Bonjour,

Actuellement j'ai le noyau 2.6.22.9-desktop-1mdv qui semble très bien
marcher.
Admettons que pour d'obscures raison il me vient l'idée de le mettre à jour,
comme proposé depuis des lustres par le gestionnaire graphique de logiciel.

Si on résume tout ce qui a été dit sur le sujet depuis le début (voir même
avant) je peux me permettre de laisser cocher les
cases "kernel-desktop-2.6.22.18-1mdv" et "kernel-desktop-latest" à partir
du gestionnaire de mise à jour graphique pour que ça se mette à jour?

Ou vaut-il mieux passer en ligne de commande? (auquel cas j'attendrais une
nouvelle version de ma distribution.)

Au cas où ça planterait, pourrais toujours booter sur le noyau 2.6.22.9 et
retrouver tout comme avant.

(ps : je me souviens un jour où j'avais fait cette manip et j'avais du tout
réinstaller, mais bon tant pis...)

--
@+
gr

G-raison wrote:

> d'obscures raison

J'ai oublié le "s" sur c'te fichu clavier, mais bon c'est dimanche
matin. :-)

--
@+
gr

Le 03/30/2008 11:10 AM, G-raison a tapoté avec ses mimines :
> Bonjour,
>
> Actuellement j'ai le noyau 2.6.22.9-desktop-1mdv qui semble très bien
> marcher.
> Admettons que pour d'obscures raison il me vient l'idée de le mettre à jour,
> comme proposé depuis des lustres par le gestionnaire graphique de logiciel.
>
> Si on résume tout ce qui a été dit sur le sujet depuis le début (voir même
> avant) je peux me permettre de laisser cocher les
> cases "kernel-desktop-2.6.22.18-1mdv" et "kernel-desktop-latest" à partir
> du gestionnaire de mise à jour graphique pour que ça se mette à jour?
>
> Ou vaut-il mieux passer en ligne de commande? (auquel cas j'attendrais une
> nouvelle version de ma distribution.)
>
> Au cas où ça planterait, pourrais toujours booter sur le noyau 2.6.22.9 et
> retrouver tout comme avant.
>
> (ps : je me souviens un jour où j'avais fait cette manip et j'avais du tout
> réinstaller, mais bon tant pis...)
>
Bonjour,
actuellement, sur ma Mandriva, j'ai un noyau 2.6.22.18-1.
La mise à jour à été faite en mode graphique sans souci.

De plus, si tu ne désinstalle pas les noyaux précédents, tu auras, dans
le menu du gestionnaire de démarrage (grub ou lilo) une liste de tous
les noyaux présents (et fonctionnels) sur ton système. Pour passer d'un
noyau à l'autre, au démarrage de ta machine, il suffit de sélectionner
celui qui te convient.
A savoir que la mise à jour du noyau par l'interface graphique provoque
une mise à jour du gestionnaire de démarrage pour que le démarrage par
défaut se fasse sur le dernier noyau chargé.

Bon dimanche

Le dimanche 30 mars 2008 11:10, G-raison s'est exprimé de la sorte sur
fr.comp.os.linux.configuration :

> Bonjour,

Bonjour

> Actuellement j'ai le noyau 2.6.22.9-desktop-1mdv qui semble très bien
> marcher.
> Admettons que pour d'obscures raison il me vient l'idée de le mettre Ã
> jour, comme proposé depuis des lustres par le gestionnaire graphique de
> logiciel.

Pourquoi le mettre à jour s'il semble très bien fonctionner ?

> Si on résume tout ce qui a été dit sur le sujet depuis le début (voir même
> avant) je peux me permettre de laisser cocher les
> cases "kernel-desktop-2.6.22.18-1mdv" et "kernel-desktop-latest" Ã partir
> du gestionnaire de mise à jour graphique pour que ça se mette à jour?
>
> Ou vaut-il mieux passer en ligne de commande? (auquel cas j'attendrais une
> nouvelle version de ma distribution.)

Si tu mets à jour le noyau "pour l'expérience", un clickodrome ne
t'apportera pas grand chose par contre il te garantira un meilleur
résultat.

Si tu décides de le faire "manuellement", il me semble qu'il te faudra
installer les paquets "kernel-devel" et/ou "kernel-sources" (un nom comme
ça). A vérifier dans la documentation de Mandriva.

Ceci dit, rien ne t'empêche d'installer les sources du noyau depuis
kernel.org et de te lancer dans une compilation adaptée à ta configuration
et devenir un vrai guru :-D

C'est bon pour l'expérience mais le risque est important.

Mon avis est qu'avant de se lancer dans une telle aventure, il faut
s'assurer de savoir se sortir des galères éventuelles. Par exemple savoir
booter sur un noyau "extérieur" (i.e. issu d'un live cd ou d'un CD
d'installation).

Dans un premier temps et avant de faire quoi que ce soit, essaie déjà de
booter sur un noyau "extérieur" et de monter ton système. C'est sans risque
pour le système et te permettra d'acquérir le minimum d'expérience
nécessaire en cas de plantage au boot.

> Au cas où ça planterait, pourrais toujours booter sur le noyau 2.6.22.9 et
> retrouver tout comme avant.

Je ne connais pas Mandriva mais à priori il doit y avoir un moyen de laisser
en place l'ancien noyau ce qui sera utile en cas de plantage.

> (ps : je me souviens un jour où j'avais fait cette manip et j'avais du
> tout réinstaller, mais bon tant pis...)

Bien lire la doc ;-)

--
@+
Doug - Linux user #307925 - Gentoo rocks ;-)
[ Plus ou moins avec une chance de peut-être ]
- Pour me contacter, enlever nospam (2X) -

Salut,

doug713705 a écrit :
>
>>Actuellement j'ai le noyau 2.6.22.9-desktop-1mdv qui semble très bien
>>marcher.
>>Admettons que pour d'obscures raison il me vient l'idée de le mettre à
>>jour, comme proposé depuis des lustres par le gestionnaire graphique de
>>logiciel.
>
> Pourquoi le mettre à jour s'il semble très bien fonctionner ?

Par exemple à cause de l'énorme faille de sécurité de vmsplice corrigée
dans 2.6.22.18 (CVE-2008-0600).

moi wrote:

> Bonjour,

Salut :-)

> actuellement, sur ma Mandriva, j'ai un noyau 2.6.22.18-1.
> La mise à jour à été faite en mode graphique sans souci.

Ah merci de me le faire savoir.

> A savoir que la mise à jour du noyau par l'interface graphique provoque
> une mise à jour du gestionnaire de démarrage pour que le démarrage par
> défaut se fasse sur le dernier noyau chargé.

Bon, faudra j'me lance dans ce cas.
Merci.

--
@+
gr

doug713705 wrote:

> Pourquoi le mettre à jour s'il semble très bien fonctionner ?

Comme le dis Pascal plus bas, pour des raisons de sécurité, et parce que ça
n'arrête pas de me le rappeler.

> Si tu mets à jour le noyau "pour l'expérience", un clickodrome ne
> t'apportera pas grand chose par contre il te garantira un meilleur
> résultat.

Ah, vu.

> Ceci dit, rien ne t'empêche d'installer les sources du noyau depuis
> kernel.org et de te lancer dans une compilation adaptée à ta configuration
> et devenir un vrai guru :-D

Si j'avais un PC de rabe, oui.
Mais là j'ai quand même des données (même sauvegardées...) et je ne veux pas
les perdre en ce moment.

> C'est bon pour l'expérience mais le risque est important.

Je n'en doute pas. ;-)

> Bien lire la doc ;-)

Oui, il y a beaucoup à lire en effet.

--
@+
gr

Pascal Hambourg wrote:

> Par exemple à cause de l'énorme faille de sécurité de vmsplice corrigée
> dans 2.6.22.18 (CVE-2008-0600).

En même temps, c'est un chercheur en sécurité du nom de Wojciech Purczynski
qui a trouvé la faille. (si j'ai bien lu...)
Ca se trouve personne d'autre ne l'aurait employée pour nuire.

Parce que faut quand même la trouver cette fichue faille.

J'ai lu qu'il fallait un noyau supérieur à 2.6.24.1 et là Mandriva me
propose le "kernel-desktop-2.6.22.18-1mdv".
Je me demande si c'est bon comme noyau?

--
@+
gr

Le dimanche 30 mars 2008 17:07, G-raison s'est exprimé de la sorte sur
fr.comp.os.linux.configuration :

> J'ai lu qu'il fallait un noyau supérieur à 2.6.24.1 et là Mandriva me
> propose le "kernel-desktop-2.6.22.18-1mdv".
> Je me demande si c'est bon comme noyau?

Tout dépend s'il a été patché.

Le bug concerne tous les noyaux entre 2.6.17 et 2.6.24.1 (inclus).
Cependant il existe des patchs pour certains de ces noyaux.

On peut donc avoir un 2.6.22 qui ne présente pas ce problème.
Je suppose que cela devrait être écrit quelque part sur le site de mandriva.

--
@+
Doug - Linux user #307925 - Gentoo rocks ;-)
[ Plus ou moins avec une chance de peut-être ]
- Pour me contacter, enlever nospam (2X) -

G-raison wrote:

> doug713705 wrote:
>
>> Pourquoi le mettre à jour s'il semble très bien fonctionner ?
>
> Comme le dis Pascal plus bas, pour des raisons de sécurité, et parce que
> ça n'arrête pas de me le rappeler.
>
>> Si tu mets à jour le noyau "pour l'expérience", un clickodrome ne
>> t'apportera pas grand chose par contre il te garantira un meilleur
>> résultat.
>
> Ah, vu.
>
>> Ceci dit, rien ne t'empêche d'installer les sources du noyau depuis
>> kernel.org et de te lancer dans une compilation adaptée à ta
>> configuration et devenir un vrai guru :-D
>
> Si j'avais un PC de rabe, oui.
> Mais là j'ai quand même des données (même sauvegardées...) et je ne veux
> pas les perdre en ce moment.
>
>> C'est bon pour l'expérience mais le risque est important.
>
> Je n'en doute pas. ;-)
>
>> Bien lire la doc ;-)
>
> Oui, il y a beaucoup à lire en effet.
>
Bonjour.

Il n'y a pas de quoi paniquer.

Je viens de regarder sur ma machine, il y a eu 9 versions du noyau 2.6.22,
de la 2.6.22.3-31 à la 2.6.22.17-0.1.

OpenSuse Updater prévient que des mises à jour sont disponibles, je jette un
oeil distrait sur la liste et en général j'accepte tout.

La seule contrainte, quand il y a une mise à jour du noyau il faut
redémarrer la machine après son installation.

Ce qui pose parfois problème c'est de passer d'une version de distri ou
d'application à une autre.
Par exemple GIMP 2.2 marche très bien, mais avec GIMP 2.4 l'imprimante
imprime des messages d'erreur au lieu d'images.

Ma distri : OpenSuse 10.3, je suis Suse depuis la 7.2 que j'avais acheté car
elle était fournie avec 2 manuels sur du vrai papier.
--
Yvon.
Pour les voileux :
http://pagesperso-orange.fr/yvon.nedonchelle/

G-raison a écrit :
>
>>Par exemple à cause de l'énorme faille de sécurité de vmsplice corrigée
>>dans 2.6.22.18 (CVE-2008-0600).
>
> En même temps, c'est un chercheur en sécurité du nom de Wojciech Purczynski
> qui a trouvé la faille. (si j'ai bien lu...)

Et alors ?

> Ca se trouve personne d'autre ne l'aurait employée pour nuire.
>
> Parce que faut quand même la trouver cette fichue faille.

L'ennui c'est que maintenant elle est connue, et très facile à exploiter
localement pour passer root avec un noyau vulnérable.

> J'ai lu qu'il fallait un noyau supérieur à 2.6.24.1 et là Mandriva me
> propose le "kernel-desktop-2.6.22.18-1mdv".
> Je me demande si c'est bon comme noyau?

Oui car en ce qui concerne les sources officielles de kernel.org, la
correction a aussi été appliquée aux versions 2.6.22.18 pour la série
2.6.22 et 2.6.23.16 pour la série 2.6.23. Pas de correction pour les
séries 2.6.17 à 2.6.21 en revanche.

<http://www.eu.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.18>
<http://www.eu.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.16>

La phrase "Le bug concerne tous les noyaux entre 2.6.17 et 2.6.24.1
(inclus)" est incomplète car elle ne concerne que les noyaux existants à
la date de publication de l'alerte. En effet kernel.org maintient
quelques séries 2.6.x antérieures à la dernière série stable et
retroporte les corrections importantes sur celles-ci.

Il y aussi d'éventuels rétroportages effectués sur des versions de noyau
plus anciennes intégrées aux distributions, pour lesquelles il faut se
référer aux annonces de sécurité.

On Sun, 30 Mar 2008 18:44:42 +0200, Pascal Hambourg :

>L'ennui c'est que maintenant elle est connue, et très facile à exploiter
>localement pour passer root avec un noyau vulnérable.

Justement, n'y a-t-il pas un test simple, que tout un chacun peut
lancer sur sa machine pour vérifier si le noyau contient, ou pas, la
faille ?

Fabien LE LEZ a écrit :
[faille vmsplice]
> Justement, n'y a-t-il pas un test simple, que tout un chacun peut
> lancer sur sa machine pour vérifier si le noyau contient, ou pas, la
> faille ?

Il existe dans la nature un programme de test qui donne accès à un shell
root si le noyau est vulnérable, trouvable par une recherche avec les
mots-clés "Linux vmsplice Local Root Exploit".
Exemple : <http://www.milw0rm.com/exploits/5092>

Une version modifiée permet même de fermer la faille en désactivant
l'appel système en cause :
<http://www.ping.uio.no/~mortehu/disable-vmsplice-if-exploitable.c>

Pascal Hambourg wrote in message <fsojks$22td$1@biggoron.nerim.net>:
> Une version modifiée permet même de fermer la faille en désactivant
> l'appel système en cause :

Attention, le système devient instable après ça, avec des plantages et des
corruptions de filesystem.

Nicolas George a écrit :
> Pascal Hambourg wrote in message <fsojks$22td$1@biggoron.nerim.net>:
>
>>Une version modifiée permet même de fermer la faille en désactivant
>>l'appel système en cause :
>
> Attention, le système devient instable après ça, avec des plantages et des
> corruptions de filesystem.

Oups, effectivement j'aurais dû lire la suite de
<http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=464953> avant de
répondre. D'ailleurs il semble que ça ne concerne pas seulement la
version modifiée mais aussi la version originelle qui ne fait que tester.

On Sun, 30 Mar 2008 20:20:54 +0200, Pascal Hambourg :

>D'ailleurs il semble que ça ne concerne pas seulement la
>version modifiée mais aussi la version originelle qui ne fait que tester.

Donc, pour résumer, on ne peut pas vérifier directement la présence de
la faille sur une machine en production ?

Fabien LE LEZ wrote in message
<m2nvu394o6pgtqqrcmngea41f9l26353rl@4ax.com>:
> Donc, pour résumer, on ne peut pas vérifier directement la présence de
> la faille sur une machine en production ?

Tu peux toujours regarder les sources du noyau qu'elle utilise. C'est assez
facile à voir, le patch est assez simple:

http://git.kernel.org/?p=linux/kerne...4b3aadb907c861

index 14e2262..9b559ee 100644 (file)
--- a/fs/splice.c
+++ b/fs/splice.c
@@ -1234,7 +1234,7 @@ static int get_iovec_page_array(const struct iovec __user *iov,
if (unlikely(!len))
break;
error = -EFAULT;
- if (unlikely(!base))
+ if (!access_ok(VERIFY_READ, base, len))
break;

/*

doug713705 wrote:

> Je suppose que cela devrait être écrit quelque part sur le site de
> mandriva.

Exact!
Il y a la correction.
Va falloir que j'y passe, on verra bien.
Ce week-end tiens, que j'va faire ça.

Au fait, ce serait quoi les symptômes en cas d'utilisation de cette faille?
On verrait quelque chose?

--
@+
gr

Pascal Hambourg wrote:

> L'ennui c'est que maintenant elle est connue, et très facile à exploiter
> localement pour passer root avec un noyau vulnérable.

Ah localement!
Si j'ai bien compris, il faut que quelqu'un accède à mon PC ici chez moi.
Impossible.

--
@+
gr

G-raison a écrit :
> Pascal Hambourg wrote:
>
>>L'ennui c'est que maintenant elle est connue, et très facile à exploiter
>>localement pour passer root avec un noyau vulnérable.
>
> Ah localement!
> Si j'ai bien compris, il faut que quelqu'un accède à mon PC ici chez moi.

Non, pas forcément. Une faille locale peut être exploitée à distance,
indirectement.

Pascal Hambourg wrote:

> Non, pas forcément. Une faille locale peut être exploitée à distance,
> indirectement.

Ah ben alors, on est fichu.
Faut donc combler les failles.
Ca représente du boulot tout ça.

--
@+
gr