Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Ce jeudi 10 mars, la communauté de la distribution au caméléon nous annonce la sortie de la toute nouvelle mouture d’openSUSE. Cette version 11.4 apporte son lot d'applications de bureau mises à jour, ainsi qu’une suite complète de logiciels serveurs et une riche sélection d’outils de développement libres.

Parmi les principaux paquets, on retrouve :

• noyau Linux 2.6.37 ;
• bureaux KDE 4.6.0 (par défaut), GNOME 2.32 et GNOME 3.0 preview ;
• serveur X.org 1.9 et Mesa 7.9 ;
• GCC 4.5 et GDB 7.2 ;
• Mozilla Firefox 4.0 bêta 12 et Thunderbird 3.1.7 ;
• LibreOffice 3.3.1.

Proposant les principaux bureaux et profitant de l'une des meilleures intégrations actuellement disponibles, openSUSE représente une très bonne alternative parmi les distributions qui ciblent l'utilisateur final, qu'il soit débutant ou averti.

openSUSE 11.4 est disponible pour les architectures x86 et x86_64, en diverses versions, DVD, Live-CD et Live-USB téléchargeables. Une version boîte contenant un DVD double couche, un manuel papier et un support à l’installation de 90 jours sera prochainement proposée à la vente (60 €).

Notez que si vous êtes de passage à Nuremberg (Nürnberg en allemand), une manifestation de lancement aura lieu le mercredi 16 mars à 19 h dans le quartier historique de la ville (Bar / Café Artefakt / Galerie). Outre une introduction à openSUSE 11.4 par l'équipe des Boosters, vous profiterez de la musique de Ukulele Insanity en live et vous pourrez réveillez le vieux crapaud en vous, en dégustant une Old Toad openSUSE !

Le 2 juin 2021, le projet openSUSE a annoncé la sortie de Leap 15.3, la nouvelle version mineure de la branche 15.x. Leap est une distribution GNU/Linux communautaire à sortie fixe, supportée plusieurs années et basée sur les Service Pack de la dernière version majeure de SUSE Linux Enterprise (la distribution commerciale de SUSE, abrégée « SLE »).

Le changement le plus important de cette 15.3 concerne la construction de la distribution : jusqu’à maintenant construite à partir des sources de SLE, Leap s’appuie désormais sur les binaires de SLE.

En Belgique, l'ASBL Les Jeunes Entreprises organise chaque année la création de « mini-entreprises », créées et gérées par des jeunes, dans le but de les former au monde professionnel. Ces entreprises doivent commercialiser des produits, généralement de petits objets amusants comme des coussins, des bougies, etc.

D-Cubes est l'une de ces mini-entreprises, gérée par un groupe de quatre étudiants de rhéto (terminale française). Son projet pour cette année est d'assembler et de livrer des ordinateurs compacts et à faible consommation. Ses détails techniques sont donnés en deuxième partie de la dépêche.

Un point intéressant de ces ordinateurs est qu'ils sont livrés sous openSUSE GNU/Linux, et que D-Cubes participe le plus possible à la promotion des Logiciels Libres (par exemple, nous avons eu le 20 novembre une journée complète de démonstration de Linux dans une grande surface). De plus, 30% de nos bénéfices seront reversés à la Free Software Foundation Europe en fin d'exercice, c'est-à-dire en mai/juin.

Le but de cette dépêche est de montrer ce que représente Linux du point de vue OEM, ce qu'il peut apporter à des clients cherchant des ordinateurs compacts, et quelle a été la réaction d'un public de non-informaticiens face à notre démonstration d'openSUSE.

Il y a deux jours une annonce très importante pour Linux et le logiciel libre en général a été faite. La compagnie Novell a été rachetée pour deux milliards de dollars par un fonds d'investissement américain du nom de Attachmate. En marge de cette vente, il a été annoncé la cession d'une partie des brevets détenus par Novell en faveur d'une compagnie sous-marin de Microsoft Corp, CPTN Holdings LLC.

Très peu de détails sont connus pour le moment, mais de très nombreuses questions émergent petit à petit et il semble de plus en plus probable que cette annonce soit un des pires scénarios catastrophes que l'on puisse imaginer.

Voici une liste non exhaustive des questions que l'on peut se poser :

• "Qui récupère la propriété de Unix ?". En effet, comme cela a été démontré lors du procès SCO, cette dernière appartient à Novell ;
  
• Quels sont les brevets récupérés par le consortium dirigé par Microsoft ? Sont-ils utilisés dans le noyau Linux (les mauvaises langues diront que si oui Microsoft Corp aurait enfin ses centaines de violations de brevets...) ? ;
  
• Quel est l'impact sur OIN ? Ne connaissant pas le fonctionnement de cette organisation est-ce que la participation consistait juste en une promesse très généraliste ou dans une liste de brevets bien définis ?
  
• Que vont devenir les développeurs de Linux et de logiciels libres dans la nouvelle entreprise ? Rappelons que le numéro 2 du noyau, Greg Kroah Hartman, est employé par Novell. Un fonds d'investissement n'ayant pour unique raison d'être que de faire de l'argent, il est assez peu probable qu'une politique à long terme soit menée.

Naturellement les scénarios les plus pessimistes font aussi leur apparition comme on peut le lire sur [ITwire]. Une analyse plus poussée mais en anglais peut être lue sur le site Groklaw.

Il est probablement aussi important de signaler que pour le moment le rachat n'a été que soumis à la SEC et qu'il y a déjà deux groupes d'actionnaires qui entament une procédure contre cette vente (voir la fin de l'article sur le site Groklaw). Un journal succinct avait parlé de cela mais vu l'importance de Novell dans le monde de Linux et plus généralement du logiciel libre, le sujet méritait une dépêche.

J’ai longtemps pensé que l’un des plus gros problèmes qui empêchent les systèmes basés sur GNU/Linux de dominer (en termes de parts de marché) dans le secteur des ordinateurs de bureau… est celui du marketing. Notre manque de marketing qui attire l’attention, qui fait battre les cœurs et les esprits, est, à mon avis, l’une des faiblesses les plus flagrantes du monde du logiciel libre et open source.

Mais, d’une certaine façon, ce n’est pas juste.

La réalité, c’est que nous avons eu des campagnes marketing vraiment fantastiques au fil des années. Quelques‐uns ont même réussi à sortir de notre propre communauté de passionnés de GNU/Linux. Allons faire un tour parmi mes préférés…

Ce jeudi 15 juillet, la communauté de la distribution au caméléon vous annonce la sortie de la toute nouvelle mouture d'openSUSE. Cette version 11.3 apporte son lot d'applications desktop mises à jour, ainsi qu’une suite complète de logiciels serveurs et une riche sélection d’outils de développement open source. Parmi les principaux paquets, on retrouve :

• Noyau Linux 2.6.34.x ;
  
• Bureaux KDE 4.4.4 (par défaut) et GNOME 2.30.1 ;
  
• Serveur X.org 1.8 ;
  
• GCC 4.5, GDB 7.1 ;
  
• Mozilla Firefox 3.6.6 et Thunderbird 3.0.5 ;
  
• OpenOffice 3.2.1.

Proposant les principaux bureaux et profitant de l'une des meilleures intégrations actuellement disponibles, openSUSE représente une très bonne alternative parmi les distributions qui ciblent l'utilisateur final, qu'il soit débutant ou averti.

openSUSE 11.3 est disponible pour les architectures x86 et x86_64, en diverses versions DVD, Live-CD et Live-USB téléchargeables. Une version boîte contenant un DVD double couche, un manuel papier et un support à l’installation de 90 jours sera prochainement proposée à la vente (60 €). Elle inclura également un Live-DVD contenant une image spéciale plasma-netbook qui donne un aperçu des dernières avancées en termes d'interfaces au format netbook. Les mises à jour de sécurité seront assurées pendant 18 mois.

Notez que si vous êtes de passage à Nüremberg dans la soirée du 15, des saucisses et de la bière vous attendront à partir de 19h au quartier général de la distribution au caméléon, afin de fêter ce lancement avec les développeurs et la communauté comme il se doit.

RPM Package Manager (anciennement Red Hat Package Manager), l'outil de gestion des paquets de RHEL, Fedora, Suse, Mageia… est sorti en version 4.10. Rappelons que cet outil simple RPM (équivalent à dpkg chez Debian et apparentés) se couple avec des outils de téléchargement et résolution de dépendances, tels que urpmi / urpme et yum (équivalents au couple apt-get / apt-cache, toujours chez Debian et apparentés). Cette version 4.10 n'apporte pas énormément de nouveautés, on peut citer, en plus des traditionnelles corrections de bugs et amélioration mineures :

• la prise en charge du ~ à la fin du nom de fichier pour différencier les versions des paquets comme chez Debian (pour ajouter un ~beta, par exemple) ;
• la compression des données avec 7-zip ;
• erasure progress during transactions.

Sinon, il semble que le fork rpm5 (utilisé notamment par Mandriva) soit sur le point d'être abandonné. RPM 5 n'est géré que par deux personnes et les effets de bord semblent plus importants que prévus. Nous devrions avoir plus d'information fin juin sur ce qui n'est pour le moment qu'une rumeur.

Ce jeudi 18 décembre, après seulement six mois de gestation, la nouvelle version de la distribution soutenue par Novell est disponible au téléchargement.

Cette nouvelle version d'openSUSE propose en standard :

• Noyau Linux 2.6.27.7 ;
• glibc 2.9 ;
• GNOME 2.24.1;
• KDE 4.1.3 muni de fonctionnalités et correctifs de la branche 4.2 ;
• KDE 3.5.10 en option ;
• Firefox 3.0.4 ;
• OpenOffice.org 3.0 ;
• openJDK (par défaut) et Sun Java ;
• Mono 2.0.1.

Proposant aussi bien les bureaux GNOME que KDE et profitant de l'une des meilleures intégrations de KDE 4 actuellement disponible, openSUSE représente une très bonne alternative parmi les distributions ciblant l'utilisateur final, qu'il soit débutant ou utilisateur averti.

openSUSE 11.1 est disponible pour architecture x86, x86_64 et PPC, en deux versions Live-CD ou DVD. Une version boîte contenant un un DVD double couche (x86, x86_64) et un CD additionnel contenant les logiciels non libres sera prochainement proposée à la vente (60 €). Elle sera supportée 2 ans.

C'est la période de sortie des distributions majeures et en ce jeudi 12 novembre, c'est au tour du caméléon de Nüremberg de révéler sa nouvelle mouture. Onze mois de gestation auront été nécessaire pour délivrer cette version d'openSUSE, numérotée 11.2. Cette nouvelle version d'openSUSE propose en standard :

• Noyau Linux 2.6.31.5
  
• Bureaux KDE 4.3.3pre (par défaut) & GNOME 2.28
  
• Server X 1.6.5
  
• GCC 4.4.1
  
• Mozilla Firefox 3.5
  
• OpenOffice 3.1
  

Proposant aussi bien les bureaux GNOME que KDE et profitant de l'une des meilleures intégration actuellement disponible, openSUSE représente une très bonne alternative parmi les distributions ciblant l'utilisateur final, qu'il soit débutant ou utilisateur averti.

openSUSE 11.2 est disponible pour architecture x86 et x86_64, en deux versions Live-CD ou DVD. Une version boîte contenant un DVD double couche (x86, x86_64) sera prochainement proposée à la vente (60 €). Elle sera prise en charge pendant 18 mois.

NdM : Merci à Benoit Monin pour sa CSS spéciale openSUSE. Vous pouvez gérer vos CSS depuis la page dédiée.

Depuis près d'une semaine, SuSE a sorti SuSE Cloud 2.0. Comme son nom l'indique, il s'agit de l'intégration d'OpenStack par SuSE qui ajoute les outils nécessaires à l'industrialisation des différentes piles. L'ensemble de l'infrastructure sera ainsi piloté par Crowbar, un outil open source développé par Dell et qui s'appuie sur Chef (logiciel libre de gestion de configuration écrit en Ruby) pour gérer les déploiements. La cible du produit est évidemment les entreprises qui souhaitent gérer leur propre cloud en interne.

Plus de détails dans la seconde partie de l'article.