Gestionnaire de projets de l'April: Demandeshttps://agir.april.org/https://agir.april.org/favicon.ico?15861920342012-11-03T16:15:40ZGestionnaire de projets de l'April
Redmine Admins - Anomalie #992 (Fermé): etckeeper cassé sur pavot.april.orghttps://agir.april.org/issues/9922012-11-03T16:15:40ZLoïc Dachary
<p>root@pavot:/etc/init.d# git status<br />fatal: unable to create '.git/index.lock': File exists</p> Admins - Demande #985 (Fermé): valider la charte admin par le CAhttps://agir.april.org/issues/9852012-11-03T12:06:43ZLoïc Dachary
<p>Proposer au CA la <a href="http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:equipe:charte" class="external">modification</a> de la <a href="http://wiki.april.org/w/CharteGroupeAdministrationSysteme" class="external">Charte Groupe Administration Systeme</a></p>
<p>La charte doit rester dans les généralité et définir un état d'esprit qui couvre les domaines essentiels, les valeurs auquel on adhère en faisant partie de l'équipe. Par exemple l'attitude a adopter face a un incident, la qualité du travail livré (definition of done) etc. Chaque principe peut etre associé à une HOWTO plus précise qui détaille le mode opératoire et qui peut changer plus fréquement.</p>
<p>Soumettre la version consolidée au CA avant finalisation pour commentaires éventuels</p> Admins - Demande #984 (Fermé): monitor openstack controllerhttps://agir.april.org/issues/9842012-11-03T11:28:42ZLoïc Dachary
<p>ajouter un host zabbix pour surveiller le controller openstack qui est chargé d'établir la connection VPN<br />pour plus d'information sur le controller et l'installation openstack voir <a class="external" href="http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:start">http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:start</a></p> Admins - Demande #973 (Fermé): gestion centralisée des configurationshttps://agir.april.org/issues/9732012-10-31T20:40:34ZLoïc DacharyAdmins - Demande #963 (Fermé): backup la machine de controlle openstack ( controller.vm.april-int )https://agir.april.org/issues/9632012-10-31T11:32:05ZLoïc Dachary
<p>voir <a class="external" href="http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:start">http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:start</a> pour une description de la machine de controlle openstack</p> Admins - Anomalie #952 (Fermé): Erreur 502 sur planet aprilhttps://agir.april.org/issues/9522012-09-19T12:30:01ZAnonyme
<p>Le planet april est en erreur 502.</p> Admins - Demande #951 (Rejeté): Vérifier l'état de mise à jour de sympahttps://agir.april.org/issues/9512012-08-23T22:03:08ZVincent-Xavier JUMEL
<p>Suite à <a class="issue tracker-1 status-6 priority-7 priority-highest closed child" title="Anomalie: injections SQL sympa (Rejeté)" href="https://agir.april.org/issues/941">#941</a>, il faudrait vérifier l'état de notre installation de sympa<br />(qui utilise des backports de Debian) et en particulier si les derniers<br />patches de sécurité ont été appliqués.</p>
<p>Cependant, avant de le mettre à jour, j'avais modifier à la main un des<br />fichiers pour rendre les urls cliquables dans l'interface web. Il faut<br />donc vérifier que la mise à jour ne vient pas casser ce comportement et<br />le cas échéant le rétablir. Le bug avait été soumis aux développeur,<br />mais je n'avais pas eu de réponse.</p> Admins - Anomalie #941 (Rejeté): injections SQL sympahttps://agir.april.org/issues/9412012-08-06T16:20:20ZQuentin Gibeauxapril.quentin@gibeaux.eu
<p>évaluer si l'injection SQL de WWS est valide sur les dernières versions et soumission bugreport de sécurité le cas échéant</p> Admins - Anomalie #929 (Rejeté): Bugs sur sympahttps://agir.april.org/issues/9292012-07-26T19:28:53ZVincent-Xavier JUMEL
<p>Vu dans les logs de sympa :</p>
<blockquote>
<p>Jul 26 21:26:53 mail sympa<sup><a href="#fn8601">8601</a></sup>: err Scenario::new() Unable to find<br />scenario file 'spam_status.yes', please report to listmaster</p>
</blockquote> Admins - Demande #896 (Fermé): évaluation et choix d'un outil d'administration centralisée / gest...https://agir.april.org/issues/8962012-06-22T16:12:14ZQuentin Gibeauxapril.quentin@gibeaux.eu
<p>évaluation d'une solution d'administation centralisée des machines du local de l'april : celle-ci permettera de gérer plus proprement les configurations de chaque machines, en gardant des traces et permettre de faire des mises à jour plus facilement.</p>
<p>Outils en discussion : Puppet, Chef <del>et cfengine</del></p> Admins - Anomalie #867 (Rejeté): Fwd: [sympa-announce] 2012-001 Security breaches in archives ma...https://agir.april.org/issues/8672012-05-18T08:26:44ZVincent-Xavier JUMEL
<p>-------- Message original --------<br />Objet: [sympa-announce] 2012-001 Security breaches in archives <br />management<br />Date: 15.05.2012 16:37<br />De: David Verdin <<a class="email" href="mailto:david.verdin@renater.fr">david.verdin@renater.fr</a>><br />À: <a class="email" href="mailto:sympa-announce@listes.renater.fr">sympa-announce@listes.renater.fr</a><br />Répondre à: <a class="email" href="mailto:sympa-authors@cru.fr">sympa-authors@cru.fr</a></p>
<pre><code>_<em><i></em></i>__<em>_</em>__________________________________________________<br /> _<em><i></em></i>__<em>_</em>__ English version _<em><i></em></i>__<em>_</em>_____________________</code></pre>
<p>2012-001 SECURITY BREACHES IN ARCHIVES MANAGEMENT</p>
<pre><code>1. THREAT</code></pre>
<pre><code>Possibility to bypass the authorization mechanisms in the archive<br />management page.</code></pre>
<pre><code>2. SYSTEMS AFFECTED</code></pre>
<pre><code>All Sympa branches are affected.</code></pre>
<ul>
<li>In branch 6.0, all versions prior to 6.0.7</li>
<li>In branch 6.1, all versions prior to 6.1.11</li>
</ul>
<pre><code>3. SUMMARY</code></pre>
<pre><code>Multiple vulnerabilities have been discovered in Sympa archive<br />management that allow to skip the scenario-based authorization<br />mechanisms.</code></pre>
<pre><code>This breach allows to:</code></pre>
<ul>
<li>display the archives management page ('arc_manage');</li>
<li>download the list's archives;</li>
<li>delete the list's archives.</li>
</ul>
<pre><code>4. SOLUTION</code></pre>
<ul>
<li>branch 6.1 : upgrade to version 6.1.11<br />(<a class="external" href="http://www.sympa.org/distribution/sympa-6.1.11.tar.gz">http://www.sympa.org/distribution/sympa-6.1.11.tar.gz</a> [1])</li>
</ul>
<ul>
<li>branch 6.0 : upgrade to version 6.0.7<br />(<a class="external" href="http://www.sympa.org/distribution/sympa-6.0.7.tar.gz">http://www.sympa.org/distribution/sympa-6.0.7.tar.gz</a> [2] or<br /><a class="external" href="http://sympa-ja.org/download/rhel/5/6.0/">http://sympa-ja.org/download/rhel/5/6.0/</a> [3] for RedHat users)</li>
</ul>
<pre><code>Users who can't upgrade to the latest versions have the following<br />workaround solution: preventing, through web server configuration, to<br />access the archive management,</code></pre>
<pre><code>Older versions are no longer maintained. Users of this version should<br />upgrade to 6.1.11 or 6.0.7 to prevent potential attacks.</code></pre>
<pre><code>5 - LINKS</code></pre>
<pre><code>Sympa 6.0.7 and 6.1.11 released</code></pre>
<p><a class="external" href="https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html">https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html</a><br />[4]</p>
<pre><code>Sympa 6.1.11 released<br /> <a class="external" href="https://www.sympa.org/#sympa_6111_released">https://www.sympa.org/#sympa_6111_released</a> [5]</code></pre>
<pre><code>Avis de sécurité Sympa 2012-001</code></pre>
<p><a class="external" href="https://www.sympa.org/security_advisories#security_breaches_in_archives_management">https://www.sympa.org/security_advisories#security_breaches_in_archives_management</a><br />[6]</p>
<pre><code>_<em><i></em></i>__<em>_</em>__________________________________________________<br /> _<em><i></em></i>__<em>_</em>__ French version _<em><i></em></i>__<em>_</em>_____________________</code></pre>
<p>2012-001 FAILLES DE SCURIT DANS LA GESTION DES ARCHIVES DE LISTES</p>
<p>1. RISQUE</p>
<pre><code>Contournement des droits de gestion des archives</code></pre>
<p>2. SYSTMES AFFECTS</p>
<pre><code>Toutes les branches de Sympa sont concernées.</code></pre>
<ul>
<li>Pour la branche 6.0, versions antérieures à 6.0.7</li>
<li>Pour la branche 6.1, versions antérieures à 6.1.11</li>
</ul>
<p>3. RSUM</p>
<pre><code>Des vulnérabilités multiples ont été découvertes dans Sympa,<br />permettant de contourner les scénarios d'autorisation de Sympa.</code></pre>
<pre><code>La faille permet :</code></pre>
<ul>
<li>d'afficher la page de gestion des archives pour toutes les listes</li>
<li>de télécharger tout ou partie des archives de chaque liste</li>
<li>de supprimer tout ou partie des archives de chaque liste</li>
</ul>
<p>4. SOLUTION</p>
<ul>
<li>branche 6.1 : mettre à jour vers la version 6.1.11<br />(<a class="external" href="http://www.sympa.org/distribution/sympa-6.1.11.tar.gz">http://www.sympa.org/distribution/sympa-6.1.11.tar.gz</a> [7])
* branche 6.0 : mettre à jour vers la version 6.0.7<br />(<a class="external" href="http://www.sympa.org/distribution/sympa-6.0.7.tar.gz">http://www.sympa.org/distribution/sympa-6.0.7.tar.gz</a> [8] ou<br /><a class="external" href="http://sympa-ja.org/download/rhel/5/6.0/">http://sympa-ja.org/download/rhel/5/6.0/</a> [9] pour RedHat)</li>
</ul>
<pre><code>En l'absence de possibilité de mise à jour, une solution de<br />contournement sera d'interdire l'accès aux pages de gestion des<br />archives par le biais de la configuration web ou du réseau.</code></pre>
<pre><code>Les versions antérieures ne sont plus maintenues. Les utilisateurs de<br />ces versions sont invités à passer aux versions 6.1.11 ou 6.0.7 pour<br />se protéger d'attaques éventuelles.</code></pre>
<p>5 - LIENS</p>
<pre><code>Sympa 6.0.7 and 6.1.11 released</code></pre>
<p><a class="external" href="https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html">https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html</a><br />[10]</p>
<pre><code>Sympa 6.1.11 released<br /> <a class="external" href="https://www.sympa.org/#sympa_6111_released">https://www.sympa.org/#sympa_6111_released</a> [11]</code></pre>
<pre><code>Sympa security advisory 2012-001</code></pre>
<p><a class="external" href="https://www.sympa.org/security_advisories#security_breaches_in_archives_management">https://www.sympa.org/security_advisories#security_breaches_in_archives_management</a><br />[12]</p>
<p>Links:<br />------<br />[1] <a class="external" href="http://www.sympa.org/distribution/sympa-6.1.11.tar.gz">http://www.sympa.org/distribution/sympa-6.1.11.tar.gz</a><br />[2] <a class="external" href="http://www.sympa.org/distribution/sympa-6.0.7.tar.gz">http://www.sympa.org/distribution/sympa-6.0.7.tar.gz</a><br />[3] <a class="external" href="http://sympa-ja.org/download/rhel/5/6.0/">http://sympa-ja.org/download/rhel/5/6.0/</a><br />[4] <br /><a class="external" href="https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html">https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html</a><br />[5] <a class="external" href="https://www.sympa.org/#sympa_6111_released">https://www.sympa.org/#sympa_6111_released</a><br />[6] <br /><a class="external" href="https://www.sympa.org/security_advisories#security_breaches_in_archives_management">https://www.sympa.org/security_advisories#security_breaches_in_archives_management</a><br />[7] <a class="external" href="http://www.sympa.org/distribution/sympa-6.1.11.tar.gz">http://www.sympa.org/distribution/sympa-6.1.11.tar.gz</a><br />[8] <a class="external" href="http://www.sympa.org/distribution/sympa-6.0.7.tar.gz">http://www.sympa.org/distribution/sympa-6.0.7.tar.gz</a><br />[9] <a class="external" href="http://sympa-ja.org/download/rhel/5/6.0/">http://sympa-ja.org/download/rhel/5/6.0/</a><br />[10] <br /><a class="external" href="https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html">https://listes.renater.fr/sympa/arc/sympa-announce/2012-05/msg00001.html</a><br />[11] <a class="external" href="https://www.sympa.org/#sympa_6111_released">https://www.sympa.org/#sympa_6111_released</a><br />[12] <br /><a class="external" href="https://www.sympa.org/security_advisories#security_breaches_in_archives_management">https://www.sympa.org/security_advisories#security_breaches_in_archives_management</a></p> Admins - Anomalie #863 (Rejeté): Bugs mineurs sur sympahttps://agir.april.org/issues/8632012-04-27T10:52:35ZVincent-Xavier JUMEL
<p>Quelques bugs mineurs dans sympa :</p>
<p>Apr 27 12:41:45 mail task_manager<sup><a href="#fn12356">12356</a></sup>: err List::_load_admin_file() Unknown parameter "reception" in /var/lib/sympa/expl/april.org/all-april/config, ignore it<br />Apr 27 12:41:46 mail task_manager<sup><a href="#fn12356">12356</a></sup>: err List::_load_admin_file() Expecting a paragraph for "creation" parameter in /var/lib/sympa/expl/april.org/april/config, ignore it<br />Apr 27 12:41:47 mail task_manager<sup><a href="#fn12356">12356</a></sup>: info List::_load_admin_file() Missing key "email" in param "update" in /var/lib/sympa/expl/april.org/liste-infos/config<br />Apr 27 12:41:48 mail task_manager<sup><a href="#fn12356">12356</a></sup>: err List::_load_admin_file() Expecting a paragraph for "creation" parameter in /var/lib/sympa/expl/april.org/secretaire/config, ignore it<br />Apr 27 12:41:48 mail task_manager<sup><a href="#fn12356">12356</a></sup>: err List::_load_admin_file() Expecting a paragraph for "creation" parameter in /var/lib/sympa/expl/april.org/tresorier/config, ignore it<br />Apr 27 12:41:52 mail sympa<sup><a href="#fn12327">12327</a></sup>: err Scenario::new() Unable to find scenario file 'spam_status.yes', please report to listmaster</p> Admins - Anomalie #846 (Fermé): Backscatter sur les listes de diffusion sympa, via demandes de co...https://agir.april.org/issues/8462012-03-22T17:33:01ZVincent-Xavier JUMEL
<a name="Description-du-problème"></a>
<h1 >Description du problème<a href="#Description-du-problème" class="wiki-anchor">¶</a></h1>
<pre>
Subject:[LibreAsso] Confirm 6ffd53554f541d8e22844d4e54c07323
From: sympa@april.org
Date:11/13/2012 01:15 PM
To:libreassociation@april.org
Pour diffuser le message ci-joint dans la liste libreassociation, suivez le
lien ci-dessous :
mailto:sympa@april.org?subject=CONFIRM%206ffd53554f541d8e22844d4e54c07323
Ou envoyez un message à sympa@april.org avec comme objet :
CONFIRM 6ffd53554f541d8e22844d4e54c07323
Position opening in your area.eml
Subject:Position opening in your area
From: <libreassociation@april.org>
Date:11/13/2012 01:15 PM
To: <libreassociation@april.org>
Job Category: Customer Support/Client Care
Reference Code: HJR/EU/426-383
Job Status: Full Time, Temporary/Contract/Project
...
</pre>
<ul>
<li>Sympa reçoit le mail originel a destination de la liste <a class="email" href="mailto:libreassociation@april.org">libreassociation@april.org</a></li>
<li>L'adresse de provenance est la liste elle meme ( From: <<a class="email" href="mailto:libreassociation@april.org">libreassociation@april.org</a>> )</li>
<li>Sympa répond avec une demande de confirmation contenant le mail originel, au From: </li>
<li>La demande de confirmation passe sur la liste</li>
</ul>
<p><strong>pourquoi le mail passe alors que l'orginal suscite une demande de confirmation</strong> ?</p>
<a name="Contexte"></a>
<h1 >Contexte<a href="#Contexte" class="wiki-anchor">¶</a></h1>
<p>Le mail est traité par<br /><a class="external" href="http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:pavot:mail">http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:pavot:mail</a></p>
<p>L'anti-spam est traité par<br /><a class="external" href="http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:pavot:spamvir">http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:pavot:spamvir</a></p>
<a name="Propositions-de-solutions"></a>
<h1 >Propositions de solutions<a href="#Propositions-de-solutions" class="wiki-anchor">¶</a></h1>
<a name="reject_mail_from_automates_feature"></a>
<h2 ><strong>reject_mail_from_automates_feature</strong><a href="#reject_mail_from_automates_feature" class="wiki-anchor">¶</a></h2>
<p>Actuellement c'est:<br /><pre>
reject_mail_from_automates_feature off
</pre></p>
<p>et ça devrait être <strong>on</strong></p>
<p>Cf. <a class="external" href="http://www.sympa.org/manual/conf-parameters/part2#reject_mail_from_automates_feature">http://www.sympa.org/manual/conf-parameters/part2#reject_mail_from_automates_feature</a></p>
<a name="SPF"></a>
<h2 ><a href="https://duckduckgo.com/Sender_Policy_Framework" class="external">SPF</a><a href="#SPF" class="wiki-anchor">¶</a></h2>
<p>aeris dit aussi que c'est : <em>"c'est que c'est généralement « très » dangereux un truc mal config, et zou, t'as juste plus aucun de tes mails qui passes :þ"</em></p>
<p>Suggestion d'amélioration pour traiter le problème en configurant / activant <a href="https://duckduckgo.com/Sender_Policy_Framework" class="external">SPF</a></p>
<pre>
dig txt april.org +short
"v=spf1 A MX ~all"
</pre>
<p>il faudrait que ça ressemble plus à<br /><pre>
dig txt hotmail.fr +short
"v=spf1 include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com ~all"
</pre></p>
<p>Il faut aussi que <a href="http://127.0.0.1:8080/dokuwiki/doku.php?id=sysadm:machines_virtuelles:pavot:spamvir" class="external">l'anti-spam</a> soit configuré pour vérifier <a href="https://duckduckgo.com/Sender_Policy_Framework" class="external">SPF</a></p>
<a name="Compétences"></a>
<h1 >Compétences<a href="#Compétences" class="wiki-anchor">¶</a></h1>
<p>Les personnes connaissant le mieux sympa sont, selon aeris: benj et madix.</p>
<a name="Historique"></a>
<h1 >Historique<a href="#Historique" class="wiki-anchor">¶</a></h1>
<p>----- Forwarded message from Luc Fievet -----</p>
<blockquote>
<p>Date: Wed, 21 Mar 2012 14:28:35 +0100<br />From: Luc Fievet <br />To: <br />Subject: spam spam spam<br />User-Agent: RoundCube Webmail/0.7.1</p>
<p>Salut VX,</p>
<p>Pour info, il y a un spameur qui utilise mon adresse<br />. Ca fait deux messages de validation que je reçois de<br />sympa pour poster sur la liste tech</p>
</blockquote>
<p>----- End forwarded message -----</p> Admins - Anomalie #838 (Rejeté): Déconnexions fréquentes sur sympahttps://agir.april.org/issues/8382012-02-27T21:22:35Ztheo _
<p>Lors de l'utilisation de sympa, les déconnexions sont fréquentes.</p>
<p>Parfois une fois authentifié, on peut naviguer quelques temps. Parfois, il faut s'authentifier à chaque chargement de pages.</p>
Pistes à explorer :
<ul>
<li>Problèmes de cookies (e.g.: mauvaise date)</li>
<li>Problème de tunnel lsd <-> mail.</li>
</ul> Tracker de tâches - Anomalie #106 (Fermé): Migration redminehttps://agir.april.org/issues/1062010-04-08T01:28:55ZVincent-Xavier JUMEL