XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois

107
31
mar.
2024
Sécurité

Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Journal Xz (liblzma) compromis

96
29
mar.
2024

Bonjour à tous,

La nouvelle que le projet xz (et en particulier liblzma) a été compromis vient de tomber. Donc avant de lire la suite, commencez par vous assurer que vous n'ayez aucune installation de xz version 5.6.0 ou 5.6.1 installée sur vos systèmes pour corriger cette porte dérobée, particulièrement si vous êtes avec un debian ou dérivée. Debian a une version corrigée "5.6.1+really5.4.5-1", Arch Linux une version 5.6.1-2.

Tous les détails de la faille de sécurité sont donnés là (…)

E.T. téléphone Meson

Posté par  . Édité par Julien Jorge, Davy Defaud, bubar🦥, Benoît Sibaud, ZeroHeure et Bruno Michel. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
75
7
oct.
2018
C et C++

Meson est une technologie récente de la catégorie des systèmes de configuration et de gestion de la compilation de projets, à l’instar d’Autotools et de CMake. Nous proposons dans cette dépêche un tour de Meson, avec une explication des technologies en jeu, puis des comparaisons et quelques tests de rapidité et performance. En aucun cas nous ne tomberons dans le cassage des autres technologies et nous essaierons de comparer de manière la plus neutre possible.

Meson a été initié par Jussi Pakkanen en 2013. Frustré par Autotools, insatisfait par CMake, il a décidé de s’attaquer au problème et défini les buts à atteindre. Meson est le fruit de son travail, aidé de la communauté de contributeurs qui s’est formée.

Bien entendu, nous ne sommes pas omniscients et attendons des commentaires pertinents des lecteurs de LinuxFr.org pour corriger toute erreur, dans la joie et la bonne humeur.

Micro Music Player (mmp), le lecteur musical minimaliste, sort en version 3.0

37
6
fév.
2017
Son

Micro Music Player (mmp) est disponible dans une nouvelle version : 3.0.

Copie d'écran: Interface minimale de mmp-3.0.

Il s’agit d’un lecteur musical minimaliste écrit en C++ dans un style C-Like(licence GPL v3). Un petit lecteur musical, joli, pratique et petit mais costaud, détaillé dans la suite de la dépêche.

Sortie de battle‐rage: un jeu de combat, dans le genre Street Fighter.

Posté par  (site web personnel) . Édité par Davy Defaud, bubar🦥, palm123, Benoît Sibaud et Florent Zara. Modéré par ZeroHeure. Licence CC By‑SA.
16
4
nov.
2016
Jeu

battle‐rage : un jeu de combat, ou « la bataille fait rage » !

battle‐rage est un jeu de combat en 2D proposant les principes d’un tournoi mondial d’arts martiaux, dans lequel les combattants se castagnent dans la joie et la bonne humeur. Un joystick est obligatoire pour y jouer, peut‐être serez‐vous amené à monter dessus pour faire des scores d’excellence ? De terribles duels à mains nues à venir, avec seize combattants différents !

NdM. : voir les commentaires pour la discussion sur la réutilisation sans autorisation des sprites tirés d’un jeu non libre. Les captures d'écran ont été retirées de la dépêche et converties en lien.

Battle Rage logo

Écrit en C++ avec les bibliothèques sdl2, sdl2_image, sdl2_ttf et sdl2_mixer, il est publié selon les termes de la licence GPL v3.

La suite de la dépêche propose de passer en revue le mode d’emploi, à lire le temps d’installer Battle‐Rage !

GNOME 3.22 Karlsruhe : A Land Far, Far Away

99
28
sept.
2016
Gnome

On ne présente plus GNOME, l’environnement de bureau libre (depuis toujours), sexy (depuis la série 3.x), ergonomique (selon les points de vue), personnalisable (non, là, je plaisante, en revanche) et, dorénavant, à la pointe de la technique !

GNOME 3.22, nom de code Karlsruhe, est sorti le mercredi 21 septembre 2016, avec, sous le capot, rien de moins qu’une révolution…

La dernière version de GNOME est le résultat de six mois de développement dont 22 980 changements effectués par approximativement 775 contributeurs.

Journal pkgconf: un pkg-config qui ne se mord pas la queue

Posté par  (site web personnel) .
Étiquettes :
32
28
sept.
2012

Depuis la version 0.26, pkg-config utilise glib2, très bien, pourquoi pas…

Là où ça se complique, c'est que : les versions précédentes de pkg-config embarquaient les morceaux de la glib1 qui étaient utilisés afin d'éviter une dépendance externe, la version 0.26 - elle - dépend de la glib2 uniquement en externe, rendant du coup impossible la compilation from scratch sans horribles hacks.

Bah oui, pkg-config dépend de glib2 pour se compiler et glib2 dépend de pkg-config qui dépend de glib2 qui (…)

Forum Programmation.autre Versions minimales requises pour bibliothèques dans les dépendances

Posté par  (site web personnel) .
Étiquettes :
3
19
fév.
2012

Bonjour,

J'espère ne pas poser de question qui serait super simple à résoudre par google, mais j'avoue que je ne sais pas trop quoi chercher.

Alors voilà mon souci : j'ai commencé un petit projet (un jeu de tarot) en Vala, et je viens, avec une joie indicible, de commencer à mettre tous les fichiers pour les autotools.

Dans le fichier configure.ac (et j'imagine qu'il y a le même genre de choses quand on veut proposer des paquets pour des (…)