Re: Exploit root Apache [was Re: [OT] Le journal du Net s'attaque au logiciel libre]
wget http://incoming.debian.org/apache-common_1.3.26-1_i386.deb wget http://incoming.debian.org/apache_1.3.26-1_i386.deb Ils n'y sont plus, je les ai dans unstable mais il y a un bug sur la la version du module perl: Passe par dpkg. Stef... .. . Linux - Debian - php4 - Apache - MySQL - Infogerance . . email: [EMAIL PROTECTED] - http://www.actionweb.fr . . Tel: (0)141 906 100-Fax: (0)141 906 101. .. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exploit root Apache [was Re: [OT] Le journal du Net s'attaque au logiciel libre]
On June 20, 18:46 (+0200), Stephane Leclerc wrote: Viens d'arriver dans mon mail ! Un nouvel exploit root d'Apache. Une suite à l'histoire d'ISS. À moins de faire fonctionner intégralement Apache en tant que root, ce qui n'est heureusement pas le cas par défaut dans le paquet Debian, ce code n'est pas un exploit root, mais utilisateur web. De plus, cette version de l'exploitation ne fonctionne que sur OpenBSD. -- Thomas Seyrat. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Exploit root Apache [was Re: [OT] Le journal du Net s'attaque au logiciel libre]
Viens d'arriver dans mon mail ! Un nouvel exploit root d'Apache. Une suite à l'histoire d'ISS. Que fait Debian sur ceci. Je n'ai pas l'info. Stef... /* * apache-scalp.c * OPENBSD/X86 APACHE REMOTE EXPLOIT!!! * * ROBUST, RELIABLE, USER-FRIENDLY MOTHERFUCKING 0DAY WAREZ! * * BLING! BLING! --- BRUTE FORCE CAPABILITIES --- BLING! BLING! * * . . . and Doug Sniff said it was a hole in Epic. * * --- * Disarm you with a smile * And leave you like they left me here * To wither in denial * The bitterness of one who's left alone * --- * * Remote OpenBSD/Apache exploit for the chunking vulnerability. Kudos to * the OpenBSD developers (Theo, DugSong, jnathan, [EMAIL PROTECTED], ...) and * their crappy memcpy implementation that makes this 32-bit impossibility * very easy to accomplish. This vulnerability was recently rediscovered by a slew * of researchers. * * The experts have already concurred that this bug... * - Can not be exploited on 32-bit *nix variants * - Is only exploitable on win32 platforms * - Is only exploitable on certain 64-bit systems * * However, contrary to what ISS would have you believe, we have * successfully exploited this hole on the following operating systems: * * Sun Solaris 6-8 (sparc/x86) * FreeBSD 4.3-4.5 (x86) * OpenBSD 2.6-3.1 (x86) * Linux (GNU) 2.4 (x86) * * Don't get discouraged too quickly in your own research. It took us close * to two months to be able to exploit each of the above operating systems. * There is a peculiarity to be found for each operating system that makes the * exploitation possible. * * Don't email us asking for technical help or begging for warez. We are * busy working on many other wonderful things, including other remotely * exploitable holes in Apache. Perhaps The Great Pr0ix would like to inform * the community that those holes don't exist? We wonder who's paying her. * * This code is an early version from when we first began researching the * vulnerability. It should spawn a shell on any unpatched OpenBSD system * running the Apache webserver. * * We appreciate The Blue Boar's effort to allow us to post to his mailing * list once again. Because he finally allowed us to post, we now have this * very humble offering. * * This is a very serious vulnerability. After disclosing this exploit, we * hope to have gained immense fame and glory. * * Testbeds: synnergy.net, monkey.org, 9mm.com * * Abusing the right syscalls, any exploit against OpenBSD == root. Kernel * bugs are great. * * [#!GOBBLES QUOTES] * * --- you just know 28923034839303 admins out there running * OpenBSD/Apache are going ugh..not exploitable..ill do it after the * weekend * --- Five years without a remote hole in the default install. default * package = kernel. if theo knew that talkd was exploitable, he'd cry. * --- so funny how apache.org claims it's impossible to exploit this. * --- how many times were we told, ANTISEC IS NOT FOR YOU ? * --- I hope Theo doesn't kill himself * --- heh, this is a middle finger to all those open source, anti-m$ * idiots... slashdot hippies... * --- they rushed to release this exploit so they could update their ISS * scanner to have a module for this vulnerability, but it doesnt even * work... it's just looking for win32 apache versions * --- no one took us seriously when we mentioned this last year. we warned * them that moderation == no pie. * --- now try it against synnergy : * --- ANOTHER BUG BITE THE DUST... VRM VRRROM * * this thing is a major exploit. do you really wanna publish it? * i'm not afraid of whitehats * the blackhats will kill you for posting that exploit * blackhats are a myth * so i'm not worried * i've never seen one * i guess it's sort of like having god in your life * i don't believe there's a god * but if i sat down and met him * i wouldn't walk away thinking * that was one hell of a special effect * so i suppose there very well could be a blackhat somewhere * but i doubt it... i've seen whitehat-blackhats with their ethics * and deep philosophy... * * [GOBBLES POSERS/WANNABES] * * --- [EMAIL PROTECTED] (none of us join here, but we've sniffed it) * --- [EMAIL PROTECTED] (low-level.net) * * GOBBLES Security * [EMAIL PROTECTED] * http://www.bugtraq.org * */ #include stdio.h #include stdlib.h #include string.h #include unistd.h #include sys/types.h #include sys/socket.h #include netinet/in.h #include arpa/inet.h #include netdb.h #include sys/time.h #include signal.h #define EXPLOIT_TIMEOUT 5 /* num seconds to wait before assuming it failed */ #define RET_ADDR_INC 512 #define MEMCPY_s1_OWADDR_DELTA -146 [ ] #define NOP 0x41 #define PADDING_1 'A' #define PADDING_2 'B' #define PADDING_3 'C' [ ] }; int main(int argc, char
Re: Exploit root Apache [was Re: [OT] Le journal du Net s'attaque au logiciel libre]
Stephane Leclerc a écrit : Viens d'arriver dans mon mail ! Un nouvel exploit root d'Apache. Une suite à l'histoire d'ISS. Que fait Debian sur ceci. Je n'ai pas l'info. J'ai testé sur mon serveur local, rien de spécial ne se passe, en regardant de plus près dans le /var/log/apache/error.log on voit que tous les processus fils ont 'segfaultés', donc pas de pb. Le code que tu as join permet d'exploiter la faille sous OpenBDS si je me souviens bien. Une correction est proposée sur security.debian.org pour stable, le patch pour (soon to be released) woody n'est pas encore dispo, cf: http://www.debian.org/security/2002/dsa-132 http://www.debian.org/security/2002/dsa-131 Merci J'ai trouvé les paquets woody dans incoming : wget http://incoming.debian.org/apache-common_1.3.26-1_i386.deb wget http://incoming.debian.org/apache_1.3.26-1_i386.deb Stef... .. . Linux - Debian - php4 - Apache - MySQL - Infogerance . . email: [EMAIL PROTECTED] - http://www.actionweb.fr . . Tel: (0)141 906 100-Fax: (0)141 906 101. .. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Exploit root Apache [was Re: [OT] Le journal du Net s'attaque au logiciel libre]
On Thu, 20 Jun 2002 21:13:17 +0200 Stephane Leclerc [EMAIL PROTECTED] wrote: J'ai trouvé les paquets woody dans incoming : wget http://incoming.debian.org/apache-common_1.3.26-1_i386.deb wget http://incoming.debian.org/apache_1.3.26-1_i386.deb Ils n'y sont plus, je les ai dans unstable mais il y a un bug sur la la version du module perl: 14:44:20 root ~ #apt-get -t unstable -s install apache Reading Package Lists... Done Building Dependency Tree... Done The following extra packages will be installed: apache-common apache-dev The following packages will be REMOVED: libapache-mod-perl 3 packages upgraded, 0 newly installed, 1 to remove and 145 not upgraded. Remv libapache-mod-perl (1.26-3 Debian:testing) Inst apache-dev (1.3.26-1 Debian:unstable) [] Inst apache (1.3.26-1 Debian:unstable) [] Inst apache-common (1.3.26-1 Debian:unstable) Conf apache-common (1.3.26-1 Debian:unstable) Conf apache-dev (1.3.26-1 Debian:unstable) Conf apache (1.3.26-1 Debian:unstable) Alain -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[OT] Le journal du Net s'attaque au logiciel libre
Un article particulièrement exécrable, le dernier paragraphe n'aurait pas démérité dans une campagne électrorale : http://solutions.journaldunet.com/0206/020619_faille_apache.shtml Faille critique sur le serveur Apache et vives critiques contre l'open source -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
Le Wed 19/06/2002, Stephane Bortzmeyer disait Un article particulièrement exécrable, le dernier paragraphe n'aurait pas démérité dans une campagne électrorale : http://solutions.journaldunet.com/0206/020619_faille_apache.shtml Faille critique sur le serveur Apache et vives critiques contre l'open source Un ramassis de conneries. Parceque rein n'empêche quelqu'un de publier une faille d4IIS 2h après avoir prévenu Microsoft aussi. Je ne vois pas ce que le côté libre (et non open source, mais là aussi je pense que la confusion est volontairement entretenu) viens faire là dedans. -- Erwan -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: [OT] Le journal du Net s'attaque au logiciel libre
mercredi 19 juin 2002, 14:48:22, Erwan a écrit : Le Wed 19/06/2002, Stephane Bortzmeyer disait Un article particulièrement exécrable, le dernier paragraphe n'aurait pas démérité dans une campagne électrorale : http://solutions.journaldunet.com/0206/020619_faille_apache.shtml Faille critique sur le serveur Apache et vives critiques contre l'open source Un ramassis de conneries. Parceque rein n'empêche quelqu'un de publier une faille d4IIS 2h après avoir prévenu Microsoft aussi. Je ne vois pas ce que le côté libre (et non open source, mais là aussi je pense que la confusion est volontairement entretenu) viens faire là dedans. pour clore le troll visqueux lancé par le JDnet : http://www.linuxfr.org/2002/06/19/8721,0,1,0,0.html ou tout simplement www.linuxfr.org A+ Tom -- Thomas Clavier http://www.tcweb.dyndns.org . _/_/_/_/_/ _/_/ Centre d'expertise RGO. _/ _/ DATACEP Nord ._/ _/ +33 3 28 52 53 02 - +33 6 09 25 59 67 . _/ _/_/
RE: [OT] Le journal du Net s'attaque au logiciel libre
vu le temps qu'il a fallut à ptit'mou pour envoyer ses patches de sécurité pour parer les attaques winnuke...cela a permis à tout le monde de casser un sacré paquet de serveur NT en frontal sur le net! Alors en terme de réactivité JAMAIS microsoft arrivera a etre aussi réactif que la communauté open source en terme de correctifs! -Message d'origine- De : Philippe Coulonges [mailto:[EMAIL PROTECTED] Envoyé : mercredi 19 juin 2002 15:14 À : debian-user-french@lists.debian.org Objet : Re: [OT] Le journal du Net s'attaque au logiciel libre Le Mercredi 19 Juin 2002 14:48, Erwan David a écrit : Le Wed 19/06/2002, Stephane Bortzmeyer disait Un ramassis de conneries. Parceque rein n'empêche quelqu'un de publier une faille d4IIS 2h après avoir prévenu Microsoft aussi. Je ne vois pas ce que le côté libre (et non open source, mais là aussi je pense que la confusion est volontairement entretenu) viens faire là dedans. Je viens d'envoyer un mail à l'auteur, lui demandant de m'expliquer ce point. On va pouvoir tester son honneteté. A+ CPHIL -- Microsoft Windows, Microsoft Windows 95, and Microsoft Windows NT are all registered trademarks of Microsoft Cor poration. Apple Macintosh is a registered trademark of Apple Computer. Amiga is a registered trademark of Amiga International, Inc. Atari ST is probably a trademark, too, but it's hard to tell who owns it. Linux is a regis tered trademark of Linus Torvalds, but it isn't his fault. -- BSOD screensaver man page -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: [OT] Le journal du Net s'attaque au logiciel libre
J'ai envoyé un mail à l'auteur : Bonjour, je viens de lire votre article sur apache et une faille apparue. Je tenais à condaner votre le ton exécrable que vous employé pour décrire une banalité informatique. Cet article n'a aucune objectivité et n'est présent que pour jeter le discrédit sur la communauté OpenSource. Soit en informatique, vous êtes un bleu et dans ce cas, vous n'avez aucune légitimité dans votre discourt et vos positions. Soit vous savez de quoi vous parlez, et alors là, c'est votre impartialité qui en prend un coup ce n'est pas tres déontologique. Un lecteur suppris. Voici ce qu'il m'a répondu L'article a été discutté en conférence de rédaction. Mon opinion a été confrontée à cette de quelqu'un d'autre qui - croyez moi - est extrêmement compétent. Les sources à partir desquelles j'ai travaillé sont sûres. Alors sur le fond, je ne pense pas être attaquable. Sur la forme, j'ai employé un ton légèrement caustique car il n'y a pas de raison que nous soyons (très régulièrement) agressifs à l'égard de Microsoft, et que nous ne le soyons pas à l'égard de la communauté open source quand elle est mise face à ses contradictions. La communauté open source a commis une erreur, nous le mentionnons. Je me sentirais mal si je n'étais pas aussi sévère à l'égard de tous les acteurs du monde informatique. Nicolas SIX Voici ce que je lui ait répondu à mon tour : mentionner un erreur, c'est bien et c'est votre boulot. mais il y a différente facon de présenter les choses. Moi, je ne condanne pas le faite de mentionner une erreur, c'est plutot la partie OpenSource, c'est de la merde ... kamel -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
J'ai envoyé un mail à l'auteur : (...) Voici ce qu'il m'a répondu (...) Attention à la publication de mails privés sur un forum public sans l'accord de son auteur... Amaury -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: [OT] Le journal du Net s'attaque au logiciel libre
Le 19.06.02, kamel latrach a tapoté : | | La communauté open source a commis une erreur, nous le mentionnons. Je me | sentirais mal si je n'étais pas aussi sévère à l'égard de tous les acteurs | du monde informatique. | | | Voici ce que je lui ait répondu à mon tour : | | | mentionner un erreur, c'est bien et c'est votre boulot. | mais il y a différente facon de présenter les choses. | | Moi, je ne condanne pas le faite de mentionner une erreur, c'est plutot la | partie OpenSource, c'est de la merde ... | Pourquoi ne pas lui avoir parlé du temps de réaction ? Les logiciels libres comportent des erreurs comme _tout_ logiciel, cependant, le correctif est apparu dans la journée suivant l'annonce, chose inconcevable avec les logiciels propriétaires, ce qui démontreune fois de plus la supériorité des LL en matière de sécurité. Thomas -- BOFH excuse #389: /dev/clue was linked to /dev/null -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: [OT] Le journal du Net s'attaque au logiciel libre
Je m'excuse mais je ne m'entend pas avec ce journaliste: Il me rentre un peu dedans... Je m'excuse je le site encore une fois je n'ai pas parlé de réactivité mais de coordination. Il faut savoir lire et ne pas déformer les propos d'un journaliste Voici ce que lui ai répondu: tres bien, mais je renvoie la même réflexion: avant de mettre en avant microsoft, il faudrait savoir de quoi et de qui on parle. At 16:45 19/06/2002 +0200, Thomas Nemeth wrote: Le 19.06.02, kamel latrach a tapoté : | | La communauté open source a commis une erreur, nous le mentionnons. Je me | sentirais mal si je n'étais pas aussi sévère à l'égard de tous les acteurs | du monde informatique. | | | Voici ce que je lui ait répondu à mon tour : | | | mentionner un erreur, c'est bien et c'est votre boulot. | mais il y a différente facon de présenter les choses. | | Moi, je ne condanne pas le faite de mentionner une erreur, c'est plutot la | partie OpenSource, c'est de la merde ... | Pourquoi ne pas lui avoir parlé du temps de réaction ? Les logiciels libres comportent des erreurs comme _tout_ logiciel, cependant, le correctif est apparu dans la journée suivant l'annonce, chose inconcevable avec les logiciels propriétaires, ce qui démontreune fois de plus la supériorité des LL en matière de sécurité. Thomas -- BOFH excuse #389: /dev/clue was linked to /dev/null kamel latrach Network Administrator Tel: 05-49-49-57-71 Portable: 06-86-78-76-21 Email: [EMAIL PROTECTED] __o _`\,_ ..(_)/ (_) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
Il me rentre un peu dedans... (...) Voici ce que lui ai répondu: tres bien, mais je renvoie la même réflexion: avant de mettre en avant microsoft, il faudrait savoir de quoi et de qui on parle. C'est tout à fait stérile comme débat. En devenant agressif tu as plutôt tendance à décrédibiliser la communauté (un mot un peu galvaudé mais bon) du logiciel libre et à justifier les accusations de bande d'intégristes qui ne supportent pas la moindre critique qui nous sont souvent portées. Personne n'a jamais convaincu en devenant désagréable. En ce qui me concerne, je te conseillerai de laisser tomber cette discussion avec ce Monsieur. Amauryt -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
tres bien, je stop tout immédiatement. @+ kamel At 17:31 19/06/2002 +0200, Amaury Amblard-Ladurantie wrote: Il me rentre un peu dedans... (...) Voici ce que lui ai répondu: tres bien, mais je renvoie la même réflexion: avant de mettre en avant microsoft, il faudrait savoir de quoi et de qui on parle. C'est tout à fait stérile comme débat. En devenant agressif tu as plutôt tendance à décrédibiliser la communauté (un mot un peu galvaudé mais bon) du logiciel libre et à justifier les accusations de bande d'intégristes qui ne supportent pas la moindre critique qui nous sont souvent portées. Personne n'a jamais convaincu en devenant désagréable. En ce qui me concerne, je te conseillerai de laisser tomber cette discussion avec ce Monsieur. Amauryt kamel latrach Network Administrator Tel: 05-49-49-57-71 Portable: 06-86-78-76-21 Email: [EMAIL PROTECTED] __o _`\,_ ..(_)/ (_) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
Mais faut se calmer ! J'ai l'impression que tu es un intégriste du monde OPEN non ?!. Je trouve l'article tres bien fait, conci et sans erreurs monstrueuses. C'est la prase : Tout n'est pas si rose sur la planète Open Source, et certains se prennent parfois à rêver d'une coordination contre les failles aussi efficace que celle de ... Microsoft. qui te pose un problème ? A moi aussi je doit bien l'avouer, mais de 2 façons : L'auteur semble mettre tout ce petit monde dans le même panier Open Source mais je pense pas que ISS soit à ranger dans cette catégorie. Quant à parler de la réactivité de Microsoft alors là je me marre grâve (je connais le moyen de rentrer sur des tonnes de serveurs sous NT avec des failles déja viellotes ...) :D Mais il a raison en disant que sur ce coup là la coordination à été tres mauvaise, mais la faute à qui ? A ISS of course, qui certainement pour se faire de la pub, n'a pas hésité à poster sa faille (même avec un patch, cela n'excuse pas. Je te plante un couteau mais je te donne un pansement de suite pfff !!) seulement 2H apres l'avoir dit à la fondation Apache. Franchement c'est se foutre la gueule du monde, et si l'on devait se plaindre de quelqu'un c'est plutot de ISS. Faut pas s'enerver est répondre à chaud à un article qu'on prend mal. Amicalement -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
Le Mercredi 19 Juin 2002 17:31, Amaury Amblard-Ladurantie a écrit : C'est tout à fait stérile comme débat. En devenant agressif tu as plutôt tendance à décrédibiliser la communauté (un mot un peu galvaudé mais bon) du logiciel libre et à justifier les accusations de bande d'intégristes qui ne supportent pas la moindre critique qui nous sont souvent portées. Exact, ne pas oublier de relire son Linux-Advocacy-HOWTO avant de faire ce genre de démarche. Par contre, qu'il y ait d'autres messages peut porter, s'ils sont mesurés et portent sur des points précis. Pour info, mon message disait : Pourriez-vous m'expliquer comment vous parvenez à la conclusion : Tout n'est pas si rose sur la planète Open Source, et certains se prennent parfois à rêver d'une coordination contre les failles aussi efficace que celle de ... Microsoft. ? En particulier, je souhaiterai savoir ce qui empécherait un organisme indépendant de publier une faille 2 heures après avoir prévenu Microsoft. L'ISS a sans doute fait une erreur, mais au moins elle pouvait proposer un patch. Dans mon cas de figure, la seule différence que je vois serait d'avoir les systèmes exposés beaucoup plus longtemps. - J'ai également reçu une réponse. A+ CPHIL -- Comment ? -- Beethoven -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
Tout à fait d'accord ! Et quel a été sa réponse ? @+ Le Mercredi 19 Juin 2002 17:46, Philippe Coulonges a écrit : Le Mercredi 19 Juin 2002 17:31, Amaury Amblard-Ladurantie a écrit : C'est tout à fait stérile comme débat. En devenant agressif tu as plutôt tendance à décrédibiliser la communauté (un mot un peu galvaudé mais bon) du logiciel libre et à justifier les accusations de bande d'intégristes qui ne supportent pas la moindre critique qui nous sont souvent portées. Exact, ne pas oublier de relire son Linux-Advocacy-HOWTO avant de faire ce genre de démarche. Par contre, qu'il y ait d'autres messages peut porter, s'ils sont mesurés et portent sur des points précis. Pour info, mon message disait : Pourriez-vous m'expliquer comment vous parvenez à la conclusion : Tout n'est pas si rose sur la planète Open Source, et certains se prennent parfois à rêver d'une coordination contre les failles aussi efficace que celle de ... Microsoft. ? En particulier, je souhaiterai savoir ce qui empécherait un organisme indépendant de publier une faille 2 heures après avoir prévenu Microsoft. L'ISS a sans doute fait une erreur, mais au moins elle pouvait proposer un patch. Dans mon cas de figure, la seule différence que je vois serait d'avoir les systèmes exposés beaucoup plus longtemps. - J'ai également reçu une réponse. A+ CPHIL -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
On Wed, 19 Jun 2002 14:39:54 +0200 Stephane Bortzmeyer [EMAIL PROTECTED] wrote: Faille critique sur le serveur Apache et vives critiques contre l'open source Là où ils se plantent c'est qu'ils rangent l'ISS dans la communauté open-source alors qu'ils n'ont rien à y faire, il n'y a qu'à voir leurs partenaires. ISS est une boîte qui a fait preuve ici à la fois de: .. manque de responsabilité pour ne pas avoir discuté du problème avec les développeurs avant de l'annoncer .. d'incompétence pour avoir diffusé un patch foireux qui ne règle pas le problème C'est le genre de machin commercial détestable, ils ont voulu se faire mousser en annonçant le trou de sécurité sans concertation. Il n'y a qu'à voir leur site (qui tourne sur apache, dommage que personne n'ai pas cherché à exploiter la faille après diffusion de leur vrai-faux patch), leur indicateur alertcon, vu à la télé ou on peut voir les spots TV. Enfin s'il y a des gogos sensibles à ce genre d'arguments et qui croient qu'ils vont mieux sécuriser leur site en achetant leur produit plutôt qu'en employant un vrai admin, tant pis pour eux, c'est comme ca qu'on apprend. Il faut de tout pour faire un monde. Chacun son monde. Le leur ce n'est pas l'open source. Alain -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] Le journal du Net s'attaque au logiciel libre
par rapport à votre article Faille critique sur le serveur Apache et vives critiques contre l'open source je propose une suite: Serious IIS Hole; Minor X Bug BugPosted by michael on Thursday June 13, @09:10 from the truthworthy-computing dept. EyesWideOpen writes Microsoft announced Wednesday that there is a serious software flaw with its IIS web server. The 'vulnerability affects a function in the server software that allows Web administrators to change passwords for an Internet site.' A researcher with eEye Digital Security discovered the flaw in mid-April but it wasn't announced publicly because of an agreement with Microsoft. The Wired article is here and this appears to be the MS bulletin describing the vulnerability in detail. And several people reported this Register story on a way to DOS Mozilla users by trying to display ludicrously large fonts. Microsoft's time to patch a remote hole where the attacker can gain complete access to your computer: two months. Open Source's time to patch a much less serious bug where the attacker can merely crash your computer: three days. http://slashdot.org/article.pl?sid=02/06/13/0417206mode=threadtid=128 Aurélien -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]