BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...

[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]

L'association Fnet invite le Dr. Marshall Kirk McKusick à Paris, au mois de Novembre 2001, pour animer un séminaire de deux jours ayant pour titre :

« FreeBSD Kernel Internals: Data Structures, Algorithms, and Networking »

Le Dr Marshall Kirk McKusick est auteur, consultant et professeur à l'Université de Berkeley (USA - Californie). C'est un spécialiste mondial d'Unix, bien connu pour ses travaux sur le système de fichiers "fast file system" de la version 4.2 de l'Unix Berkeley, qu'il implémenta au sein du CSRG (Computer Systems Research Group), puis pour sa participation au développement des versions suivantes : 4.3BSD et 4.4BSD. Son nom est donc une référence incontournable dans le monde des Unix, et en particulier pour les utilisateurs de la famille BSD : FreeBSD, NetBSD, OpenBSD et BSDi.

Suite aux problèmes de licences du filtre de paquets (système de firewalling) IPFilter sur OpenBSD, un nouveau filtre PF le remplace.

La première version du HOWTO de ce nouveau filtre de paquets, vient de sortir. En gros, PF reprend la syntaxe d'IPFilter et permet donc une migration facile.

Ces dernieres semaines un nombre assez préoccupant de Worms sont apparus sur la plate-forme de M$. Le dernier est un digne représentant: nommé NIMDA (admin à l'envers) il est si efficace pour sa transmission que certains buisness conseillent d'abandonner IIS ! On peut noter aussi une prise de conscience des pouvoir publics (Le FBI est sur le coup) et une montée en fleche des actions de certaines entreprises de securite informatique.

Suite aux récents évènements de sécurité concernant Microsoft IIS, le groupe Gartner recommande aux entreprises de ne plus l'utiliser et de chercher une alternative. Ils suggèrent IPlanet et Apache, qui ont une "much better security than IIS".

Ils expliquent que même en suivant de près l'actualité de la sécurité, il est très difficile de patcher à temps pour se protéger des nouveaux vers et autres et que du coup, le Total Cost of Ownership (TCO) de ces serveurs est en sérieuse inflation.

Pour eux, la situation durera jusqu'à ce que Microsoft sorte une version complètement réecrite de IIS, et estiment que ca n'arrivera probablement pas avant fin 2002 (80% de chances que cela n'arrive pas avant).
Il ne reste plus qu'a attendre les prochaines statistiques de Netcraft et Security Space :-)

La CNIL organise à Paris, de lundi a mercredi, une conférence internationale sur la liberté informatique. Il y sera beaucoup question de cyber-criminalité et cyber-surveillance.

PS: merci yahoo et europe1.

Kde.news propose une interview intéressante de Eirik Eng, Président de TrollTech.
On y trouve bien sûr des questions générale, du type "Comment vivez-vous la présente situation économique ?" ou encore "Comment se fait-on embaucher chez vous ?", sans oublier bien sûr "le passage de QT en GPL vous fait-il perdre de l'argent ?" :-) Mais aussi un certain nombre de question techniques "QT vs Java/MFC/GTK", "qu'y aura-t-il dans QT 4 ?", etc...
Bref, ca vaut le coup d'oeil.

Il y a 15 jours, j'écrivais un article en anglais montrant les possibilités de KParts. Cette semaine, grâce à la contribution de Sebastien Biot, je vous livre le même article en français. Comme quoi on ne vous oublie pas!

Linus vient de publier la version finale du noyau 2.4.10.

Parmi les améliorations notables :
- Meilleure gestion de la Memoire virtuelle
- Amélioration de l'intégration des systèmes de fichiers journalisés
- Grosse mise à jour des drivers
- Amélioration de la prise en compte de l'USB


Nota : Il semblerait que ce noyau, contrairement aux précédents de la série 2.4.x, permet enfin d'éviter un swapping monstre de la machine. Ce serait la première fois depuis la sortie de la série 2.4.x que la gestion mémoire soit enfin "acceptable".

Vu sur Jakarta :

C'est officiel, avec la sortie des Servlets V2.3 et Jsp 1.2, Tomcat 4.0 est en version finale ! Tomcat supporte donc pleinement cette norme, plus tout plein de nouveautés par rapport à la version 3.2.3.

Une semaine après la version Windows, id Software vient de sortir la version Linux de la démo-test de Return to Castle Wolfenstein. Cette démo-test comporte une seule map (le débarquement) et est jouable uniquement online. Le principe du jeu est un teamplay (avec des classes) un brin amélioré au niveau des objectifs. Par contre, gros pc et grosse connexion nécessaires, car le jeu est à la fois au niveau des graphismes et de la connexion.

La démo-test est disponible en deux versions:
· Une version complète, qui contient comme son nom l'indique tout ce qui est nécessaire pour jouer.
· Une version light qui nécessite la version Windows pour s'installer.

Par ailleurs, Timothée Besset a également écrit une FAQ pour le serveur RtCW sous Linux.

La version 3.0 de Linux From Scratch est sortie. C'est le moment de l'essayer, et de construire vous même votre distribution en recompilant tout ce dont vous avez besoin, écrivez aussi vous même vos scripts de configuration, optimisez votre système GNU/Linux pour qu'il soit adapté à votre machine. Bref apprenez comment fonctionne votre système d'exploitation favori.

La beta finale de demolinux, une distribution qui s'exécute depuis un cdrom, est disponible.
Si aucun bug majeur n'est trouvé, cette beta deviendra la version finale d'ici une semaine.
A noter que plusieurs images iso sont disponibles dont une contenant la version française de staroffice (mais cette image fait 700 MB)

M$ interdit à certaines versions de Fontpage 2002 d'être utilisées pour des sites qui "déprécient" M$ et sa constellation de services sur le WEB. Cette interdiction figure en clair dans les conditions de l'EULA. A mon humble opinion après la levée de bouclier concernant les smartlinks, on peut imaginer que cette petite phrase va vite être retirée de l'EULA d'ici peu. Depechez vous d'acheter Frontpage 2002 avec ce superbe EULA... ça va être un collector unique !!!

Plus interessant est l'article publié par Microsoft Research baptisé "Operating System Directions for the Next Millennium". En fait, cela ressemble à une compilation de pas mal de sujets à la mode dans le milieu de la recherche. Il faudra voir si ces innovations arriveront réellement dans Windows 2012.

Les projets pour une meilleure éducation et documentation se suivent sans se ressembler.

Rappelez-vous de Nupedia (www.nupedia.org) qui n'a pas encore réussi à décoller (cela fait presque un an) ou dernièrement de Courseforge, qui n'en est encore qu'à ses balbutiements... Bien sur, le public visé n'est pas le même.

Certains ont réussi d'autres moins. Espérons que la notoriété de KDE.org attirera beaucoup d'utilisateurs et de contributeurs.