Discussion :

[Ev3r10st]

Le plus impressionnant c'est qu'ils aient pu écrire dans des fichiers.

Les fonctions mysql utilisées (via injection SQL) sont "INTO OUTFILE / DUMPFILE".
Seulement les droits pour cette fonction sont définis à [false] par défaut pour un utilisateur de mysql.
Sauf pour l'utilisateur root.

Le(s) pirate(s) (soyons honnêtes, pas besoin d'être cinquante...) avai(en)t les droits en lecture / écriture de l'utilisateur "mysql" du serveur.

(Dont la possibilité d'écrire des fichiers ".php" qui seraient interprétés par apache si dans l' [include_path])

Pour que mysql ait droit d'écriture de fichier dans un dossier qui ne lui appartient pas, il faut que tout le monde ait les droits d'écriture dans ce dossier (chmod 777)

Manquait plus que l'upload et l'exécution d'un rootkit, et on avait un joli serveur zombie à la FSF.

Bref, du gros berk.

[ProgVal]

Et surtout, j'imagine que tout le monde se souvient de ce que contenant l'historique 2/3 ans plus tôt !

Non, mais comme on fait chaque modification par rapport à la précédente, modifier deux ou trois ans plus tôt, ça implique de toute recalculer. Et je ne sais pas exactement comment ça marche avec Mercurial, mais il parait que c'est très proche de Git, et avec Git, chaque modification a pour ID unique (repris à chaque modification, création de branche, ou fusion de branches) le hash de la modif ; il faudrait donc tout recalculer, ce qui demande une sacrée puissance de calcul...

[Hellwing]

Non, mais comme on fait chaque modification par rapport à la précédente, modifier deux ou trois ans plus tôt, ça implique de toute recalculer. Et je ne sais pas exactement comment ça marche avec Mercurial, mais il parait que c'est très proche de Git, et avec Git, chaque modification a pour ID unique (repris à chaque modification, création de branche, ou fusion de branches) le hash de la modif ; il faudrait donc tout recalculer, ce qui demande une sacrée puissance de calcul...

Bah possible ou pas, ce détail est connu des pros. Les causal développeurs, et même les gens qui ne touchent pas forcément au domaine du Logiciel Libre (moi, par exemple) mais s'intéressent quand même à l'informatique en général, quand ils lisent cette news, ils ont quand même peur avec tous les "et si" qu'ils se posent.

[wwiki]

Je suis dans l'attente de connaître l'origine de ces attaques.

[SurferIX]

Je sais, mais quand même, pas eux...

Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !

Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !

Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casseroles

Meuheueheuhe c'est pareil chez tout le monde, Free ou pas... y'a que vsftpd que je connaisse qui n'a eu jusqu'à aujourd'hui aucune faille connue. Chaque ligne est analysée dans tous les sens possibles, mais à part eux, si vous avez d'autres suggestions...

De toutes les façons le mode de vie pourri d'aujourd'hui (= consommer, consommer, consommer) fait qu'il faut fournir à tout prix même s'il n'y a pas la qualité derrière, alors le FSF fait comme tout le monde... et a des failles... comme tout le monde...