G-raison a écrit :
> Bonjour,
>
> Je suis quand même étonné de tomber sur ce genre de lien, moi.
> [..]
Les failles des 7 dernières années tiennes sur une seule page !
Très impressionnant !
Et en plus elles sont toutes corrigées.
Je suis sûr qu'internet explorer à lui seul, en a déjà bien plus en
un an.
Mais cette liste n'est peut-être pas complète, ce serai trop beau.

> Moi, je suis nouveau avec cet OS qu'est Linux, mais ce matin je ne sais plus
> quoi penser.
Déjà que linux et kde c'est pas du tout la même chose.
Ensuite vu le nombres de logiciels présents dans kde, cette liste est
vraiment très courte.

On Mon, 17 Oct 2005 11:09:33 +0200, G-raison wrote:

>> Que toutes ces failles sont corrigées et qu'il faut mettre à jour KDE.
>
> Je ferais ça dans le temps. A moins que ce ne soit pas trop dur.

A priori, les failles décrites sur http://www.kde.org/info/security/ sont
*locales* (je n'ai pas tout parcouru mais c'était le cas pour bon nombre
d'entre elles) et nécessitent donc un accès direct à la machine pour
être exploitées.

Ceci dit, c'est vers les outils de mise à jour de votre *distribution*
qu'il faut vous tourner. Je suis convaincu que la version de KDE que
vous avez installée est déjà patchée contre bon nombre de ces
failles. Vous devriez d'ailleurs suivre les rapports de sécurité de
votre *distribution* plutôt que ceux des logiciels que vous utilisez.

[fu2 -> fr.comp.os.linux.configuration]

On 2005-10-16, G-raison <jairaison> wrote:
> Bonjour,
>
Bonjour aussi à toi, courageux usenaute.

> Je suis quand même étonné de tomber sur ce genre de lien, moi.
> [..]

Non, finalement, j'ai bien lu, et je ne suis pas si étonné que
ça. Après tout, que les gens qui font KDE veuillent se protéger
contre certains "repreneurs indélicats" ne me choque pas.
Et que ces gens, qui investissent beaucoup de leur vie dans
un projet d'une telle ampleur songent à protéger leur marque
n'a rien de surprenant.

> Moi, je suis nouveau avec cet OS qu'est Linux, mais ce matin je ne sais plus
> quoi penser.

/me avoue ne pas saisir le rapport avec Linux.

On 2005-10-16, batyann811 <batyann811> wrote:
>
>> Bah avec une version _obsolète_ non plus.

> Et pourquoi ? Tous les paquets de la sarge bénéficient des mises à jour de
> sécurité. Ça ne change pas le numéro de version mais les problèmes sont
> rapidement corrigés. Obsolète ne veut pas dire non sûr.
>
Je me suis toujours demandé quelle quantité d'énergie était
gaspillée pour backporter les plops de sécurité dans les
vieilles versions de logiciels. Alors que la même quantité
d'énergie pourrait être consacrée à vérifier que ces trous
étaient convenablement comblés dans les versions actuelles
des mêmes logiciels.

Thomas Alexandre écrivait :

> A priori, les failles décrites sur [..]
> sont *locales* (je n'ai pas tout parcouru mais c'était le cas pour bon
> nombre d'entre elles) et nécessitent donc un accès direct à la machine
> pour être exploitées.

C'est pas comme ça que ça se passe en général ? Une faille à distance
permet l'accès à un compte et on profite d'une faille locale pour
gagner l'accès à root.

batyann811 écrivait :

> Obsolète ne veut pas dire non sûr.

Je n'ai pas dit ça, mais une version à jour n'est pas moins sûr pour
autant, correction de bugs en plus.

> Les failles des 7 dernières années tiennes sur une seule page !
> Très impressionnant !

C'est vrai que ce n'est pas grand chose.

> Déjà que linux et kde c'est pas du tout la même chose.

Oui, maintenant je fais la différence, mais faut avouer que c'est plus
simple à piloter Linux via une interface graphique.

> Bonjour aussi à toi, courageux usenaute.

Bof, courageux faut l'dire vite. ;-)

> Oui, maintenant je fais la différence, mais faut avouer que c'est plus
> simple à piloter Linux via une interface graphique.
>
bof pour faire un routeur une interface web ou un accès ssh c'est quand
même plus pratique

>> Déjà que linux et kde c'est pas du tout la même chose.
> Oui, maintenant je fais la différence, mais faut avouer que c'est plus
> simple à piloter Linux via une interface graphique.

Non.

Lister les exemples qui pourraient servir d'arguments serait de
la folie (car trop long).

Bonjour,
>
> Je suis quand même étonné de tomber sur ce genre de lien, moi.
> [..]
>
> Moi, je suis nouveau avec cet OS qu'est Linux, mais ce matin je ne sais
> plus quoi penser.
>

qu'en tout cas, comme d'habitude des que c'est du propriétaire, la sécurité
est traité au second plan ... y-a belle lurette que le libre aurait
rectifié le code !
http://www.infos-du-net.com/actualit...al-player.html

mais le plus beau reste encore a venir :
http://www.infos-du-net.com/actualit...aille-USB.html

où l'assertion :

La faille exploitée est de type "buffer overflow" et permet de donner les
droits administrateurs à un utilisateur se servant de la clé USB.
La faille a été démontrée sous Windows 2000 et XP, mais compte tenu du fait
qu'elle soit spécifique au protocole de gestion USB, et non propre au
système, il n'est pas à exclure que tous les OS supportant la technologie
USB soient vulnérable à ce type d'attaque.


donc ma question est : si W$-XP se prend un "buffer overflow" sur sa
gestion USB, tous les OS (dont linux) sont-ils forcement dans le meme cas ?

> donc ma question est : si W$-XP se prend un "buffer overflow" sur sa
> gestion USB, tous les OS (dont linux) sont-ils forcement dans le meme cas
> ?

Très bonne question, à la quelle je ne saurais répondre pour l'instant.

G-raison wrote:
>>donc ma question est : si W$-XP se prend un "buffer overflow" sur sa
>>gestion USB, tous les OS (dont linux) sont-ils forcement dans le meme cas
>>?

Certainement pas, les drivers sont codés différement de part et
d'autres, chacun à trouvé une "façon" de coder le driver USB. Ceci étant
dit, s'il existe une faille dans le protocole même de l'usb il y a plus
de points communs (un transfert usb c'est un transfert usb) et donc plus
de chances d'être "portable".

Mais je n'ai fait q'humblement donner mon humble avis.

> Mais je n'ai fait q'humblement donner mon humble avis.

Merci donc, pour cet humble avis.

> Comme il poste avec Knode 0.8.2 j'ai des doutes sur la mise à jour.

Ah, mais on en est où en version avec Knode?

Ca fait depuis le 8 octobre 2005 que j'ai Linux et il y aurait une nouvelle
version de Knode?
avec Knode 0.8.2 j'ai des doutes sur la mise à jour.