Malgrés mon abonnement à plusieurs listes "sécu",
je n'ai eu l'info que Vendredi soir (26/09).
ça m'énerve d'autant plus que je passe pas mal
de temps à lire différentes listes.
J'ai vite arrété BugTraq (même avant Symantec)
car trop de flux pour moi mais je ne trouve pas la
bonne petite liste généraliste qui fait un point hebdo
avec une alerte sur les "gros" (en français ce serait top).
Une adresse de liste ? Un forum ? Un sîte ?
Merci.
:-)
Bon, donc pour ceux (si cela existe) qui
serait encore moins renseigné que moi, il
y a une faille potentielle dans proftpd qui
permettrai à un attaquant possédant des
droits d'écriture sur le serveur d'utiliser le
transfert ASCII pour provoquer un buffer
overflow (/n /n) et lancer un exécutable avec
les droits du daemon (si j'ai à peu prêt pigé).
Le patch est dispo sur le site proftpd.org.
A+,
RV.
----
"Ceux qui abandonnent un peu de leurs libertés essentielles
en échange d'un peu plus de sécurité ne méritent ni la liberté,
ni la sécurité, et vont perdre les deux."- Thomas Jefferson .
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Razny
"RV Lardin" a écrit dans le message de news:3f77efd6$0$13286$
Salut à tous,
Malgrés mon abonnement à plusieurs listes "sécu", je n'ai eu l'info que Vendredi soir (26/09). ça m'énerve d'autant plus que je passe pas mal de temps à lire différentes listes. J'ai vite arrété BugTraq (même avant Symantec) car trop de flux pour moi mais je ne trouve pas la bonne petite liste généraliste qui fait un point hebdo avec une alerte sur les "gros" (en français ce serait top).
Une adresse de liste ? Un forum ? Un sîte ? Merci.
BugTraq reste une référence. Tu peux quand même filtrer avec une liste de mots clefs (genre proftpd, sendmail, openssh etc.) pour te balancer ce qui t'interresse dans un coin. Si tu as la flemme de filtrer manuellement (sic) le reste tu le vire d'un coup. Ce sera de toute façon mieux que de te priver de l'info à coup sur.
Sinon le réflexe du "matin[1]", un tour rapide sur les sites de tes serveurs. Ca prend moins d'un quart d'heure et ça peut éviter quelques gags (si tu as vraiment laissé passer l'alerte). Mais tu passera à côté des bugs kernels & co.
De plus tu as aussi les mailing-lists qui vont avec les produits. Mais si tu te plains déjà du "bruit".... (encore que certaines listes sont resteintes à la sécurité ou aux annonces officielles). Pour proftpd jette un oeil sur : http://www.proftpd.org/lists.html#announce )
Bon, donc pour ceux (si cela existe) qui serait encore moins renseigné que moi, il
Quand tu vois que la faille critique de bind n'était pas patchée plusieurs moi après par des "gros", tu peux être sur que ça existe!
y a une faille potentielle dans proftpd qui [snap]
Le patch est dispo sur le site proftpd.org.
Merci, mais ça va bientôt faire une semaine (le 23 au soir) :)
"Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both." Thomas Jefferson .
Cool, je n'arrivais plus à remettre la main dessus. C'est pour faire une carte postale et l'envoyer à l'andouille qui propose des CNI inviolables!
Eric
[1] quand tu peux mais régulièrement :)
"RV Lardin" <RvLardin_NOSPAM@wanadoo.fr> a écrit dans le message de
news:3f77efd6$0$13286$626a54ce@news.free.fr...
Salut à tous,
Malgrés mon abonnement à plusieurs listes "sécu",
je n'ai eu l'info que Vendredi soir (26/09).
ça m'énerve d'autant plus que je passe pas mal
de temps à lire différentes listes.
J'ai vite arrété BugTraq (même avant Symantec)
car trop de flux pour moi mais je ne trouve pas la
bonne petite liste généraliste qui fait un point hebdo
avec une alerte sur les "gros" (en français ce serait top).
Une adresse de liste ? Un forum ? Un sîte ?
Merci.
BugTraq reste une référence. Tu peux quand même filtrer avec une liste de
mots clefs (genre proftpd, sendmail, openssh etc.) pour te balancer ce qui
t'interresse dans un coin. Si tu as la flemme de filtrer manuellement (sic)
le reste tu le vire d'un coup. Ce sera de toute façon mieux que de te priver
de l'info à coup sur.
Sinon le réflexe du "matin[1]", un tour rapide sur les sites de tes
serveurs. Ca prend moins d'un quart d'heure et ça peut éviter quelques gags
(si tu as vraiment laissé passer l'alerte). Mais tu passera à côté des bugs
kernels & co.
De plus tu as aussi les mailing-lists qui vont avec les produits. Mais si
tu te plains déjà du "bruit".... (encore que certaines listes sont
resteintes à la sécurité ou aux annonces officielles). Pour proftpd jette un
oeil sur :
http://www.proftpd.org/lists.html#announce )
Bon, donc pour ceux (si cela existe) qui
serait encore moins renseigné que moi, il
Quand tu vois que la faille critique de bind n'était pas patchée plusieurs
moi après par des "gros", tu peux être sur que ça existe!
y a une faille potentielle dans proftpd qui
[snap]
Le patch est dispo sur le site proftpd.org.
Merci, mais ça va bientôt faire une semaine (le 23 au soir) :)
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."
Thomas Jefferson .
Cool, je n'arrivais plus à remettre la main dessus. C'est pour faire une
carte postale et l'envoyer à l'andouille qui propose des CNI inviolables!
"RV Lardin" a écrit dans le message de news:3f77efd6$0$13286$
Salut à tous,
Malgrés mon abonnement à plusieurs listes "sécu", je n'ai eu l'info que Vendredi soir (26/09). ça m'énerve d'autant plus que je passe pas mal de temps à lire différentes listes. J'ai vite arrété BugTraq (même avant Symantec) car trop de flux pour moi mais je ne trouve pas la bonne petite liste généraliste qui fait un point hebdo avec une alerte sur les "gros" (en français ce serait top).
Une adresse de liste ? Un forum ? Un sîte ? Merci.
BugTraq reste une référence. Tu peux quand même filtrer avec une liste de mots clefs (genre proftpd, sendmail, openssh etc.) pour te balancer ce qui t'interresse dans un coin. Si tu as la flemme de filtrer manuellement (sic) le reste tu le vire d'un coup. Ce sera de toute façon mieux que de te priver de l'info à coup sur.
Sinon le réflexe du "matin[1]", un tour rapide sur les sites de tes serveurs. Ca prend moins d'un quart d'heure et ça peut éviter quelques gags (si tu as vraiment laissé passer l'alerte). Mais tu passera à côté des bugs kernels & co.
De plus tu as aussi les mailing-lists qui vont avec les produits. Mais si tu te plains déjà du "bruit".... (encore que certaines listes sont resteintes à la sécurité ou aux annonces officielles). Pour proftpd jette un oeil sur : http://www.proftpd.org/lists.html#announce )
Bon, donc pour ceux (si cela existe) qui serait encore moins renseigné que moi, il
Quand tu vois que la faille critique de bind n'était pas patchée plusieurs moi après par des "gros", tu peux être sur que ça existe!
y a une faille potentielle dans proftpd qui [snap]
Le patch est dispo sur le site proftpd.org.
Merci, mais ça va bientôt faire une semaine (le 23 au soir) :)
"Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both." Thomas Jefferson .
Cool, je n'arrivais plus à remettre la main dessus. C'est pour faire une carte postale et l'envoyer à l'andouille qui propose des CNI inviolables!
Eric
[1] quand tu peux mais régulièrement :)
noob
salut,
Malgrés mon abonnement à plusieurs listes "sécu",
juste par curiosité, ces listes sont-elles payantes ? parce que je suis actuellement tenté de m'inscrire à des listes mais payantes, alors j'hésite ... AHMA payer pour être au courant de la publication d'une faille/exploit c'est vraiment pas le top :^^ dès fois qq mois après la trouvaille ....
et à l'heure actuelle, je ne connais pas ce genre de listes gratuites !
bon évidemment on peut toujours me répondre que si l'on suit plusieurs listes de développement (dans le monde du libre...windows n'en parlons pas), on peut trouver pas mal de choses intéressantes...mais faut de la ressource !:
je n'ai eu l'info que Vendredi soir (26/09).
oui c'est vrai, le vrendredi soir (pour nous french) c'est pas super cool, mais il est environ 12h au US et de toutes façons les chinois sont au courant depuis qq jours :) (les chinois c'est juste une hallu...)
si tu es seul à t'occuper de la sécurité sur ton réseau c'est normal, tu ne peux pas travailler 7j*24h :o) au moins ça montre la faiblesse des hommes sur de petites structures (ce n'est peut-etre pas ton cas), le week-end ils se reposent :p moralité pour notre exemple français : déchainer vous sur les serveurs le soir après 18h et le week-end : le vendredi soir à 17h => au lundi matin 8h :o) cet exemple bannal s'applique partout dans le monde pour de ptites structures ! (maxi 2000 users mais très recherché pour être proxy)
A+
salut,
Malgrés mon abonnement à plusieurs listes "sécu",
juste par curiosité, ces listes sont-elles payantes ? parce que je suis
actuellement tenté de m'inscrire à des listes mais payantes, alors j'hésite
... AHMA payer pour être au courant de la publication d'une faille/exploit
c'est vraiment pas le top :^^ dès fois qq mois après la trouvaille ....
et à l'heure actuelle, je ne connais pas ce genre de listes gratuites !
bon évidemment on peut toujours me répondre que si l'on suit plusieurs
listes de développement (dans le monde du libre...windows n'en parlons pas),
on peut trouver pas mal de choses intéressantes...mais faut de la ressource
!:
je n'ai eu l'info que Vendredi soir (26/09).
oui c'est vrai, le vrendredi soir (pour nous french) c'est pas super cool,
mais il est environ 12h au US et de toutes façons les chinois sont au
courant depuis qq jours :) (les chinois c'est juste une hallu...)
si tu es seul à t'occuper de la sécurité sur ton réseau c'est normal, tu ne
peux pas travailler 7j*24h :o) au moins ça montre la faiblesse des hommes
sur de petites structures (ce n'est peut-etre pas ton cas), le week-end ils
se reposent :p moralité pour notre exemple français : déchainer vous sur
les serveurs le soir après 18h et le week-end : le vendredi soir à 17h =>
au lundi matin 8h :o) cet exemple bannal s'applique partout dans le
monde pour de ptites structures ! (maxi 2000 users mais très recherché pour
être proxy)
juste par curiosité, ces listes sont-elles payantes ? parce que je suis actuellement tenté de m'inscrire à des listes mais payantes, alors j'hésite ... AHMA payer pour être au courant de la publication d'une faille/exploit c'est vraiment pas le top :^^ dès fois qq mois après la trouvaille ....
et à l'heure actuelle, je ne connais pas ce genre de listes gratuites !
bon évidemment on peut toujours me répondre que si l'on suit plusieurs listes de développement (dans le monde du libre...windows n'en parlons pas), on peut trouver pas mal de choses intéressantes...mais faut de la ressource !:
je n'ai eu l'info que Vendredi soir (26/09).
oui c'est vrai, le vrendredi soir (pour nous french) c'est pas super cool, mais il est environ 12h au US et de toutes façons les chinois sont au courant depuis qq jours :) (les chinois c'est juste une hallu...)
si tu es seul à t'occuper de la sécurité sur ton réseau c'est normal, tu ne peux pas travailler 7j*24h :o) au moins ça montre la faiblesse des hommes sur de petites structures (ce n'est peut-etre pas ton cas), le week-end ils se reposent :p moralité pour notre exemple français : déchainer vous sur les serveurs le soir après 18h et le week-end : le vendredi soir à 17h => au lundi matin 8h :o) cet exemple bannal s'applique partout dans le monde pour de ptites structures ! (maxi 2000 users mais très recherché pour être proxy)
A+
Cedric Blancher
Dans sa prose, RV Lardin nous ecrivait :
Malgrés mon abonnement à plusieurs listes "sécu", je n'ai eu l'info que Vendredi soir (26/09).
Bon alors mauvaises listes, changer de liste. Clairement. Des listes en français on publié mercredi après-midi.
J'ai vite arrété BugTraq (même avant Symantec) car trop de flux pour moi
On Tue, 30 Sep 2003 05:37:26 +0000, Cedric Blancher wrote:
Une adresse de liste ? Un forum ? Un sîte ? Merci. :-)
Maintenant que tu as les noms : http://www.google.com/
Chic, une liste : - Bugtraq - CERT - listes d'éditeurs (Redhat, Debian , Cisco, MS, ...) - Full-Disclosure - ISN - ISS X-Force - K-Otik (Bugtraq French + advisories + exploits) - Ossir (Unix et NT) - SANS - SecurityFocus SecNews/SecTools/SecPapers - Secunia - Securiteam - Vuln-dev - VulnWatch
Plus les listes privées, semi-privées, de discussion hors-failles (PenTest), spécifiques à certains outils (Nmap, Nessus), ...
Nicob
RV Lardin
Chic, une liste : Pour continuer le boulot de Cedric, tentons de
qualifier un peu cette liste à partir de cet exemple (faille proftpd publié le 23/09 ). Attention : les "résultats" sont à prendre avec des pincettes *et* à valider car il est possible que je n'ai pas cherché au bon endroit sur les archives des listes.
- SANS Dans le "Security Alert Consensus" #38 du 25/09
(Noyé dans la masse)
- SecurityFocus SecNews/SecTools/SecPapers Idem BugTraq
- Secunia 24/09
- Securiteam 24/09
- Vuln-dev Hors sujet.
- VulnWatch Pas vu (archives chez Neohapsis)
J'ajoute : CERTA : nada à ce jour.
Au suivant, pour se faire une liste qualifiée ?
A+, RV. ---- "Ceux qui abandonnent un peu de leurs libertés essentielles en échange d'un peu plus de sécurité ne méritent ni la liberté, ni la sécurité, et vont perdre les deux."- Thomas Jefferson . "Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both."
Chic, une liste :
Pour continuer le boulot de Cedric, tentons de
qualifier un peu cette liste à partir de cet exemple
(faille proftpd publié le 23/09 ).
Attention : les "résultats" sont à prendre avec des
pincettes *et* à valider car il est possible que je n'ai
pas cherché au bon endroit sur les archives des listes.
- SANS
Dans le "Security Alert Consensus" #38 du 25/09
(Noyé dans la masse)
- SecurityFocus SecNews/SecTools/SecPapers
Idem BugTraq
- Secunia
24/09
- Securiteam
24/09
- Vuln-dev
Hors sujet.
- VulnWatch
Pas vu (archives chez Neohapsis)
J'ajoute :
CERTA : nada à ce jour.
Au suivant, pour se faire une liste qualifiée ?
A+,
RV.
----
"Ceux qui abandonnent un peu de leurs libertés essentielles
en échange d'un peu plus de sécurité ne méritent ni la liberté,
ni la sécurité, et vont perdre les deux."- Thomas Jefferson .
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."
Chic, une liste : Pour continuer le boulot de Cedric, tentons de
qualifier un peu cette liste à partir de cet exemple (faille proftpd publié le 23/09 ). Attention : les "résultats" sont à prendre avec des pincettes *et* à valider car il est possible que je n'ai pas cherché au bon endroit sur les archives des listes.
- SANS Dans le "Security Alert Consensus" #38 du 25/09
(Noyé dans la masse)
- SecurityFocus SecNews/SecTools/SecPapers Idem BugTraq
- Secunia 24/09
- Securiteam 24/09
- Vuln-dev Hors sujet.
- VulnWatch Pas vu (archives chez Neohapsis)
J'ajoute : CERTA : nada à ce jour.
Au suivant, pour se faire une liste qualifiée ?
A+, RV. ---- "Ceux qui abandonnent un peu de leurs libertés essentielles en échange d'un peu plus de sécurité ne méritent ni la liberté, ni la sécurité, et vont perdre les deux."- Thomas Jefferson . "Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both."
RV Lardin
"RV Lardin" ayant dit :
"Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both." Thomas Jefferson .
Cool, je n'arrivais plus à remettre la main dessus. C'est pour faire une carte postale et l'envoyer à l'andouille qui propose des CNI inviolables!
Je signe des deux mains sur ta carte (postale, pas la CNI "inviolable"). Je viens de voir que les USA ont un peu d'avance sur notre "Sarko-Land" en cours de construction, mais on devrait y arriver vite, à ce rythme.
Pour la citation, y'a un blême, selon les sources, c'est soit Ben Franklin, soit Thomas Jefferson. mais avec quelques différences de texte comme içi : "They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety. Benjamin Franklin, Historical Review of Pennsylvania, 1759. "
J'ai pas mal cherché, mais pas encore de certitude, genre : http://www.nccs.net/p005.html http://www.findfreeessays.com/show_essay/3444.html
fu2 : fr.litterature.americaine ? ;-)
A+, RV.
"RV Lardin" ayant dit :
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."
Thomas Jefferson .
Cool, je n'arrivais plus à remettre la main dessus. C'est pour faire une
carte postale et l'envoyer à l'andouille qui propose des CNI inviolables!
Je signe des deux mains sur ta carte (postale, pas la CNI "inviolable").
Je viens de voir que les USA ont un peu d'avance sur notre "Sarko-Land"
en cours de construction, mais on devrait y arriver vite, à ce rythme.
Pour la citation, y'a un blême, selon les sources,
c'est soit Ben Franklin, soit Thomas Jefferson.
mais avec quelques différences de texte comme içi :
"They that can give up essential liberty to obtain a little temporary
safety deserve neither liberty nor safety.
Benjamin Franklin, Historical Review of Pennsylvania, 1759. "
J'ai pas mal cherché, mais pas encore de certitude, genre :
http://www.nccs.net/p005.html
http://www.findfreeessays.com/show_essay/3444.html
"Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both." Thomas Jefferson .
Cool, je n'arrivais plus à remettre la main dessus. C'est pour faire une carte postale et l'envoyer à l'andouille qui propose des CNI inviolables!
Je signe des deux mains sur ta carte (postale, pas la CNI "inviolable"). Je viens de voir que les USA ont un peu d'avance sur notre "Sarko-Land" en cours de construction, mais on devrait y arriver vite, à ce rythme.
Pour la citation, y'a un blême, selon les sources, c'est soit Ben Franklin, soit Thomas Jefferson. mais avec quelques différences de texte comme içi : "They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety. Benjamin Franklin, Historical Review of Pennsylvania, 1759. "
J'ai pas mal cherché, mais pas encore de certitude, genre : http://www.nccs.net/p005.html http://www.findfreeessays.com/show_essay/3444.html
fu2 : fr.litterature.americaine ? ;-)
A+, RV.
RV Lardin
Dans sa prose, RV Lardin nous ecrivait :
mais je ne trouve pas la bonne petite liste généraliste
. K-Otic (en français) : mercredi 24, 16h20
Merci à tous pour les liens, je crois que j'ai trouvé ma pointure avec K-Otic, je la colle en test pour quelques semaines.
Y'a qui derrière ? Des habitués de ce NG ? Quand au service payant, quelqu'un a testé ?
A+, RV. ---- "Ceux qui abandonnent un peu de leurs libertés essentielles en échange d'un peu plus de sécurité ne méritent ni la liberté, ni la sécurité, et vont perdre les deux."- Thomas Jefferson . "Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both."
Dans sa prose, RV Lardin nous ecrivait :
mais je ne trouve pas la bonne petite liste généraliste
. K-Otic (en français) : mercredi 24, 16h20
Merci à tous pour les liens, je crois que j'ai trouvé
ma pointure avec K-Otic, je la colle en test pour
quelques semaines.
Y'a qui derrière ? Des habitués de ce NG ?
Quand au service payant, quelqu'un a testé ?
A+,
RV.
----
"Ceux qui abandonnent un peu de leurs libertés essentielles
en échange d'un peu plus de sécurité ne méritent ni la liberté,
ni la sécurité, et vont perdre les deux."- Thomas Jefferson .
"Those who are willing to lose some of their essential liberties
in favour of security deserve neither and will lose both."
mais je ne trouve pas la bonne petite liste généraliste
. K-Otic (en français) : mercredi 24, 16h20
Merci à tous pour les liens, je crois que j'ai trouvé ma pointure avec K-Otic, je la colle en test pour quelques semaines.
Y'a qui derrière ? Des habitués de ce NG ? Quand au service payant, quelqu'un a testé ?
A+, RV. ---- "Ceux qui abandonnent un peu de leurs libertés essentielles en échange d'un peu plus de sécurité ne méritent ni la liberté, ni la sécurité, et vont perdre les deux."- Thomas Jefferson . "Those who are willing to lose some of their essential liberties in favour of security deserve neither and will lose both."
Manu
RV Lardin wrote:
Chic, une liste :
Pour continuer le boulot de Cedric, tentons de qualifier un peu cette liste à partir de cet exemple (faille proftpd publié le 23/09 ). Attention : les "résultats" sont à prendre avec des pincettes *et* à valider car il est possible que je n'ai pas cherché au bon endroit sur les archives des listes.
RedHat : fifre au 30/09 Debian : Que dalle Mandrake : 26/09
Slackware: 24/09 à 08h06 !!!
-=( manu )=-
RV Lardin wrote:
Chic, une liste :
Pour continuer le boulot de Cedric, tentons de
qualifier un peu cette liste à partir de cet exemple
(faille proftpd publié le 23/09 ).
Attention : les "résultats" sont à prendre avec des
pincettes *et* à valider car il est possible que je n'ai
pas cherché au bon endroit sur les archives des listes.
Pour continuer le boulot de Cedric, tentons de qualifier un peu cette liste à partir de cet exemple (faille proftpd publié le 23/09 ). Attention : les "résultats" sont à prendre avec des pincettes *et* à valider car il est possible que je n'ai pas cherché au bon endroit sur les archives des listes.
RedHat : fifre au 30/09 Debian : Que dalle Mandrake : 26/09
Slackware: 24/09 à 08h06 !!!
-=( manu )=-
Cedric Blancher
Dans sa prose, RV Lardin nous ecrivait :
- CERT Rien encore ce jour 30/09 (???)
Normal, ce n'est pas une faille assez grosse pour mériter le CERT. Grosso modo, un user qui arrive à avoir un shell sur la machine via ProFTPd avec le niveau de privilège qu'il a déjà, ça ne pose de problème que quand les users n'ont pas de shell. Et dans ce cas là, on ne les laisse en général pas uploader.
Debian : Que dalle
Normal. Le ProFTPd de la Debian stable est un 1.2.4 et n'est pas vulnérable. Les distributions testing et unstable sont suivies, mais ne font pas l'objet d'alertes spécifiques. Mais la faille est corrigée sur les deux avec la version 1.2.8-12 du package.
-12 in incoming solves the issue for sid. Experimental will come ASAP. Stable version is not affected."
- Full-Disclosure 23/09 18H37 (Difficile à isoler, beaucoup de bruit)
Search, subject contains proftp
- Ossir (Unix et NT) Pas d'archives publiques ?
La liste est sur inscription seulement, modérée, et n'a pas vocation à annoncer les failles.
- VulnWatch Pas vu (archives chez Neohapsis)
Moi non plus, mais je trouve que le trafic de la liste a considérablement baissé depuis cet été.
J'ajoute : CERTA : nada à ce jour.
No comment.
-- BOFH excuse #118:
the router thinks its a printer.
Dans sa prose, RV Lardin nous ecrivait :
- CERT
Rien encore ce jour 30/09 (???)
Normal, ce n'est pas une faille assez grosse pour mériter le CERT. Grosso
modo, un user qui arrive à avoir un shell sur la machine via ProFTPd avec
le niveau de privilège qu'il a déjà, ça ne pose de problème que quand
les users n'ont pas de shell. Et dans ce cas là, on ne les laisse en
général pas uploader.
Debian : Que dalle
Normal. Le ProFTPd de la Debian stable est un 1.2.4 et n'est pas
vulnérable. Les distributions testing et unstable sont suivies, mais ne
font pas l'objet d'alertes spécifiques. Mais la faille est corrigée sur
les deux avec la version 1.2.8-12 du package.
Normal, ce n'est pas une faille assez grosse pour mériter le CERT. Grosso modo, un user qui arrive à avoir un shell sur la machine via ProFTPd avec le niveau de privilège qu'il a déjà, ça ne pose de problème que quand les users n'ont pas de shell. Et dans ce cas là, on ne les laisse en général pas uploader.
Debian : Que dalle
Normal. Le ProFTPd de la Debian stable est un 1.2.4 et n'est pas vulnérable. Les distributions testing et unstable sont suivies, mais ne font pas l'objet d'alertes spécifiques. Mais la faille est corrigée sur les deux avec la version 1.2.8-12 du package.
-12 in incoming solves the issue for sid. Experimental will come ASAP. Stable version is not affected."
- Full-Disclosure 23/09 18H37 (Difficile à isoler, beaucoup de bruit)
Search, subject contains proftp
- Ossir (Unix et NT) Pas d'archives publiques ?
La liste est sur inscription seulement, modérée, et n'a pas vocation à annoncer les failles.
- VulnWatch Pas vu (archives chez Neohapsis)
Moi non plus, mais je trouve que le trafic de la liste a considérablement baissé depuis cet été.
J'ajoute : CERTA : nada à ce jour.
No comment.
-- BOFH excuse #118:
the router thinks its a printer.
serri_amir
RV Lardin wrote in message news:<3f794f69$0$13287$...
Dans sa prose, RV Lardin nous ecrivait :
mais je ne trouve pas la bonne petite liste généraliste
. K-Otic (en français) : mercredi 24, 16h20
Merci à tous pour les liens, je crois que j'ai trouvé ma pointure avec K-Otic, je la colle en test pour quelques semaines.
Y'a qui derrière ? Des habitués de ce NG ? Quand au service payant, quelqu'un a testé ?
Wep k-otik c'est LA réference française/francophone de la sécurité informatique. c'est d'ailleur eux les résponsables du nouveau bugtraq-french auprès de Symantec (hé wi !).
donc ta le choix entre la mailing k-otik (tu reçois toutes les alertes k-otik) ou la mailing bugtraq-french (tu ne reçois que les alertes critiques)
RV Lardin <RvLardin_NOSPAM@wanadoo.fr> wrote in message news:<3f794f69$0$13287$626a54ce@news.free.fr>...
Dans sa prose, RV Lardin nous ecrivait :
mais je ne trouve pas la bonne petite liste généraliste
. K-Otic (en français) : mercredi 24, 16h20
Merci à tous pour les liens, je crois que j'ai trouvé
ma pointure avec K-Otic, je la colle en test pour
quelques semaines.
Y'a qui derrière ? Des habitués de ce NG ?
Quand au service payant, quelqu'un a testé ?
Wep k-otik c'est LA réference française/francophone de la sécurité
informatique. c'est d'ailleur eux les résponsables du nouveau
bugtraq-french auprès de Symantec (hé wi !).
donc ta le choix entre la mailing k-otik (tu reçois toutes les alertes
k-otik) ou la mailing bugtraq-french (tu ne reçois que les alertes
critiques)
RV Lardin wrote in message news:<3f794f69$0$13287$...
Dans sa prose, RV Lardin nous ecrivait :
mais je ne trouve pas la bonne petite liste généraliste
. K-Otic (en français) : mercredi 24, 16h20
Merci à tous pour les liens, je crois que j'ai trouvé ma pointure avec K-Otic, je la colle en test pour quelques semaines.
Y'a qui derrière ? Des habitués de ce NG ? Quand au service payant, quelqu'un a testé ?
Wep k-otik c'est LA réference française/francophone de la sécurité informatique. c'est d'ailleur eux les résponsables du nouveau bugtraq-french auprès de Symantec (hé wi !).
donc ta le choix entre la mailing k-otik (tu reçois toutes les alertes k-otik) ou la mailing bugtraq-french (tu ne reçois que les alertes critiques)
