour est nécessaire mais pas suffisante. Il faut aussi : - invalider les sessions (la faille permet de lire les cookies) - changer les mots de passe (la faille permet de lire un htpasswd en mémoire) - et sans doute changer les clés TLS (pas uniquement re-signer les certificats), la faille pouvant permettre de lire les clés privées. et s'assurer que les anciens certificats sont révoqués; avec Gandi, cela sera automatique, mais ce n'est pas encore fait: https://twitter.com/gandibar/status/453658107055718400 Je pense que pour tester la révocation, on peut faire: openssl s_server -key old-private.key -cert old-cert.crt -www sur le serveur, et ouvrir avec un navigateur web: https://server_hostname:4433/ -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409143746.ga22...@xvii.vinc17.org
Re: Faille Heartbleed d'Openssl
On 04/09/2014 09:39 AM, Stephane Bortzmeyer wrote: On Tue, Apr 08, 2014 at 11:13:43PM +0200, RHATAY Sami rhatay.e1302...@etud.univ-ubs.fr wrote a message of 52 lines which said: Par contre je suis sous Jessie et je suis aussi concerné...toujours pas de mise à jour en vue pour moi... Problème classique avec testing : pas de mise à jour de sécurité rapide. Si on tient à la sécurité, stable ou unstable. Bonjour La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. Il semble que les corrections de sécurité soient traitées comme de simples bugs chez Debian, ce n'est pas admissible. Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53455fbe.7040...@gmail.com
Re: Votre avis sur une erreur unable to handle kernel paging request
Le mercredi 9 avril 2014, 16:21:47 Erwan David a écrit : […] Si memtest passe ça indique quand même que la mémoire physique est fiable. Pas forcément. Même après plusieurs passes, un memtest n’est pas une certitude. Les tests sont artificiels et ne détectent pas tous les problèmes qui peuvent venir d’une interaction avec les autres composants logiciels ou matériels. P. ex., la température et la consommation électrique du chipset, des disques, etc. peuvent faire surgir des problèmes qu’un memtest ne verrait pas (dilatation d’une connexion, manque de puissance et tout un tas d’interactions électroniques pas forcément comprises). -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/4992015.ikUW47NUCC@earendil
Re: Faille Heartbleed d'Openssl
On Tuesday 08 April 2014 23:01:25 Stéphane GARGOLY wrote: Bonjour à tous les utilisateurs et développeurs de Debian : En consultant la page Next INpact (ex-PC INpact) http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securit e-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution. Bonjour, Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Merci. André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/201404091744.39620.andre_deb...@numericable.fr
Re: Faille Heartbleed d'Openssl
Salut, Si tu es abonné à la liste debian security tu peux avoir ta réponse : Actually OpenSSH uses OpenSSL, it just does not use TLS for transport. OpenSSL comprises two libraries: libcrypto[1] and libssl, providing generic crypto facilities and transport security respectively. The affected functions (dtls1_process_heartbeat() and tls1_process_heartbeat()) reside in libssl. Software linking only against libcrypto.so.1.0.0[2] (which includes openssh, bind9, slapd - which uses GnuTLS for transport security by the way) should not be vulnerable, despite depending on libssl1.0.0. Le 04/09/2014 05:44 PM, andre_deb...@numericable.fr a écrit : On Tuesday 08 April 2014 23:01:25 Stéphane GARGOLY wrote: Bonjour à tous les utilisateurs et développeurs de Debian : En consultant la page Next INpact (ex-PC INpact) http://www.pcinpact.com/news/86934-openssl-faille-heartbleed-menace-securit e-web-sites-ferment.htm , il semble qu'il y a un problème de sécurité avec OpenSSL (versions 1.0.1 à 1.0.1f et la 1.0.2 bêta) et cela concerne les versions Stable/Wheezy (pour la version 1.0.1e-2+deb7u6) et Experimental (pour la version 1.0.2~beta1-1) de notre distribution. Bonjour, Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Merci. André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53456bf3.2090...@gmail.com
Re: Faille Heartbleed d'Openssl
On Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios wrote: Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. Bah, moi j'ai l'impression de lire depuis des années que testing n'a pas de suivi de sécurité et qu'il ne faut donc pas l'utiliser si c'est important. S'il y a déjà un correctif, c'est même qu'ils ont tordu le process, il me semble qu'un paquet est sensé passer 2 semaines dans Sid avant de passer dans testing. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409153225.gz23...@rutschle.net
RE: Faille Heartbleed d'Openssl
Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Valentin OVD Date: Wed, 9 Apr 2014 17:32:25 +0200 From: debian.anti-s...@rutschle.net To: debian-user-french@lists.debian.org Subject: Re: Faille Heartbleed d'Openssl On Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios wrote: Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. Bah, moi j'ai l'impression de lire depuis des années que testing n'a pas de suivi de sécurité et qu'il ne faut donc pas l'utiliser si c'est important. S'il y a déjà un correctif, c'est même qu'ils ont tordu le process, il me semble qu'un paquet est sensé passer 2 semaines dans Sid avant de passer dans testing. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409153225.gz23...@rutschle.net
Re: Faille Heartbleed d'Openssl
On 2014-04-09 17:44:39 +0200, andre_deb...@numericable.fr wrote: Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Je dirais que normalement non. Mais si la clé privée ou le mot de passe a été transmis par https (genre données stockées à distance), il faut le changer. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409163630.ga27...@xvii.vinc17.org
Re: Faille Heartbleed d'Openssl
On Wednesday 09 April 2014 18:36:30 Vincent Lefevre wrote: On 2014-04-09 17:44:39 +0200, andre_deb...@numericable.fr wrote: Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Je dirais que normalement non. Mais si la clé privée ou le mot de passe a été transmis par https (genre données stockées à distance), il faut le changer. Merci. Pour un serveur Web Apache en accès https : globalement, faut-il modifier les certificats ? (même si aucune clé n'a été transmis par https). Il y a des accès par mot de passe sur le site ? Et sous Postfix, plus particulièrment dovecot qui a un certificat ? André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/201404091856.43246.andre_deb...@numericable.fr
Re: Faille Heartbleed d'Openssl
Bonsoir André, -- Guillaume Evain Ingénieur et Architecte Réseaux Mbl.: 06.21.53.56.81 ev...@alteys.fr www.evain.info -- Tous les messages expédiés par ev...@alteys.fr sont signés numériquement Le 9 avr. 2014 à 18:56, andre_deb...@numericable.fr a écrit : On Wednesday 09 April 2014 18:36:30 Vincent Lefevre wrote: On 2014-04-09 17:44:39 +0200, andre_deb...@numericable.fr wrote: Faille openssl : Y a t-il un lien avec les connexions SSH (openssh) et besoin de modifier ? : - les clés pour les connexions sans mot de passe, - les mots de passe des comptes. Je dirais que normalement non. Mais si la clé privée ou le mot de passe a été transmis par https (genre données stockées à distance), il faut le changer. Merci. Pour un serveur Web Apache en accès https : globalement, faut-il modifier les certificats ? (même si aucune clé n'a été transmis par https). Il y a des accès par mot de passe sur le site ? Et sous Postfix, plus particulièrment dovecot qui a un certificat ? André -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/201404091856.43246.andre_deb...@numericable.fr En cas de doute d’exploitation de la faille, oui il faut mieux régénérer les clefs après mise à jour. Bonne soirée smime.p7s Description: S/MIME cryptographic signature
Re: Faille Heartbleed d'Openssl
On 04/09/2014 05:53 PM, valentin OVD wrote: Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Valentin OVD Date: Wed, 9 Apr 2014 17:32:25 +0200 From: debian.anti-s...@rutschle.net To: debian-user-french@lists.debian.org Subject: Re: Faille Heartbleed d'Openssl On Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios wrote: Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. Bah, moi j'ai l'impression de lire depuis des années que testing n'a pas de suivi de sécurité et qu'il ne faut donc pas l'utiliser si c'est important. Sid est mieux servi ! S'il y a déjà un correctif, c'est même qu'ils ont tordu le process, il me semble qu'un paquet est sensé passer 2 semaines dans Sid avant de passer dans testing. 2° mise a jour de openssl aujourd'hui pour testing/jessie... -- Maderios -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/53457e40.8010...@gmail.com
Re: Faille Heartbleed d'Openssl
On Wed, Apr 09, 2014 at 05:53:41PM +0200, valentin OVD wrote: Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Ok, OTAN pour moi (je n'utilise pas testing... pour des raisons de sécurité, entre autres). Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409171255.ga23...@rutschle.net
Re: Faille Heartbleed d'Openssl
ça dépend surtout du degré de criticité de la correction et non du type de paquet. Il y a 4 niveaux : low, medium, high, emergency qui correspondent il me semble à 10, 5, 2 et 0 jours avant passage dans testing. Pour openssl c'était emergency. La version 1.0.1g-2 est arrivée hier dans sid et est passé directement dans testing donc dispo aujourd'hui. Gaëtan Le Wed, 9 Apr 2014 17:53:41 +0200 valentin OVD valentin@live.fr a écrit: Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Valentin OVD Date: Wed, 9 Apr 2014 17:32:25 +0200 From: debian.anti-s...@rutschle.net To: debian-user-french@lists.debian.org Subject: Re: Faille Heartbleed d'Openssl On Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios wrote: Il devrait y avoir un distinguo entre bugs et failles de sécurité, avec correction immédiate au même moment dans toutes les versions Debian quand il s'agit de sécurité. Bah, moi j'ai l'impression de lire depuis des années que testing n'a pas de suivi de sécurité et qu'il ne faut donc pas l'utiliser si c'est important. S'il y a déjà un correctif, c'est même qu'ils ont tordu le process, il me semble qu'un paquet est sensé passer 2 semaines dans Sid avant de passer dans testing. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409153225.gz23...@rutschle.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409195804.4be685ae8c7a3e2e5bbbe...@neuf.fr
Re: Faille Heartbleed d'Openssl
On 2014-04-09 18:56:43 +0200, andre_deb...@numericable.fr wrote: Pour un serveur Web Apache en accès https : globalement, faut-il modifier les certificats ? (même si aucune clé n'a été transmis par https). Oui. Mais un pirate pourra toujours utiliser les anciennes clés, tant que tout le système de révocation n'aura pas été corrigé. Voilà ce que j'ai appris tout à l'heure suite à un rapport de bug: https://news.ycombinator.com/item?id=7556909 Et sous Postfix, plus particulièrment dovecot qui a un certificat ? Probablement. Le site heartbleed.com dit: heartbeat request can be sent and is replied to during the handshake phase of the protocol. Bref, même si le serveur POP3/IMAP a un seul utilisateur, n'importe qui peut exploiter le bug. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409211559.ga4...@xvii.vinc17.org
Re: Faille Heartbleed d'Openssl
On 2014-04-09 19:07:12 +0200, maderios wrote: On 04/09/2014 05:53 PM, valentin OVD wrote: Non c'est minimum 2 jours pour un paquet important, et 5 jours voire 10 jours pour un paquet optional. Peut-être même le plus tôt possible pour emergency. 2° mise a jour de openssl aujourd'hui pour testing/jessie... Pour unstable, qui est immédiatement passé dans testing à cause du emergency (la précédente n'était qu'en high). Cf le changelog: openssl (1.0.1g-2) unstable; urgency=emergency * Enable checking for services that may need to be restarted (Closes: #743889) * Update list of services to possibly restart -- Kurt Roeckx k...@roeckx.be Tue, 08 Apr 2014 19:13:08 +0200 openssl (1.0.1g-1) unstable; urgency=high * New upstream release - Fixes CVE-2014-0160 - Fixes CVE-2014-0076 - Drop patches applied upstream -- Kurt Roeckx k...@roeckx.be Mon, 07 Apr 2014 23:17:42 +0200 -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409212022.gb4...@xvii.vinc17.org
regénérer les locales ?
Bonjour, Est-ce qu'il est possible de regénérer toutes les locales des paquets installés ? Gaëtan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140410002309.fd1b933e75d8e7aa36d3a...@neuf.fr
Re: regénérer les locales ?
On 2014-04-10 00:23:09 +0200, Gaëtan PERRIER wrote: Est-ce qu'il est possible de regénérer toutes les locales des paquets installés ? Je ne comprends pas trop la question. dpkg-reconfigure locales Mais ce n'est pas liés aux différents paquets. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140409230459.ga14...@xvii.vinc17.org
Re: regénérer les locales ?
Le Thu, 10 Apr 2014 01:04:59 +0200 Vincent Lefevre vinc...@vinc17.net a écrit: On 2014-04-10 00:23:09 +0200, Gaëtan PERRIER wrote: Est-ce qu'il est possible de regénérer toutes les locales des paquets installés ? Je ne comprends pas trop la question. dpkg-reconfigure locales Mais ce n'est pas liés aux différents paquets. Beaucoup de paquets contiennent des locales (les traductions) qui s'installent dans /usr/share/locale. Le problème est que j'ai installé mon système depuis l'installeur testing qui ne m'a pas configuré le système en français malgré que l'installation se soit effectuée en français et qu'ensuite j'ai installé localepurge et que je me suis un peu loupé sur la configuration. Du coup il me manque les locales françaises de pas mal de paquets. J'aimerai les regénérer. Gaëtan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140410012236.1f913d3522fce3f1894c6...@neuf.fr
Re: regénérer les locales ?
On 2014-04-10 01:22:36 +0200, Gaëtan PERRIER wrote: Beaucoup de paquets contiennent des locales (les traductions) qui s'installent dans /usr/share/locale. Le problème est que j'ai installé mon système depuis l'installeur testing qui ne m'a pas configuré le système en français malgré que l'installation se soit effectuée en français et qu'ensuite j'ai installé localepurge et que je me suis un peu loupé sur la configuration. Du coup il me manque les locales françaises de pas mal de paquets. J'aimerai les regénérer. Ces traductions ne peuvent pas être générées à partir de ce qui est installé. Je pense que la seule solution est de réinstaller les paquets en question. Après, je ne sais pas comment avoir la liste des paquets affectés. -- Vincent Lefèvre vinc...@vinc17.net - Web: https://www.vinc17.net/ 100% accessible validated (X)HTML - Blog: https://www.vinc17.net/blog/ Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/2014041058.ga16...@xvii.vinc17.org
Re: regénérer les locales ?
Le jeudi 10 avril 2014, 02:00:59 Vincent Lefevre a écrit :
[…]
Je pense que la seule solution est de
réinstaller les paquets en question. Après, je ne sais pas
comment avoir la liste des paquets affectés.
Avec un apt-file à jour :
{ apt-file search -l /usr/share/locale/fr
aptitude search --disable-columns -F %p ~i
} | sort | uniq -d | xargs aptitude reinstall
Je laisse la lecture des pages de man de sh, uniq, apt-file,
aptitude et xargs et l’explication comme exercice :oP
Chez moi, ça ferait env. 10% des paquets installés. C’est déjà
moins que de tout réinstaller…
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/6561634.Y0ipBAdfV1@earendil
Re: Faille Heartbleed d'Openssl
Le Wed, Apr 09, 2014 at 04:57:02PM +0200, maderios a écrit : La faille a été corrigée pour testing ce matin, 9 avril alors que le correctif a été appliqué dés le 7 avril dans Sid. J'ai un peu de mal à comprendre pourquoi la correction de cette faille met autant de temps à remonter de Sid à Testing. https://www.debian.org/security/faq#testing Q. : Comment est gérée la sécurité pour testing ? R. : La sécurité pour testing bénéficie des efforts sur la sécurité réalisés par tout le projet pour unstable. Cependant, un délai minimal de deux jours existe pour la migration, et les correctifs de sécurité peuvent parfois être retenus par les transitions. L’équipe chargée de la sécurité aide à faire avancer ces transitions qui retiennent les envois de sécurité importants, mais ce n’est pas toujours possible et des contretemps peuvent survenir. En particulier, les mois qui suivent une nouvelle publication de stable, quand de nombreuses nouvelles versions sont envoyées dans unstable, les correctifs de sécurité pourraient être mis en attente. Si vous souhaitez un serveur sûr (et stable), vous devriez garder la distribution stable. Bonne journée, -- Charles Plessy Tsurumi, Kanagawa, Japan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/20140410012524.ga2...@falafel.plessy.net
monté un system ext4 sur une autre installation
bonjour, je viens vers vous pour un soucis que je ne comprends pas vraiment. en effet, j'ai installer debian par son installeur sur un disque dure de 750 go. aucun problème, l'installation fonctionne. mais lorsque je veux monté le disque sur une autre installation de debian wheezy aussi, la plus rien ne va. j'ai l'erreur classique d'erreur de mount et dans les logs j'ai ça : Apr 10 05:28:43 portable-wheezy kernel: [ 1528.694457] EXT4-fs (sdc1): VFS: Can't find ext4 filesystem j'utilise un adaptateur sata / usb pour connecter le disque dure vu que c'est un portable mais je ne pense pas que ce sois lui la cause vu que je monte plein d'autre disque dure sans problème. je note aussi que un fdisk -l quand le disque dure est connecter via l'adaptateur ou quand la debian est lancer ne me donne pas la même chose fdisk -l avec l'adaptateur Note: sector size is 4096 (not 512) Disk /dev/sdc: 750.2 GB, 750156374016 bytes 255 heads, 63 sectors/track, 11400 cylinders, total 183143646 sectors Units = sectors of 1 * 4096 = 4096 bytes Sector size (logical/physical): 4096 bytes / 4096 bytes I/O size (minimum/optimal): 4096 bytes / 4096 bytes Disk identifier: 0x000cfc88 Device Boot Start End Blocks Id System /dev/sdc1 *20481953177578118912 83 Linux /dev/sdc219533822 1465147391 14874869845 Extended fdisk -l depuis la debian du disque en question Disque /dev/sda : 750.2 Go, 750156374016 octets 255 têtes, 63 secteurs/piste, 91201 cylindres, total 1465149168 secteurs Unités = secteurs de 1 * 512 = 512 octets Taille de secteur (logique / physique) : 512 octets / 4096 octets taille d'E/S (minimale / optimale) : 4096 octets / 4096 octets Identifiant de disque : 0x000cfc88 Périphérique Amorce DébutFin Blocs Id Système /dev/sda1 *204819531775 9764864 83 Linux /dev/sda219533822 1465147391 7228067855 Étendue La partition 2 ne commence pas sur une frontière de cylindre physique. /dev/sda5195338245271961516592896 82 partition d'échange Linu x / Solaris /dev/sda652721664 1465147391 706212864 83 Linux et un petit mount sur la debian en question sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime) proc on /proc type proc (rw,nosuid,nodev,noexec,relatime) udev on /dev type devtmpfs (rw,relatime,size=10240k,nr_inodes=1011681,mode=755) devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmod e=000) tmpfs on /run type tmpfs (rw,nosuid,noexec,relatime,size=810536k,mode=755) /dev/disk/by-uuid/95c2ba44-f15d-4e92-94c4-065363d32859 on / type ext4 (rw,relati me,errors=remount-ro,user_xattr,barrier=1,data=ordered) tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k) tmpfs on /run/shm type tmpfs (rw,nosuid,nodev,noexec,relatime,size=4939640k) /dev/sda6 on /home type ext4 (rw,relatime,user_xattr,barrier=1,data=ordered) rpc_pipefs on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw,relatime) voila si vous avez une idée jerem -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/5346128a.3000...@prego-network.net
