Augmenter la taille d’un volume sur un NAS Lenovo/EMC ix2

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 - glibc

Augmenter la taille d’une partition xfs gérée dans un volume LVM sur un NAS Lenovo/EMC ix2

La galère du jour : comment augmenter la taille d’un volume sur un NAS Lenovo/EMC ix2 après l’ajout de nouveaux disques?

Voici le pitch : vous avez votre super NAS sur lequel vous venez d’ajouter une paire de disques. Les disques s’ajoutent correctement au Volume Group et augmente sa capacité.

Et maintenant, dans l’interface : impossible d’augmenter la taille du Volume, vous n’avez que la possibilité de créer un nouveau volume avec l’espace disponible!
Lire la suite

OpenLDAP augmenter le sizelimit des résultats de recherche

LDAP sizelimit search

OpenLDAP augmenter le sizelimit des résultats de recherche

Un post rapide qui servira d’aide mémoire à beaucoup (je pense).

La galère du jour : comment faire un ldapsearch qui retourne plus que les 5000 premiers résultats (valeur par défaut)?

C’est assez simple, et c’est valable aussi pour les recherches LDAP en PHP!
Lire la suite

Mauvaise qualité de certaines polices en RDS (TSE) 2003 aka KB3013455

Lissage des polices perdu sous windows server 2003 rds tse

Mauvaise qualité de certaines polices en RDS (Terminal Server) sous Windows Server 2003 aka KB3013455

Si depuis quelques jours, vous voyez flou sur votre Windows, ou que vous trouverez que les caractères affiché sont de mauvaise qualité, ceci est pour vous !

Vous utilisez un PC sous Windows Vista SP2, ou vous travaillez sur un serveur Windows Server 2003 SP2/Windows Server 2008 avec les services Remote Desktop (Terminal Server) activés, vous venez soit de perdre le lissage des polices de caractères ou vous subissez une « corruption » de certains polices.

Lire la suite

Comment patcher la vulnérabilité GHOST (GetHOST) CVE-2015-0235 – glibc

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 - glibc

Vulnérabilité GHOST (GetHOST) CVE-2015-0235 – glibc – détection et patch!

La galère de cette semaine!

Annoncée le 28/01/2015, une vulnérabilité a été découverte dans la bibliothèque glibc par Qualys (voir leur article https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability).

Cette vulnérabilité permet de faire une attaque de type Buffer Overflow sur la fonction __nss_hostname_digits_dots() contenue dans plusieurs versions de la bibliothèque glibc et utilisée, entre autres, par la fonction gethostbyname() – cette fonction ayant pour but de convertir un nom réseau en IP.

De ce fait, toute machine ayant cette vulnérabilité est potentiellement attaquable, quel que soit le type de service exposé à internet (serveur mail, serveur SSH, serveur Web etc.)

Détection de la vulnérabilité

Afin de vérifier si votre système est vulnérable, utilisez les commandes ci-dessous pour télécharger, compiler et exécuter un script fourni par l’université de Chicago, et qui vous indiquera si votre système est vulnérable.

Pour Debian et dérivées

apt-get install wget gcc -y  # On installe wget et gcc, si ce n'est pas déjà le cas
wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c  # On télécharge le script de détection de la vulnérabilité CVE-2015-0235, fournit par l'université de Chicago
gcc GHOST.c -o GHOST  # On compile le script
./GHOST  # On exécute le script

Si la sortie du script indique « not vulnerable », vous ne disposez pas des versions dangereuses de glibc.
Si par contre la sortie indique « vulnerable », je vous conseille de lire un peu plus loin comment mettre à jour votre système.

Pour Red-Hat CentOS et dérivées

yum install wget gcc -y  # On installe wget et gcc, si ce n'est pas déjà le cas
wget https://webshare.uchicago.edu/orgs/ITServices/itsec/Downloads/GHOST.c  # On télécharge le script de détection de la vulnérabilité CVE-2015-0235, fournit par l'université de Chicago
gcc GHOST.c -o GHOST  # On compile le script
./GHOST  # On exécute le script

Si la sortie du script indique « not vulnerable », vous ne disposez pas des versions dangereuses de glibc.
Si par contre la sortie indique « vulnerable », je vous conseille de lire un peu plus loin comment mettre à jour votre système.

Correction de la vulnérabilité (patch !)

Si votre système est vulnérable, il va falloir mettre à jour les librairies glibc :

Pour Debian et dérivées

apt-get update  # On met à jour les sources des paquets
dpkg-query -l libc*|grep -E "libc-|libc6"|grep "ii"|awk '{print $2}'|xargs apt-get install -  # Et ici, commande magique : on recherche l'ensemble des paquets glibc installés et on lance leur mise à jour!
./GHOST  # On relance le script de détection : si tout va bien, il doit dire "not vulnerable"
reboot  # On reboote pour être sûrs de relancer TOUS les services potentiellement vulnérables

Pour Red-Hat/CentOS et dérivées

yum update glibc -y  # On met à jours les paquets glibc
./GHOST  # On relance le script de détection : si tout va bien, il doit dire "not vulnerable"
reboot  # On reboote pour être sûrs de relancer TOUS les services potentiellement vulnérables

En espérant que ce billet vous fera gagner un peu de temps dans le patch de vos Linux.

Pour plus d’informations sur la vulnérabilité, et le PoC de cette dernière, rendez-vous à l’adresse suivante : http://www.openwall.com/lists/oss-security/2015/01/27/9

Page blanche en accédant à OWA/ECP sur Exchange 2010

Exchange - Page blanche accès OWA ECP

Page blanche en accédant à OWA/ECP sur Exchange 2010

Du jour au lendemain, lorsque vous vous connectez à OWA (ou ECP) sur votre Exchange 2010, vous obtenez une page blanche. Pas de message d’erreur.

Un redémarrage des services Exchange et IIS n’y fait rien.

Un redémarrage du serveur ne change rien non plus.

Ouvrez un PowerShell d’Exchange et tapez les commandes suivantes pour mettre à jour OWA/ECP :

cd 'C:\Program Files\Microsoft\Exchange Server\V14\Bin'
.\UpdateCas.ps1

Vous devriez avoir une sortie ressemblant à ceci :

[14:33:25] ***********************************************
[14:33:25] * UpdateCas.ps1: 05/01/2015 14:33:25
[14:33:27] Updating OWA/ECP on server EXCHANGE
[14:33:27] Finding ClientAccess role install path on the filesystem
[14:33:28] Updating OWA to version 14.3.174.1
[14:33:28] Copying files from 'C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\owa\Current' to 'C:\Program
Files\Microsoft\Exchange Server\V14\ClientAccess\owa\14.3.174.1'
[14:33:39] Found 1 OWA virtual directories.
[14:33:39] Updating OWA virtual directories
[14:33:39] Processing virtual directory with metabase path 'IIS://EXCHANGE.domain.loc/W3SVC/1/ROOT/owa'.
[14:33:39] Metabase entry 'IIS://EXCHANGE.domain.loc/W3SVC/1/ROOT/owa/14.3.174.1' exists. Removing it.
[14:33:39] Creating metabase entry IIS://EXCHANGE.domain.loc/W3SVC/1/ROOT/owa/14.3.174.1.
[14:33:40] Configuring metabase entry 'IIS://EXCHANGE.domain.loc/W3SVC/1/ROOT/owa/14.3.174.1'.
[14:33:40] Saving changes to 'IIS://EXCHANGE.domain.loc/W3SVC/1/ROOT/owa/14.3.174.1'
[14:33:40] Saving changes to 'IIS://EXCHANGE.domain.loc/W3SVC/1/ROOT/owa'
[14:33:40] Update OWA done.
[14:33:40] Updating ECP to version 14.3.174.1
[14:33:40] Copying files from 'C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\ecp\Current' to 'C:\Program
Files\Microsoft\Exchange Server\V14\ClientAccess\ecp\14.3.174.1'
[14:33:42] Update ECP done.

Tentez une nouvelle connexion à l’Outlook Web Access : tout doit être rentré dans l’ordre!

Test du Map Feedback de TeleAtlas (ou combien de temps faut-il pour qu’une rue apparaisse sur Google Maps?)

L’idée saugrenue de la semaine : comment faire pour qu’une rue manquante sur les cartes de Google Maps apparaissent?

Tout d’abord, demander à Google de les faire apparaitre : c’est long, et à la fin Google tracent 1 rue à main levée sur les cartes TeleAtlas qu’ils possèdent et les livreurs ne trouvent toujours pas la route.

L’idée est donc de faire mettre à jour TeleAtlas !

Le site suivant le permet : http://mapinsight.teleatlas.com/mapfeedback/

3 étapes simples pour signaler une erreur ou un manquement dans la cartographie et TeleAtlas vous fournit un lien pour suivre l’avancement.

Le test a été soumit le 06/02/2014 à 11h42.

Le 14/02/2014, le rapport soumis a été traité par TeleAtlas :

  • Nous voyons le problème
  • Nous recherchons une solution
  • Nous avons trouvé une solution à votre problème

Combien de temps maintenant pour voir apparaitre les rues sur une carte?

Le 29/07/2014 : toujours pas de route sur Google Maps.

Et sur Teleatlas : idem!

Du coup, je soumet à nouveau un rapport chez TeleAtlas (puisque leur FAQ indique qu’un seul rapport ne génèrera pas forcément une mise à jour de la cartographie).
En même temps, je signale à nouveau à Google l’absence de la rue (puisque la carte n’est plus (C) TeleAtlas mais (C) Google!)

La suite… Une fois les rapports étudiés!

Récupérer les données d’un téléphone Android verrouillé

Récupérer les données d'un téléphone Android

Récupérez les données de votre téléphone Android simplement

Merci pour tous les commentaires que vous postez sur cette page. La plupart d’entre vous aurons besoins d’appliquer à la lettre les instructions ci-dessous pour arriver au résultat attendu.
Donc, commencez par prendre le temps de lire cet article et mettre en oeuvre les instructions.

Avec un peu de patience, vous pourriez vous en sortir seul : pourquoi ne pas essayer?

La galère de la semaine (ou plus de 2 semaines)… Comment récupérer les données d’un Android (téléphone ou tablette) verrouillé par un PIN ou un Pattern ?

Faisons d’abord l’historique du problème : un Samsung Galaxy Note, géré par un Kaspersky Mobile Security 10, lui-même géré par un Kaspersky Security Center 10.

Par erreur, une commande de verrouillage a été envoyée au Galaxy Note qui s’est verrouillé et demande donc le PIN de déverrouillage.
On saisit le code de déverrouillage et le téléphone se déverrouille. OK.
Seul problème, la commande de verrouillage était toujours d’actualité : le téléphone se reverrouille donc.

Le vrai soucis, est que le téléphone n’est pas connecté en Wifi, et que le port de communication entre le téléphone et le MDM est le 13292/tcp, port bloqué par l’opérateur SFR en APN websfr : le téléphone ne peut donc pas récupérer le nouveau code de déverrouillage : on est totalement bloqué !

Maintenant, la partie Fun : la récupération de données!

Bien entendu, le Galaxy Note n’est pas rooté, l’option USB Debugging est sur Off, et le Wifi désactivé. Tout va bien!

Mais il existe une solution!

Installation d’un Custom Kernel :

  1. Télécharger ODIN v3.07 ici
  2. Télécharger un Custom Kernel sur Internet ou ici (SpeedMod K5-5 for GT-N7000)
  3. Télécharger et installer le SDK Minimal d’Android ici
  4. Eteindre le téléphone et le rallumer avec la séquence de touches : Volume Bas + Menu + Power jusqu’à ce que le menu d’installation du Custom Kernel apparaisse. A ce moment, relâcher les touches et appuyer une fois sur la touche Volume Haut.
  5. Brancher le téléphone en USB à un PC et à l’aide d’Odin, lancer le chargement du Custom Kernel (cliquer sur le bouton PDA, et spécifier le kernel téléchargé précédemment). Vérifier que l’option « Re-partition » ne soit pas activée et lancer le processus.
  6. Patienter jusqu’au redémarrage de votre téléphone puis l’arrêter.

Récupération des données:

  1. Relancer votre téléphone en mode Recovery via la séquence : Volume Haut + Menu + Power.
  2. Une fois dans le menu ClockWorkMod Recovery aller dans le menu « Mounts and Storage » à l’aide des touches Volume Haut, Volume Bas, et Power pour confirmer.
    2013-12-23_15h09_30
  3. Dans le menu « Mounts and Storage », monter les volumes « system », « data » et « sdcard ».
    2013-12-23_15h12_41
  4. A partir du PC, ouvrir une ligne de commande avec droits administrateur et aller dans le dossier d’installation du SDK d’Android (par défaut, C:\Program Files (x86)\Minimal ADB and Fastboot).
  5. A partir de la ligne de commande, taper les commandes suivantes :
adb root
adb pull /sdcard/ c:\mybackup

Patienter pendant la copie des données de la sdcard interne du téléphone vers votre disque

Et voila! Vos données récupérées!

En prime, activation du Wifi et de l’USB Debugging:

  1. Télécharger sqlite3 ici
  2. Relancer le téléphone en mode CWM Recovery et monter /system et /data
  3. Depuis la ligne de commande du PC :
adb root
adb push c:\temp\sqlite3 /tmp
adb shell
  # mv /tmp/sqlite3 /system/xbin
  # chmod 700 /system/xbin/sqlite3
  # sqlite3 /data/data/com.android.providers.settings/databases/settings.db
    > update secure set value=1 where name='wifi_on';
    > .exit
  # echo "persist.service.adb.enable=1">>/system/build.prop
  # exit
adb reboot

Recherches amenant à cette page : Récupérer données Samsung Galaxy, Récupérer données Android bloqué

Exchange: Accès refusé à EMC ou EMS: PSSessionOpenFailed

Exchange PSSessionOpenFailed

Microsoft Exchange: PSSessionOpenFailed : comment accéder à la console EMC malgré ce problème ?

Si vous avez un problème d’accès à l’Exchange Management Console (EMC) ou Exchange Management Shell (EMS) :

    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [], PSRemotingTransportExc
   eption
    + FullyQualifiedErrorId : PSSessionOpenFailed

Ne faites pas comme moi à rechercher sur Google des enregistrements de SPN et autres vérifications de droits dans ADSIEDIT.MSC.

Commencez tout d’abord par vérifier que l’UAC ne se soit pas activé (par une GPO, par exemple) : en effet, l’UAC ne se déclenchera pas lors de l’ouverture de l’EMC ou l’EMS et il s’agit des droits en cours qui seront utilisés (donc pas de privilèges administrateur).

Ensuite, un petit EXBPA (Exchange Best Practices Analyzer) pour rechercher les éventuels problèmes restant, et le tour est joué!

P2V sur un volume GPT

Comment perdre 1 journée à virtualiser une machine?

C’est très facile : prenez une machine un peu récente (avec un UEFI, au hasard), sur laquelle vous avez eu la bonne idée d’installer un Windows 2008 R2 et virtualisez-là.

VMware Converter, Xen Converter, SCVMM : vous pouvez y aller, c’est un vrai bonheur! Soit l’outil vous dit gentiment d’aller vous faire cuire un œuf car « Chez nous, on ne gère pas le GPT », soit on vous dit que le système de destination doit gérer l’EFI pour que cela fonctionne.

Et bien voilà, maintenant que le problème est posé, il va falloir trouver une solution pour virtualiser cette machine vers un VMware vSphere 5, avec des hôtes ESXi 5 – donc, compatible EFI.

Concrètement, après plusieurs dizaines de recherches sur « Google n’est plus mon pote », il s’avère:

  1. Microsoft eux-mêmes, indiquent qu’il faut d’abord convertir le volume GPT en volume MBR pour pouvoir virtualiser la machine (http://support.microsoft.com/kb/2705349)
  2. Bon, et comme la vie est mal faite, Microsoft indique que la conversion GPT vers MBR passe par… une suppression des partitions!
  3. Contournement proposé par l’éditeur : créer une image de la partition avec l’outil Disk2VHD de SysInternals (http://live.sysinternals.com/disk2vhd.exe), monter ce disque virtuel sur une VM HyperV, et lancer l’outil de réparation qui va bien pour régler le fameux problème d’UNMOUNTABLE BOOT VOLUME  qui s’en suivra.

Bon, et bien, avec tout ça, on devrait pouvoir s’en sortir!

Malheureusement, nous ne travaillons pas avec de l’HyperV, mais avec de l’ESXi. Et du coup, une étape complémentaire vient s’ajouter : convertir le disque VHD en VMDK.

Mais heureusement, il y a des outils pour ça : WinImage par exemple.

Malgré tout cela, cette méthode ne permet pas d’obtenir un résultat satisfaisant. De plus, même si cette méthode fonctionnait, elle aurait un gros problème : son temps d’exécution.

Mise à jour Jeudi 31 Mai 2012:

Une idée pour virtualiser « à chaud » et sans trop d’étapes:

  1. Utiliser Disk2VHD de SysInternals pour créer une image du volume GPT à virtualiser
  2. Créer un fichier de définition de VM VirtualPC (fichier .VMC) contenant des informations basiques sur la VM
  3. Avec VMware Converter, convertir la VM VirtualPC vers l’infrastructure VMware ESXi 5 (ou vSphere 5) sans démarrer la VM créée.
  4. Enfin, modifier la VM dans VMware pour lui donner un EFI (au lieu du BIOS), la bonne version d’OS, les bons éléments de RAM etc.
  5. Allumer un cierge, démarrer la VM et prier

Je pense que la réparation de Windows sera nécessaire pour ajouter les bons pilotes au niveau du noyau (un post de continuum sur les communautés VMware parle de l’utilisation du contrôleur LSI SAS de VMware, dans sa méthode pour la virtualisation de Windows 2008 et GPT à froid).

Mise à jour Finale:

Toutes les méthodes trouvées sur Internet ne fonctionnent malheureusement pas. Par contre, une solution existe, basée sur ARCserve D2D : LA Solution pour virtualiser une machine GPT/EFI sous VMware