Sortie de la version bêta de Fedora 12

Posté par  . Modéré par patrick_g.
Étiquettes :
22
23
oct.
2009
Fedora
Un mois avant la sortie annoncée de la version finale de Fedora 12, version communautaire de la célèbre RedHat, la version bêta est disponible sur tous les bons FTP serveurs bittorrent.

Parmi les nouvelles fonctionnalités on peut mentionner des améliorations apportées aux pilotes matériels (notamment les cartes graphiques et les matériels de communication sans fil), un support audio de qualité, notamment via les périphériques bluetooth, une meilleure virtualisation et bien sûr le GNOME a été mis à jour en 2.28. Quant à son homologue KDE, il passe lui en version 4.3. Les possesseurs de netbooks sont de la partie car Moblin, l'interface graphique dédiée, est aussi incluse.

Cette bêta intègre aussi déjà un certain nombre de technologies récentes, voire même en pré-version, afin que vous puissiez en profiter les tester dès à présent, comme
  • La coquille pressentie pour le futur Gnome 3.0 ;
  • La toute dernière amélioration de la bibliothèque Theora 1.1 ;
  • La version 1.0 de SystemTap de moins d'un mois ;
  • Ou encore le multi-pointer du serveur X.org 1.7 qui inclut l'extension « X Input Extension version 2.0 (XI2) » dont nous avons parlé il y a peu.
Les développeurs pourront s'essayer à Perl 6, présent en parallèle de PHP 5.3 ou utiliser les dernières version d'Eclipse ou NetBeans.

Bref, pas de quoi vous ennuyer, surtout pour les « early-adopters » qui aiment vivre sur le bord tranchant.

SCO se sépare du visionnaire Darl Mc Bride

Posté par  . Modéré par j.
Étiquettes :
29
21
oct.
2009
Humour
La crise n’épargne vraiment personne et même les meilleurs managers ne sont pas à l’abri d’un coup du sort. La dernière victime s’appelle Darl Mc Bride, la (ex) brillante tête du groupe SCO. Le 14 Octobre, la société a décidé de se séparer de M. Mc Bride, alors qu’il était à la fois CEO et Président, soit l’équivalent de notre PDG français. C’est bien sûr une perte énorme pour SCO qui s’est appuyé depuis 2002 sur ce visionnaire charismatique. Sous son leadership, SCO a mis en place une stratégie volontariste de développements d’excellence, avec son produit phare SCO Unix et bien sur Linux, ce système d’exploitation propriété de SCO quoi qu’en disent les traîtres de communistes d’IBM et les baba cools de RedHat.

Ces deux sociétés ont tout fait pour couler SCO depuis 2003, employant les moyens les plus vils à ces fins. Cette situation a conduit SCO à déposer le bilan en 2007 après s’être vu refuser la paternité d’Unix au profit de Novell par un juge alcoolique et franc-maçon aimant les ratons-laveurs.

Un dicton populaire rappelle que « nul n’est prophète en son pays » et c’est bien là le drame de Mc Bride. Rassure-toi cher lecteur, Darl n’est pas vraiment dans le besoin, ayant amassé un joli petit pactole à la tête de SCO pendant toutes ces années. C’est heureux car avec de telles casseroles aux fesses, Darl n’est pas prêt de retrouver du travail. Un chapitre se referme avec le départ de celui qui a maintenu toutes ces années avoir trouvé plein de code d’Unix dans le noyau Linux, sans pouvoir en apporter la preuve, pour des raisons évidentes de propriété intellectuelle. Étrangement les juges ont eu du mal à le suivre dans son raisonnement.

Pensons aussi aux 47 avocats et à son garde du corps que cette séparation affecte profondément.

Sortie d’OpenBSD 4.6 pour les 14 ans du projet

Posté par  . Modéré par baud123.
30
20
oct.
2009
OpenBSD
Le 18 octobre 2009, l’OS avec aucune 1 seulement 2 failles de sécurité exploitables à distance (*) fête ses 14 ans d’existence ! Pour fêter cela, la sortie de la version 4.6 d’OpenBSD a été annoncée à la même date par Theo de Raadt.

Aucune révolution n’est à l’ordre du jour, mais tout un ensemble de nouveautés et améliorations est disponible. Parmi celles-ci, un nouveau serveur SMTP sécurisé grâce à la séparation de privilèges est disponible, et tmux remplace window, le multiplexeur de terminal (comme screen sous Linux). Les nombreux outils de réseau et sécurité qui font la force d’OpenBSD ont été améliorés, avec de nombreuses fonctionnalités supplémentaires apportées au célèbre logiciel de filtrage pf, mais aussi à OpenBGPD, OpenSSH et à la pile réseau. Le logiciel d’installation d’OpenBSD a été re-développé pour en simplifier l’utilisation et l’outil de partitionnement disklabel essaie maintenant de détecter les partitions du disque.

Chaque version d’OpenBSD est accompagnée d’une chanson, il s’agit cette fois de « planet of the users ».
OpenBSD est bien sûr gratuit et il est possible d’installer ce système via le réseau, mais comme d’habitude il est recommandé d’acheter un CD officiel pour financer le projet et encourager le développement des versions futures. Comptez environ 50$ pour cela.

(*) dans le système installé par défaut

NdM : Merci à Mr Kapouik pour son journal sur le sujet

Journal Luttons intelligemment contre le spam avec Whitelister

Posté par  .
Étiquettes : aucune
25
22
jan.
2009
La dépêche sur Dspam génère pas mal de commentaires sur les RBL, leurs avantages et leurs inconvénients.

Ce débat est pourtant dépassé, au moins pour les utilisateurs de postfix, depuis la publication, en 2005 (!) de Whitelister. Il s'agit d'un logiciel de filtrage écrit en OCaml par Pierre Habouzit dans le cadre de l'administration de serveur de mails au sein de l'école Polytechnique.
Le concept derrière whitelister est très simple : on prend deux mauvaises techniques de filtrage de (…)

Sortie d'OpenVAS 2.0.0 (fork de Nessus)

Posté par  . Modéré par baud123.
Étiquettes :
8
12
jan.
2009
Sécurité
La version 2 d'OpenVAS, le principal fork de Nessus, vient de sortir un peu plus d’un an après la première version stable.

À mon sens le changement de version ne se justifiait pas, aucune fonctionnalité substantielle n’ayant été ajoutée dans l’intervalle. En effet, OpenVAS utilise encore largement le code originel de Nessus et une partie importante du travail consiste à auditer les sources.

Cette nouvelle version intègre néanmoins pas mal de nouveautés intéressantes :
  • Amélioration du client graphique ;
  • Support partiel d'OVAL (Open Vulnerability Assessment Language). OVAL est un langage -indépendant du projet OpenVAS malgré les similitudes de consonance- de création de tests de vulnérabilités. Un test développé en OVAL est utilisable par tous les outils supportant ce langage, contrairement par exemple à un plugin NASL (Nessus Attack Scripting Language) qui est “propriétaire” Nessus ;
  • Création du protocole OTP (OpenVAS transfert protocol) en remplacement du protocole originel NVT (Nessus transfert protocol). Ces protocoles sont utilisés pour les communications entre les clients et le serveur ;
  • Nouveau format d'identifiants pour les tests de vulnérabilités (OID) ;
  • Support des architectures 64 bits ;
  • Sans compter pas mal de corrections de bogues.
Bref, le projet avance, lentement, mais il avance :-)

Journal Luttons contre le spam via SMS avec le 33700

Posté par  .
Étiquettes : aucune
9
9
déc.
2008
Après le mail, la nouvelle cible des spammeurs est le téléphone mobile. Les deux arnaques en vogue sont :
1/ l'appel mystérieux qui raccroche au bout d'une seule sonnerie, empêchant le destinataire de décrocher son téléphone. Si celui-ci décide de rappeler son mystérieux correspondant, il contacte un numéro surtaxé.
2/ le SMS automatisés comme celui que j'ai reçu pas plus tard que ce matin : Logoson : Vous avez 1 message video en attente sur notre service. Pour le consulter (…)

Découverte d'une faille de sécurité critique dans OpenSSL de Debian

Posté par  . Modéré par Bruno Michel.
Étiquettes :
1
15
mai
2008
Debian
Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?
  1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
  2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
    Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
  3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.
Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur Planet Debian-Fr.

OpenToken : un projet de token d'authentification matérielle ouvert

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
21
avr.
2008
Sécurité
Double information tournant autour de l'authentification forte. Consultez la deuxième partie de la depêche pour en savoir plus.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :
  • Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
  • Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.
Ces deux documents permettent d'imaginer des tokens matériels d'authentification forte libres. Pas gratuits, ça non, mais ouverts, ce qui serait déjà un grand pas en avant.

Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.

Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...

Retour sur la panne serveur et l'appel aux dons

Posté par  . Modéré par Florent Zara.
Étiquettes :
1
3
mar.
2008
LinuxFr.org
Le 8 octobre 2007, le serveur LinuxFr (donné par HP il y a quelques années) subissait une panne matérielle assez préoccupante et rendait le site inaccessible pendant plusieurs jours. À la suite de cet incident, nous vous avions demandé de nous aider à financer l'achat d'un nouveau serveur.

Vous avez été très nombreux à nous répondre puisque 86 personnes nous ont remis 3874,90 euros, sans compter les multiples offres de matériel neuf ou d'occasion, et les propositions d'hébergement. Merci donc à vous tous qui permettez à LinuxFr de continuer à exister après 10 années passées à troll^Wdiscuter du libre. Parmi les nombreuses offres qui nous ont été faites, Fotovista (la maison mère de Pixmania), nous a contacté pour nous faire don, sans contrepartie, d'un serveur Dell qui répondait à nos attentes. Nous avons donc accepté et c'est ce serveur qui héberge le site depuis la fin de l'année 2007, grâce au travail acharné des administrateurs du site.

Afin de limiter l'impact d'une éventuelle panne matérielle, l'association a également prévu de faire l'acquisition d'un serveur de secours qui hébergera une version du site en cas de problèmes sur la machine principale. Les sommes perçues devraient largement couvrir l'achat de ce serveur supplémentaire, il nous restera une partie des dons une fois tous les achats effectués. L'association ne disposant que de revenus quasi-nuls, ce n'est pas une mauvaise chose. Néanmoins, comme nous vous en avions déjà parlé auparavant, l'association pourra rembourser leurs dons à tous ceux qui le désirent : il suffit pour cela de suivre les instructions données dans la suite de l'article.

Merci encore à tous pour votre aide et vos diverses contributions !

Sortie de la première version stable d'OpenVAS (fork Nessus)

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
1
14
fév.
2008
Sécurité
Je profite de la publication de la première version stable d'OpenVAS pour faire un point sur l'état des forks de Nessus.

Créé en 1998 par Renaud Deraison, Nessus a longtemps été le scanner de vulnérabilités de référence du monde libre. Ce succès à permis à son auteur de monter la société Tenable Network Security qui commercialise une offre d'audits de vulnérabilités. Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL, et au vu de la faiblesse des contributions de la communauté au moteur du logiciel, la société a décidé d'utiliser une licence propriétaire pour la version 3 de Nessus fin 2005 .

La réaction de la communauté ne s'est pas faite attendre et de nombreux forks de la version 2 de Nessus ont été lancés dans la foulée, par exemple GNessUs, Porz-Wahn et Sussen parmi les projets ayant été annoncés officiellement.
L'objectif était de continuer à disposer d'un scanner de vulnérabilité libre et performant. Voilà plus de 2 ans que ces forks ont été lancés, force est de constater qu'aucun d'entre eux n'a acquis la renommée de leur ancêtre commun. En effet, au delà des bonnes intentions, la quasi totalité de ces projets n'ont jamais réussi à rassembler suffisamment de développeurs pour permettre de reprendre le flambeau.

Le site de Porz-Wahn est figé depuis son ouverture et tout laisse à penser que le projet est mort, en fait Porz-Wahn a fusionné en toute discrétion avec GNessUs fin 2005.

L'histoire de Sussen est différente des autres forks. Lancé courant 2004, avant le changement de licence de Nessus, Sussen -"nessus" à l'envers :-)- était au départ un client Gnome codé en Mono/C#/GTK# supposé s'interfacer avec le serveur Nessus.
À la suite de la sortie de Nessus 3.0, le projet a pris une tournure différente et la version actuelle n'a plus rien à voir avec le client Nessus originel. Ce logiciel est maintenu par un seul développeur qui, à l'instar de Renaud Deraison, travaille dans une société de services en sécurité. La version de développement actuelle, disponible pour Linux et Windows, est sortie courant 2007. Elle est certifiée OVAL (un standard pour l'échange d'informations relatives aux vulnérabilités). Un seul message ayant été posté sur la liste de diffusion depuis sa création, le blog du développeur reste le meilleur moyen d'avoir des nouvelles de ce logiciel.

Last but not least, GNessUs a changé de nom et s'appelle dorénavant OpenVAS. Il s'agit du seul fork de Nessus encore actif. C'est autour de ce logiciel lancé par un chercheur en sécurité anglais qu'une communauté s'est formée. Suite à la fusion avec Porz-Wahn, des développeurs allemands ont rejoint l'équipe et le projet a d'ailleurs reçu des subventions du gouvernement allemand. Il a aussi retenu l'attention du SPI, une association qui subventionne des projets libres. C'est donc en toute discrétion, après quand même deux ans de travail, que les premières versions stables d'OpenVAS ont été publiées il y a quelques jours à peine, conformément à la feuille de route.
La communauté dispose donc enfin d'un scanner de vulnérabilités libre. Certes son architecture date un peu et de nombreuses améliorations seront nécessaires avant de se rivaliser avec la version actuelle de Nessus, mais c'est un premier pas dans la bonne direction.
N'hésitez donc pas à vous abonner à la liste de diffusion du projet et à contribuer si vous vous en sentez capable.

Journal [X.org] Apple Cinema Display Alu 23"

Posté par  .
Étiquettes : aucune
0
8
déc.
2007
(Passez votre chemin si vous ne possédez pas ledit écran).

A chaque changement de carte vidéo je perds quelques heures à tenter de faire fonctionner mon écran (Apple Cinema Display 23 pouces). Pour une raison que je ne m'explique pas il refuse systématiquement d'afficher quoi que ce soit si je ne modifie pas le fichier x.conf un soir de pleine lune après avoir égorgé un poulet ou deux.
Au bout de plusieurs éditions infructueuses, la version ci-dessous fonctionne correctement avec (…)

Journal Le PCI DSS : un standard de sécurité pour les données bancaires

Posté par  .
Étiquettes : aucune
0
27
nov.
2007
Le développement du commerce électronique entraîne un accroissement des vols d'informations bancaires en ligne. Premier coupable, le stockage des données de cartes bancaires s'avère insuffisamment sécurisé. Que l'on utilise une solution de paiement développée en interne ou un logiciel fourni par un tiers, le risque de voir les données de la carte bancaire subtilisée par un tiers mal intentionné est réel. L'exemple le plus marquant a touché la chaîne de prêt-à-porter américaine T.J Maxx qui a été l'objet d'une intrusion (…)

Journal EMBCop - IPCop pour matériel embarqués

Posté par  .
Étiquettes : aucune
0
23
août
2007
Les heureux posesseurs de machines embarquées Soekris ou WRAP seront heureux d'apprendre l'existence de Embcop http://en.embcop.org/, une distribution Linux intégrant IPCop et conçue pour les petites machines. Des images http://de.embcop.org/?page_id=40 sont disponibles en plusieurs tailles et pour moults plate-formes (PC, WRAP, Nokia IP130).

Ce type de distribution permet de disposer à peu de frais d'un firewall discret grâce à du matériel silencieux (pas de ventilateur) et peu gourmand (un firewall Soekris prend moins de 10 watts).

Un concurrent pour m0n0wall (…)

Le propriétaire de Snort achète ClamAV

Posté par  . Modéré par Nÿco.
Étiquettes : aucune
0
21
août
2007
Sécurité
Un des antivirus libres les plus connus est sans conteste ClamAV. Ce logiciel est disponible sous plusieurs systèmes d'exploitations (dont Linux et Windows) et les bases virales sont libres et maintenues à jour par l'équipe de développement assistée de la communauté.

Le 17 août, la société Sourcefire a publié un communiqué de presse dans lequel elle annonce avoir fait l'acquisition du projet ClamAV. Sourcefire est une société spécialisée dans la sécurité qui avait mis la main sur le logiciel de détection d'intrusion Snort il y a quelques années. Pour le rachat de ClamAV, Sourcefire s'est rapprochée de Tomasz Kojm, le fondateur du projet, et de quatre développeurs principaux afin qu'ils continuent de travailler sur le projet par la suite.

M. Jackson, le CEO de Sourcefire, annonce que la société compte rentabiliser son investissement en trois temps :
  • Premier temps, la société mettra en place d'ici la fin de l'année une offre de support et de formation autour de ClamAV.
  • Deuxième temps, une version commerciale et non "open source" sera disponible pour les professionnels début 2008.
  • Troisième temps, la société compte sortir une boîte noire matérielle intégrant ClamAV, qui complémentera l'offre de Sourcefire.

Une telle opération suscite bien évidemment des inquiétudes : quid de la licence et des bases virales ? La société a tenu a rassurer la communauté dans une FAQ publiée sur son site web en affirmant vouloir garder la licence GPL pour distribuer le logiciel ainsi que les bases virales. Voire, car l'exemple de Snort n'est pas fait pour rassurer : depuis que Snort est tombé dans l'escarcelle de Sourcefire, l'accès aux bases de signatures de moins de 30 jours est restreint et payant.

Autre source d'inquiétude, Sourcefire annonce que ClamAV va se focaliser sur la détection virale au niveau du réseau, par opposition à une détection sur le poste client. L'avenir du client "desktop" est-il menacé ?

NdM : voir aussi un journal de tcheuck sur le sujet.