36300

Flippant. (Re)regardez l'épisode Metalhead de Black Mirror...
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

36301

La comparaison est sans appel, c'est le truc auquel tout le monde pensait quand Boston Dynamics a sorti son chien
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

36302

Zerosquare (./36295) :
Canon sued for disabling scanner when printers run out of inkBleepingComputerCanon USA is being sued for not allowing owners of certain printers to use the scanner or faxing functions if they run out of ink.
Et c'est ainsi que j'ai pu récupérer un combo canon aux poubelles de mon immeuble. Le truc était nickel, il manquait juste des cartouches d'encre.
Reconnu sous Linux mais il refusait de numériser quoi que ce soit, après lecture de la notice ça indiquait soit des cartouches vides ou des têtes foutues.
J'ai commandé des cartouches reconditionnées et le scanner marche nickel et nettement moins bruyant que le précédent que j'avais.

Quand je vois le coût de ce genre de périphérique, c'est du délire que ça se retrouve aux poubelles à cause d'un tel vice de conception.

36303

Ah bin là, c'est pas un vice. C'est une fonctionnalité (mercantile).
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

36304

C'est bien pour ça que le type a raison de poursuivre Canon, car ce n'est pas un simple bug, c'est volontaire.

36305

Entièrement d'accord, évidemment happy
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

36306

Popular 'coa' NPM library hijacked to steal user passwordsBleepingComputerPopular npm library 'coa' was hijacked today with malicious code injected into it, ephemerally impacting React pipelines around the world. The 'coa' library, short for Command-Option-Argument, receives about 9 million weekly downloads on npm, and is used by almost 5 million open source repositories on GitHub.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

36307

Un attaque Windows centric sur node, c’est surprenant. Probablement une tentative contre WSL?
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

36308

avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

36309

Il est déjà en orbite le Bruno.
Concerned about SpaceX, France to accelerate reusable rocket plansArs Technica"It's a real break from French strategy, and clearly inspired by the USA."

36310

Un bug dans Microsoft Teams sur Android peut perturber les appels vers les services d'urgence :

https://old.reddit.com/r/GooglePixel/comments/r4xz1f/pixel_prevented_me_from_calling_911/ :
I had to call an ambulance for the grandmother on Friday as she appeared to be having a stroke. I got off a phone call with my mom, and proceeded to dial 911 just by typing and calling on my pixel. My phone got stuck immediately after one ring and I was unable to do anything other than click through apps with an emergency phone call running in the background. This is all while the phone informed me that it had sent my location to emergency services. Sadly I couldn't tell the person on the other end what apartment I was in, or what the actual emergency was as I was unable to speak to a human.

As my phone had clearly just been working from a phone call perspective, my best guess is the extra step of trying to send my location caused it to freeze. It then prevented me from hanging up and trying to call any phone number again. Luckily my grandmother is of the generation that still has a land line, otherwise I would have had to restart my phone, wait for a reboot, and then attempt to call emergency services so they could get people over asap.

https://old.reddit.com/r/GooglePixel/comments/r4xz1f/pixel_prevented_me_from_calling_911/hnrvsr1/
Based on our investigation we have been able to reproduce the issue under a limited set of circumstances. We believe the issue is only present on a small number of devices with the Microsoft Teams app installed when the user is not logged in, and we are currently only aware of one user report related to the occurrence of this bug. We determined that the issue was being caused by unintended interaction between the Microsoft Teams app and the underlying Android operating system. Because this issue impacts emergency calling, both Google and Microsoft are heavily prioritizing the issue, and we expect a Microsoft Teams app update to be rolled out soon – as always we suggest users keep an eye out for app updates to ensure they are running the latest version. We will also be providing an Android platform update to the Android ecosystem on January 4.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

36311

Magnifique
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

36312

Pas aussi grave mais dans le même genre, j'ai un de mes collègues qui a déjà eu 2x Teams qui sonne sur son androphone sans que personne ne l'ai appelé (puisqu'il l'avait aussi sur l'ordi devant lui) ni possibilité de répondre ou raccrocher.

Dans le cas présent (des urgences), c'est exclusivement côté microsoft le souci, ou y a une part côté android ?? (C'est fou qu'une appli puisse bypasser des fonctions "vitales" qui devraient être inatteignables par les applis hors système).
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

36313

Apple AirTag Linked to Increasing Number of Car Thefts, Canadian Police ReportMacRumorsApple's AirTags are being used in an increasing number of targeted car thefts in Canada, according to local police. Outlined in a news release...

Since September 2021, police officers in York Region alone have investigated five incidents where suspects used ‌AirTags‌ in thefts of high-end vehicles. Thieves target any particularly valuable vehicles they find in public places and parking lots, placing an AirTag in an out-of-sight area, such as in the tow hitch or fuel cap, in the hope that it will not be discovered by the car's owner.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

36314

Je doute que ça soit vraiment nouveau comme pratique…
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

36315

Le principe, probablement pas. Mais les AirTags ne coûtent pas cher, et ne nécessitent pas de carte SIM dans le tag (qui permet de remonter plus facilement la piste).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

36316

Mouais… alors pour le coup, je pense qu'Apple va rapidement fournir les informations nécessaires si le Canada les demande au FBI avec une DEPI.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

36317

Mais justement : quelles infos ? Il n'y a pas besoin de fournir son identité pour se procurer un AirTag. Et j'imagine que les criminels qui utilisent ce genre de méthodes ne sont pas assez stupides pour associer le tag à leur téléphone/compte personnel...
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

36318

avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

36319

Pas mal cette remarque gni
Ce qui me chagrine, c'est qu'on utilise log4j partout au boulot, lundi je vais devoir évaluer ça.
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

36320

Quelque chose que je n'ai pas compris (je n'ai pas pris la peine de creuser non plus, mais quelqu'un qui connait log4j pourra peut-être y répondre) : les articles semblent sous-entendre qu'on peut exploiter la faille en insérant un lookup jndi ([code]Quelque chose que je n'ai pas compris (je n'ai pas pris la peine de creuser non plus, mais quelqu'un qui connait log4j pourra peut-être y répondre) : les articles semblent sous-entendre qu'on peut exploiter la faille en insérant un lookup jndi (${jndi:machin}) dans n'importe quoi qui se retrouvera loggé y compris un input utilisateur.

J'imagine que log4j fonctionne comme toutes les bibliothèques de logging du monde, donc avec des appels qui ressemblent à _logger.LogWarning("Invalid user input: {0}", userInput) dans lesquels le 1er argument est un template qui supporte un certain nombre de syntaxes spéciales pour y insérer du contenu dynamique (dont le fameux lookup JNDI qui pose problème). Mais cette interpolation ne s'active que dans le template (qui est supposé être une chaine fixe définie par le code), pas dans les autres arguments de la fonction. Du coup à moins d'avoir mal utilisé la bibliothèque et passé un input utilisateur comme 1er argument de la méthode, impossible d'exploiter la faille ? Dans le cas contraire et si tous les arguments sont interpolés, log4j serait une passoire qui ouvre grand la porte à toutes les injections de code possibles et imaginables, non ?
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

36321

Zerosquare (./36317) :
Mais justement : quelles infos ? Il n'y a pas besoin de fournir son identité pour se procurer un AirTag. Et j'imagine que les criminels qui utilisent ce genre de méthodes ne sont pas assez stupides pour associer le tag à leur téléphone/compte personnel...
Tu as besoin d'un compte Apple et d'un iPhone ou iPad pour configurer l'AirTag, donc il y a des chances que derrière, tu arrives à récupérer des IP de connexion et des localisations.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

36322

Zeph (./36320) :
J'imagine que log4j fonctionne comme toutes les bibliothèques de logging du monde, donc avec des appels qui ressemblent à _logger.LogWarning("Invalid user input: {0}", userInput) dans lesquels le 1er argument est un template qui supporte un certain nombre de syntaxes spéciales pour y insérer du contenu dynamique (dont le fameux lookup JNDI qui pose problème). Mais cette interpolation ne s'active que dans le template (qui est supposé être une chaine fixe définie par le code), pas dans les autres arguments de la fonction. Du coup à moins d'avoir mal utilisé la bibliothèque et passé un input utilisateur comme 1er argument de la méthode, impossible d'exploiter la faille ? Dans le cas contraire et si tous les arguments sont interpolés, log4j serait une passoire qui ouvre grand la porte à toutes les injections de code possibles et imaginables, non ?
Exemple de code vulnérable : log.info("Request User Agent:{}", userAgent);
Et manifestement, c'est bien ce que tu dis : c'est la chaîne après une première interpolation qui est à nouveau analysée
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

36323

Wow, soit quelque chose m'échappe soit c'est une énorme faille by-design, ça veut dire que n'importe qui peut injecter du contenu qui va être évalué par log4j ? Si c'est ça je suis étonné de deux choses : qu'on puisse trouver ça dans une lib aussi connue que log4j, et que ce soit exploité seulement maintenant eek

[edit] Ça m'intrigue quand même, la doc dit : "lookups provide a way to add values to the Log4j configuration at arbitrary places.". Je comprends ça comme : c'est uniquement dans la configuration et pas dans des données non sécurisées. Je n'ai pas de Java sous la main pour vérifier, mais ça me semble être tellement une faille de débutant que j'ai du mal à croire ça d'une lib aussi mature sorry
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

36324

Oui, mais c'est limité aux protocoles LDAP, donc c'est sécurisé tritop trioui

(mais pareil que toi, c'est surprenant que ça ne sorte que maintenant)
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

36325

Euh, même moi qui n'ai ni vos skills ni de formation spécifique en sécurité, je vois le truc énorme, c'est dur de croire à un truc pareil.
Sérieusement, faut être un codeur de quel niveau pour écrire ça ?
Et une équipe managée comment pour qu'il n'y ait pas la moindre review ?
Rien que le concept déclenche des voyants rouges, même pas besoin de lire le code hypno

36326

D'autant que le même problème est connu avec printf en C depuis des lustres, donc ce n'est pas comme si personne n'y avait pensé avant.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

36327

Mais je pense que vous voyez le monde en rose, les gars grin Même si c'est utilisé partout, bin COMME c'est utilisé partout, tout le monde pense que c'est bien fait.
Bin pas forcément trigni
C'est gros c'est gras, c'est du 0day java gni
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

36328

J'aimerais quand même vraiment que qqun qui connait Java et log4j me confirme ça parce que j'ai toujours du mal à y croire ! Sinon je vais finir par aller vérifier grin
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

36329

Je peux demander dès demain à mes 2 lead techs ^^
avatar
Attention, nouvelle signature #eeek#
https://mastodon.ti-fr.com/@redangel

36330

c'est bien ça, si un input apparait dans les logs, c'est aussi simple qu'une faille xss...

et y'a des gens qui remontaient déjà le pb en 2016
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca