Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)

Posté par (page perso) . Édité par Benoît Sibaud et Bruno Michel. Modéré par Christophe Guilloux. Licence CC by-sa
31
19
déc.
2014
Sécurité

Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.

Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.

NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :

  • la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
  • l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
  • la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).

“OpenPGP card“, une application cryptographique pour carte à puce

Posté par (page perso) . Édité par BAud, ZeroHeure, Benoît Sibaud, jben, Pierre Jarillon, palm123, Nicolas Boulay, khivapia, M5oul et vaxvms. Modéré par ZeroHeure. Licence CC by-sa
Tags :
62
18
déc.
2014
Sécurité

À la demande générale de deux personnes, dans cette dépêche je me propose de vous présenter l’application cryptographique « OpenPGP » pour cartes à puce au format ISO 7816. Une carte à puce dotée d’une telle application vous permet d’y stocker et de protéger vos clefs OpenPGP privées.

Detekt, un logiciel de détection de logiciels espions

Posté par . Édité par Benoît Sibaud, Davy Defaud, Nÿco, Nils Ratusznik et M5oul. Modéré par NeoX. Licence CC by-sa
Tags : aucun
28
22
nov.
2014
Sécurité

Amnesty International, en partenariat avec Privacy International, Digitale Gesellschaft et Electronic Frontier Foundation, a annoncé le 20 novembre la publication du logiciel Detekt. Ce logiciel libre (GPL v3) a pour but de détecter des logiciels espions (spywares) sur un système d’exploitation Windows. Il cible notamment l’espionnage gouvernemental des journalistes et des militants. Detekt est développé par le chercheur en sécurité Claudio Guarnieri.

Amnesty

Firefox 34, ce Hérault

44
8
déc.
2014
Mozilla

Firefox 34, le navigateur web libre et ouvert de la fondation Mozilla, est sorti le 2 décembre 2014. Cette version apporte son lot d’améliorations, notamment pour :

  • Firefox Hello : le client bêta de « communication en temps-réel » ;
  • WebCrypto : le chiffrement dans le navigateur, pour plus de sécurité ;
  • HTML5 : dont les spécifications viennent tout juste d'être validées par le W3C.

Firefox

Cette dépêche régulière est le travail de nombreux contributeurs sur l'espace de rédaction de LinuxFr.org (linuxfr.org/redaction). Venez apporter vos contributions, afin que l'on puisse atteindre la qualité des dépêches noyau, par exemple.

mascotte de firefox
Firefox dit Hello ! (licence CC by 2.0)

Sortie de Fedora 21

42
14
déc.
2014
Fedora

Ce mardi 9 décembre 2014, le projet Fedora a annoncé la sortie de la distribution GNU/Linux Fedora 21 ainsi qu’une nouvelle version du site web. La version 20, sortie il y a un an, coïncidait avec les dix ans d'existence de Fedora. La raison pour laquelle la version 21 a pris plus de temps pour sortir est dû à l'initiative Fedora.next, qui est une réorganisation profonde du projet, pour réfléchir sur les dix prochaines années.

Pour rappel, Fedora est une distribution GNU/Linux communautaire développée par le projet éponyme et sponsorisée par l’entreprise Red Hat, qui lui fournit des développeurs ainsi que des moyens financiers et logistiques. Fedora peut se voir comme une sorte de vitrine technologique pour le monde du logiciel libre, c’est pourquoi elle est prompte à inclure des nouveautés. Tous les détails dans la suite de la dépêche.

Atelier SSH et clés publiques/privées le 20 décembre à Courbevoie

Posté par . Édité par Benoît Sibaud et ZeroHeure. Modéré par tankey. Licence CC by-sa
3
8
déc.
2014
Communauté

Le GULL associatif StarinuX organise l'atelier : « SSH (Secure SHell) et connexions par clés sans mot de passe » le samedi 20 décembre de 9h30 à 17h,
au 48 rue de Colombes 92400 Courbevoie, salle Corail, étage 1A (SNCF : gare de Courbevoie, 7min de St Lazare et 1min de la Défense).

Au programme : venez vérifier vos classiques sur SSH (connexion clients / Serveur) et apprendre à se loguer en sécurité sans mot de passe via clés publique et privée.

Comme à l'accoutumée, une participation annuelle est demandée, de 20€ (10€ demandeurs d'emploi), valable pour plus de 15 ateliers.

Contact : events@starinux.org

Vivre du logiciel libre - Ikux trois ans plus tard

35
15
déc.
2014
Commercial

Voici le troisième volet de la série 2014 sur la création d'entreprise dans le logiciel libre. Après l'entretien avec Ludovic Dubost au sujet de sa société XWiki, je vous propose de redécouvrir le parcours de Daniel Castronovo qui nous avait déjà parlé de son auto-entreprise Ikux il y a environ 3 ans.

Après être passé d'auto-entreprise à SARL, Ikux a cessé son activité en décembre 2013. Cette évolution est à l'opposé de ce que nous a présenté Jérôme Martinez entre décembre 2011 et septembre 2014 ; c'est aussi ce qui fait l'intérêt de ce retour d'expérience.

LinuxConsole 2.3, « simple comme une console de jeux »

Posté par (page perso) . Édité par ZeroHeure, BAud, Benoît Sibaud, Nils Ratusznik, Nÿco, NeoX, papap, palm123 et Nicolas Boulay. Modéré par Nils Ratusznik. Licence CC by-sa
Tags : aucun
18
14
déc.
2014
Distribution

LinuxConsole est une distribution qui existe depuis plus de dix ans. Il faut comprendre "LinuxConsole" comme « Utiliser Linux aussi simplement qu'une console de jeu ». Ce fut le premier LiveCD avec l'accélération graphique fonctionnant de base par défaut.

LinuxConsole

Cette version (2.3) s'est un peu éloignée de ce concept, mais elle propose quand même de nombreux jeux ; le nom est donc resté, faute de mieux ;) Tout est fait pour qu'on puisse jouer facilement (accélération graphique et manettes devant fonctionner de suite), mais des programmes « classiques » sont aussi disponibles.

Cette distribution est principalement utilisée pour « recycler » des anciens ordinateurs (sous Windows XP/Vista/Seven), avec un système rapide, complet et peu gourmand en mémoire vive.

Les modes d'utilisation sont multiples :

  • LiveCD ;
  • LiveUSB (avec persistance de données) ;
  • Installation à côté de Windows (Windows boot loader) ;
  • Installation sur un disque dur vierge, dual boot utilisant Grub.

La seconde partie de la dépêche contient des informations plus techniques.

Sortie du noyau Linux 3.18

72
17
déc.
2014
Noyau

La sortie de la version stable 3.18 du noyau Linux a été annoncée le lundi 7 décembre 2014 par Linus Torvalds. Le nouveau noyau est, comme d’habitude, téléchargeable sur les serveurs du site kernel.org. Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche.

Du nouveau pour Thunderbird

Posté par . Édité par Nÿco, M5oul, BAud, Nils Ratusznik, NeoX et mobuturoiduzaire. Modéré par patrick_g. Licence CC by-sa
53
3
déc.
2014
Mozilla

Alors que Thunderbird se meurt à feu doux depuis longtemps, Mozilla ayant décidé de ralentir son développement (chose qui était déjà visible avant), le monde est bien triste et se demande quelle alternative pourrait être intéressante.

Pour rappel, Mozilla Thunderbird est un client de messagerie (MUA, Mail User Agent) et de messagerie instantanée libre distribué par la Fondation Mozilla sous triple licence MPL/GPL/LGPL.

Logo de Mozilla Thunderbird sous copyright

Revue des nouveautés de Glances 2.2

Posté par (page perso) . Édité par ZeroHeure, Benoît Sibaud et palm123. Modéré par ZeroHeure. Licence CC by-sa
35
15
déc.
2014
Supervision

Glances permet de juger l'état de sa machine, ou d'une machine distante, à l'aide d'un tableau de bord en mode console/terminal ou Web. La version 2.2 a été mise en ligne et apporte son lot de nouveautés que nous allons parcourir ensemble dans cette dépêche:

  • installation simplifiée ;
  • centralisation de la supervision de vos machines à partir d'un mode "super client" ;
  • amélioration de la fonction de graphe ;
  • nouvelle fonction de tri des processus ;
  • amélioration de l'interface console/terminal.

Sortie de Dotclear 2.7

Posté par (page perso) . Édité par M5oul, palm123, BAud, Florent Zara et Nÿco. Modéré par Nÿco. Licence CC by-sa
22
14
déc.
2014
Internet

Dotclear le moteur de blog libre, distribué sous licence GNU GPL v2, sort en version 2.7 sous le nom de code Currywurst.

logo dotclear

La version 2.6 est sortie il y a maintenant 13 mois. Voici la suite ! La version 2.7 est moins spectaculaire que la version 2.6 mais elle apporte tout de même des changements significatifs côté administration et côté public.

Sortie de CatchChallenger 1.0

Posté par (page perso) . Édité par M5oul, BAud, Benoît Sibaud, ZeroHeure, zurvan, Nils Ratusznik, palm123, Nÿco et sinma. Modéré par ZeroHeure. Licence CC by-sa
15
12
déc.
2014
Jeu

CatchChallenger est un jeu de rôle indépendant en ligne, massivement multijoueur (MMORPG), à l'ancienne, libre, publié sous licence GNU GPL v.3 aussi bien pour le code que pour les données artistiques et le site web.

La base du jeu est un mélange de différents styles : combat, farming, exploration, fabrication, commerce, gestion, compétition. Les travaux se sont concentrés sur la jouabilité, les performances et la créativité.

Cette version totalise plus de 5 Mo de code, plus de 1 700 commits sur 3 ans de vie (sur les différentes parties du projet). Le client et le serveur sont développés sous GNU/Linux, puis automatiquement empaquetés pour OS X et Windows.

Formations Linux Professional Institute à Metz en mars 2015

Posté par . Édité par Nils Ratusznik, Benoît Sibaud et ZeroHeure. Modéré par Nils Ratusznik. Licence CC by-sa
6
16
déc.
2014
Linux

La société Formations Linux LPI organise des formations LPI-101 et LPI-102 du Linux Professional Institute. Chaque formation inclut le passage de l’examen LPI 101 ou LPI 102, qui sont les deux moitiés de la certification LPIC-1.

Linux Professional Institute est un organisme à but non lucratif qui propose des certifications pour des administrateurs système et des programmeurs Linux.

Sortie de la version 2.5 de Chouette

Posté par . Édité par Davy Defaud, Benoît Sibaud, ZeroHeure et Pierre Jarillon. Modéré par Pierre Jarillon.
28
5
déc.
2014
Communauté

La version 2.5 de Chouette vient tout juste de sortir !

Rappelons que Chouette est un logiciel libre développé à l’initiative du ministère français chargé des transports. Son but est de faciliter et de promouvoir l’échange de données d’offre (théorique) de transport collectif (TC).

La nouvelle version 2.5 de Chouette est destinée à répondre aux exigences d’un usage opérationnel par les réseaux de transport.
Au bout de 6 mois d’effort de la part de l’équipe de développement Cityway, les changements sont maintenant visibles sur le site grand public de l’application.