The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
On Sun, 27 Mar 2005 01:31:34 -0500, GP wrote:The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
On Sun, 27 Mar 2005 01:31:34 -0500, GP wrote:
The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
On Sun, 27 Mar 2005 01:31:34 -0500, GP wrote:The claim arose because the Debian maintainers wrongly and without proper
regard for security thought it was a good idea to install pppoe setuid-root.
(I believe they have since backed away from this.)
Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
Mais je comprends que Debian ne puisse faire erreur, surtout pas conjointement
avec Mandrake. Alors, c'est à RP qu'il faut écrire, parce que si le FUD vient
de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
Mais je comprends que Debian ne puisse faire erreur, surtout pas conjointement
avec Mandrake. Alors, c'est à RP qu'il faut écrire, parce que si le FUD vient
de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
Mais je comprends que Debian ne puisse faire erreur, surtout pas conjointement
avec Mandrake. Alors, c'est à RP qu'il faut écrire, parce que si le FUD vient
de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
Alors, il n'y avait aucun problème de sécurité? Pourquoi donc avoir fait une
entrée chez Mitre... qui n'a toujours pas été reconnue comme faille de
sécurité depuis juin 2004?
Mais je comprends que Debian ne puisse faire erreur, surtout pas
conjointement avec Mandrake. Alors, c'est à RP qu'il faut écrire,
parce que si le FUD vient de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
http://marc.theaimsgroup.com/?l=bugtraq&m0253341209450&w=2
Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
Alors, il n'y avait aucun problème de sécurité? Pourquoi donc avoir fait une
entrée chez Mitre... qui n'a toujours pas été reconnue comme faille de
sécurité depuis juin 2004?
Mais je comprends que Debian ne puisse faire erreur, surtout pas
conjointement avec Mandrake. Alors, c'est à RP qu'il faut écrire,
parce que si le FUD vient de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
http://marc.theaimsgroup.com/?l=bugtraq&m0253341209450&w=2
Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
Alors, il n'y avait aucun problème de sécurité? Pourquoi donc avoir fait une
entrée chez Mitre... qui n'a toujours pas été reconnue comme faille de
sécurité depuis juin 2004?
Mais je comprends que Debian ne puisse faire erreur, surtout pas
conjointement avec Mandrake. Alors, c'est à RP qu'il faut écrire,
parce que si le FUD vient de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
http://marc.theaimsgroup.com/?l=bugtraq&m0253341209450&w=2
On 2005-03-27, GP wrote:Mais je comprends que Debian ne puisse faire erreur, surtout pas conjointement
avec Mandrake. Alors, c'est à RP qu'il faut écrire, parce que si le FUD vient
de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
Le monsieur y'en a eu dire à toi que Debian par défaut pas avoir
utilisateurs dans groupe qui a droit executer pppoe.
Le monsieur y'en a
jamais avoir dit à toi que problème pas exister avec pppoe.
Moi y'en a rajouter que toi pas très malin mais tout le monde y'en a
déjà le savoir.
On 2005-03-27, GP <gilpel@inverse.nretla.org> wrote:
Mais je comprends que Debian ne puisse faire erreur, surtout pas conjointement
avec Mandrake. Alors, c'est à RP qu'il faut écrire, parce que si le FUD vient
de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
Le monsieur y'en a eu dire à toi que Debian par défaut pas avoir
utilisateurs dans groupe qui a droit executer pppoe.
Le monsieur y'en a
jamais avoir dit à toi que problème pas exister avec pppoe.
Moi y'en a rajouter que toi pas très malin mais tout le monde y'en a
déjà le savoir.
On 2005-03-27, GP wrote:Mais je comprends que Debian ne puisse faire erreur, surtout pas conjointement
avec Mandrake. Alors, c'est à RP qu'il faut écrire, parce que si le FUD vient
de quelque part, c'est bien de là:
«Any Linux distro that installs pppoe setuid root is just plain dangerous.»
Le monsieur y'en a eu dire à toi que Debian par défaut pas avoir
utilisateurs dans groupe qui a droit executer pppoe.
Le monsieur y'en a
jamais avoir dit à toi que problème pas exister avec pppoe.
Moi y'en a rajouter que toi pas très malin mais tout le monde y'en a
déjà le savoir.
Moi y'en a rajouter que toi pas très malin mais tout le monde y'en a
déjà le savoir.
Moi y en a encore ajouter toi sombre crétin, seulement tarés idiots pas savoir ça.
Moi y'en a rajouter que toi pas très malin mais tout le monde y'en a
déjà le savoir.
Moi y en a encore ajouter toi sombre crétin, seulement tarés idiots pas savoir ça.
Moi y'en a rajouter que toi pas très malin mais tout le monde y'en a
déjà le savoir.
Moi y en a encore ajouter toi sombre crétin, seulement tarés idiots pas savoir ça.
On Sun, 27 Mar 2005 13:38:15 -0500, GP wrote:Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
Alors, il n'y avait aucun problème de sécurité? Pourquoi donc avoir fait une
entrée chez Mitre... qui n'a toujours pas été reconnue comme faille de
sécurité depuis juin 2004?
Bien sûr qu'il y a un problème de sécurité.
Mais rejeter la faute sur
Debian lorsqu'on fait un programme qui nécessite des permissions root
dont on sait très bien que l'utilisateur lambda va vouloir l'utiliser,
c'est un peu gonflé. Certes, un wrapper setuid est une excellente
solution : dans ce cas pourquoi ne pas le fournir avec rp-pppoe ?
Mais je comprends que Debian ne puisse faire erreur, surtout pas
conjointement avec Mandrake. Alors, c'est à RP qu'il faut écrire,
parce que si le FUD vient de quelque part, c'est bien de là:
Comment ça conjointement avec Mandrake ?
On Sun, 27 Mar 2005 13:38:15 -0500, GP wrote:
Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
Alors, il n'y avait aucun problème de sécurité? Pourquoi donc avoir fait une
entrée chez Mitre... qui n'a toujours pas été reconnue comme faille de
sécurité depuis juin 2004?
Bien sûr qu'il y a un problème de sécurité.
Mais rejeter la faute sur
Debian lorsqu'on fait un programme qui nécessite des permissions root
dont on sait très bien que l'utilisateur lambda va vouloir l'utiliser,
c'est un peu gonflé. Certes, un wrapper setuid est une excellente
solution : dans ce cas pourquoi ne pas le fournir avec rp-pppoe ?
Mais je comprends que Debian ne puisse faire erreur, surtout pas
conjointement avec Mandrake. Alors, c'est à RP qu'il faut écrire,
parce que si le FUD vient de quelque part, c'est bien de là:
Comment ça conjointement avec Mandrake ?
On Sun, 27 Mar 2005 13:38:15 -0500, GP wrote:Complètement imprécis : rp-pppoe était setuid root mais exécutable
uniquement par les utilisateurs du groupe dip. Groupe qui est _vide_ par
défaut. Encore du bon GP-FUD.
Alors, il n'y avait aucun problème de sécurité? Pourquoi donc avoir fait une
entrée chez Mitre... qui n'a toujours pas été reconnue comme faille de
sécurité depuis juin 2004?
Bien sûr qu'il y a un problème de sécurité.
Mais rejeter la faute sur
Debian lorsqu'on fait un programme qui nécessite des permissions root
dont on sait très bien que l'utilisateur lambda va vouloir l'utiliser,
c'est un peu gonflé. Certes, un wrapper setuid est une excellente
solution : dans ce cas pourquoi ne pas le fournir avec rp-pppoe ?
Mais je comprends que Debian ne puisse faire erreur, surtout pas
conjointement avec Mandrake. Alors, c'est à RP qu'il faut écrire,
parce que si le FUD vient de quelque part, c'est bien de là:
Comment ça conjointement avec Mandrake ?
Mais rejeter la faute sur
Debian lorsqu'on fait un programme qui nécessite des permissions root
dont on sait très bien que l'utilisateur lambda va vouloir l'utiliser,
c'est un peu gonflé. Certes, un wrapper setuid est une excellente
solution : dans ce cas pourquoi ne pas le fournir avec rp-pppoe ?
[...]
Alors, si je comprends bien ton point de vue, c'est qu'alors que RP reproche
aux distros imbéciles de faire une installation SUID, c'est exactement le
genre d'installation que RP faisait par défaut? Et Slackware, qui utilisait
RP, n'a jamais noté de problème?
J'ai désinstallé RP et je n'ai pas vraiment envie de jouer à
réinstaller mais, si tu veux, je peux envoyer un résumé de ce que tu
me dis ici avec ton email en spécifiant bien que tu es un développeur
Debian et on va voir ce que RP en dit. Ça te va?
Non, mieux! Je te laisse confondre le pauvre imbécile :)
Comment ça conjointement avec Mandrake ?
Mandrake a ajouté son nom au CVE. Pas Suse, pas Red Hat, pas Slackware.
Seulement Debian et Mandrake.
Mais rejeter la faute sur
Debian lorsqu'on fait un programme qui nécessite des permissions root
dont on sait très bien que l'utilisateur lambda va vouloir l'utiliser,
c'est un peu gonflé. Certes, un wrapper setuid est une excellente
solution : dans ce cas pourquoi ne pas le fournir avec rp-pppoe ?
[...]
Alors, si je comprends bien ton point de vue, c'est qu'alors que RP reproche
aux distros imbéciles de faire une installation SUID, c'est exactement le
genre d'installation que RP faisait par défaut? Et Slackware, qui utilisait
RP, n'a jamais noté de problème?
J'ai désinstallé RP et je n'ai pas vraiment envie de jouer à
réinstaller mais, si tu veux, je peux envoyer un résumé de ce que tu
me dis ici avec ton email en spécifiant bien que tu es un développeur
Debian et on va voir ce que RP en dit. Ça te va?
Non, mieux! Je te laisse confondre le pauvre imbécile :)
Comment ça conjointement avec Mandrake ?
Mandrake a ajouté son nom au CVE. Pas Suse, pas Red Hat, pas Slackware.
Seulement Debian et Mandrake.
Mais rejeter la faute sur
Debian lorsqu'on fait un programme qui nécessite des permissions root
dont on sait très bien que l'utilisateur lambda va vouloir l'utiliser,
c'est un peu gonflé. Certes, un wrapper setuid est une excellente
solution : dans ce cas pourquoi ne pas le fournir avec rp-pppoe ?
[...]
Alors, si je comprends bien ton point de vue, c'est qu'alors que RP reproche
aux distros imbéciles de faire une installation SUID, c'est exactement le
genre d'installation que RP faisait par défaut? Et Slackware, qui utilisait
RP, n'a jamais noté de problème?
J'ai désinstallé RP et je n'ai pas vraiment envie de jouer à
réinstaller mais, si tu veux, je peux envoyer un résumé de ce que tu
me dis ici avec ton email en spécifiant bien que tu es un développeur
Debian et on va voir ce que RP en dit. Ça te va?
Non, mieux! Je te laisse confondre le pauvre imbécile :)
Comment ça conjointement avec Mandrake ?
Mandrake a ajouté son nom au CVE. Pas Suse, pas Red Hat, pas Slackware.
Seulement Debian et Mandrake.
Le wrapper fourni par rp-pppoe est un peu une plaisanterie, il
n'autorise que trois réglages (start/stop/status) et ne permet aucun
réglage fin.
Comment ça conjointement avec Mandrake ?
Mandrake a ajouté son nom au CVE. Pas Suse, pas Red Hat, pas Slackware.
Seulement Debian et Mandrake.
Pas Red Hat ? Pourquoi ils corrigent alors ?
http://www.redhat.com/archives/fedora-legacy-list/2005-February/msg00089.html
Le wrapper fourni par rp-pppoe est un peu une plaisanterie, il
n'autorise que trois réglages (start/stop/status) et ne permet aucun
réglage fin.
Comment ça conjointement avec Mandrake ?
Mandrake a ajouté son nom au CVE. Pas Suse, pas Red Hat, pas Slackware.
Seulement Debian et Mandrake.
Pas Red Hat ? Pourquoi ils corrigent alors ?
http://www.redhat.com/archives/fedora-legacy-list/2005-February/msg00089.html
Le wrapper fourni par rp-pppoe est un peu une plaisanterie, il
n'autorise que trois réglages (start/stop/status) et ne permet aucun
réglage fin.
Comment ça conjointement avec Mandrake ?
Mandrake a ajouté son nom au CVE. Pas Suse, pas Red Hat, pas Slackware.
Seulement Debian et Mandrake.
Pas Red Hat ? Pourquoi ils corrigent alors ?
http://www.redhat.com/archives/fedora-legacy-list/2005-February/msg00089.html