Pour la première fois, une entreprise américaine - et pas des moindres - HP, utilise la menace du DMCA pour empêcher la publication d'une vulnérabilité.

Lundi, un vice-président d'HP a envoyé à Snosoft, un collectif de recherche en sécurité semi-privé, une lettre les mettant en garde qu'ils pouvaient être passibles de 500 000$ d'amende et de 5 ans d'emprisonnement s'ils révélaient le bogue permettant de s'introduire dans leur OS Unix Tru64.

Cette nouvelle a été commentée sur Slashdot, notamment par un employé de HP, Bruce Perens, développeur Linux, qui avait été prié la semaine dernière de ne pas participer à une manifestation contre le DMCA, où il projetait de donner une démonstration de lecteur de DVD sous Linux.

Update: HP a finalement retiré sa menace, et promet de ne pas utiliser le DMCA pour étouffer la recherche de vulnérabilités dans ses produits. Voir la news sur CNet (dernier lien).

D'après un mail sur la liste de freebsd-security, le tarball de la dernier version d'openssh portable (openssh-3.4-p1) contient un shell code dans openbsd-compat/bf-test.c, qui sera lancé via Makefile.in si on fait un make.

Vous pouvez comparez avec un miroir :

ftp.openbsd.org (infecté) :
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz

ftp.lip6.org (non infecté):
ftp://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz

Il y avait un moment que je n'avais pas acheté de numéro de Login, mais je vois que ça n'a pas changé.

Je sais bien qu'on ne transforme pas un utilisateur de base en spécialiste sécurité en quelques pages de magazine, mais là c'est vraiment trop superficiel.

Deux exemples parmi d'autres :

- page 12 « Le principe de la redirection d'IP consiste à recevoir une requête sur un port x sur une carte réseau a sur le port y d'une carte reseau b. » J'ai respecté l'absence de ponctuation, qui ne facilite pas la compréhension :-)

- sur le CD, allez donc voir le fichier mlinux/sent/cur/1024404485.2842_7.gilbou:2,S ... Dans un numéro sur la sécurité on trouve un message personnel (qui parle d'envoi de 20$ dans une enveloppe !) ... Si le modérateur veut classer ça en "Humour", je suis d'accord :-)

Avis personnel : pour quelqu'un qui veut avoir une idée de ce que peut être la sécurisation d'une machine, je veux bien. Mais pour une sécurisation sérieuse, non.

NdM: ceci engage son auteur

Suite à l'appel de Virginie de Parinux pour la reprise du site MuttFr.org, quatre volontaires ont bien voulu mettre un petit coup de patte pour refaire vivre MuttFr (Sébastien Michel, Emmanuel Seyman, Lionel Bernardi et Aurélien Beaujean).

Après quelques petits debuggages du daCode de MuttFr (Merci Auré), le site est à nouveau disponible: http://muttfr.org/ et un canal IRC a aussi ouvert ses portes: muttfr@OPN. Nous attendons avec impatience votre visite et vos posts ! Si vous êtes sages, vous aurez même droit à une mailing list mutt-users-french.

A noter aussi la traduction (en cours) de la documentation de Mutt en Français par Cédric Duval. D'ailleurs si des gens veulent lui donner un petit coup de main ils sont les bienvenus.

Cette info est peut-être déja passée mais je voulais vous rappeler que
demain au 1 août 2002, Microsoft arrête les prix dit « Open Education »
qui permettaient d'acheter a bas prix les produits MS.
Nous les en remercions donc le choix sera donc clair car dans le même temps, SUN propose lui un prix spécial éduc pour la suite bureautique StarOffice 6.0. Ainsi que Lotus pour sa suite.

N'oublions pas qu'il existe aussi des produits gratuits et libres comme OpenOffice, Abiword (traitement de texte), gnumeric (tableur), etc...

Note du modérateur : sans parler des autres qualités du libre, comme l'indépendance, la liberté de choisir son matériel, etc.

Depuis quelques jours je suis en train de remettre à niveau mon Psion REVO+ et j'ai trouvé quelques projets (anciens pour la plupart) concernant ce type de PDA. Pour ceux qui sont intéressés :



The PLP Tools project permet de synchroniser le Psion avec notre Linux favori. La dernière version à ce jour (0.11) est sortie le 19 Juillet 2002.



SyOSsh est un terminal SSH v1 et 2 pour permettre à nos petites machines de se connecter sur nos serveurs Tux (ou autre) via un shell sécurisé. Il est basé sur l'excellent puTTY du monde Window$.



PsiLinux pour les plus courageux consiste ni plus ni moins que de se passer du système Epoc de Symbian et d'installer Linux (noyeau 2.4.18) sur le PDA de psion.

ELKS est sont équivalent pour les psion séries 3.



Pour celles et ceux qui veulent s'amuser un petit peu en cette période estivale ou le temps n'est pas de la partie... ;-D

Au sommaire de ce numéro, on trouve entre autres :

Un nouveau CommentFaire (HOWTO) de l'utilitaire Jigdo a été ajouté au Projet de documentation linux. Il permet de créer de manière simple des images ISO Debian.

Installer Gnome 2 sous Debian Woody.

Un compte rendu du processus de sortie de la Woody.

Arrêt du support des noyaux de versions antérieures à 2.2.0 pour la prochaine glibc de la Debian unstable.

Encore des nouvelles du futur installeur de la Debian Sarge ( nom de la testing ).

Support des architectures SuperH.

Plus les traditionnels nouveaux paquets, alertes de sécurité, et paquets orphelins.

On a entendu dernièrement parler du projet de loi aux États-Unis qui permetterait à la RIAA et à toutes les autres organisations du genre de pouvoir se faire justice eux même contre les réseaux P2P.

Or tout le week-end dernier, le site web de la RIAA a été attaqué par DoS, le rendant complètement innacessible de vendredi à lundi!

Celui qui veut pirater se fait maintenant pirater à son tour!

Apple et Sun Microsystem ont décidé de travailler pour créer une version de StarOffice qui fonctionne sous MacOS X! Une version commerciale devrait donc voir le jour en 2003 afin de concurrencer la suite Office de Microsoft qui est disponible aussi sous Mac.

Ca ne s'invente pas ! Microsoft prépare sa distribution Linux.
Au menu :
- Troubleshooting Daemon
- Automatic Computer Maintenance
- More Swap Space
- ...

Tout ca pour Novembre 2002 :-)

Note du modérateur : c'est un projet ancien, mais comme il reste peu de temps avant la sortie...

Xavier Leroy a annoncé la sortie de la version 3.05 d'Objective Caml hier.

OCaml est un langage fonctionnnel strict avec un noyau impératif et une couche objet. Il est l'un des plus avancés dans le domaine du typage fort. Il est portable et compile nativement avec des performances impressionantes à l'exécution.

Au menu :
OcamlDoc, très attendu
Ajout des méthodes polymorphes
La présence de Hashtables faibles en standard
Ajout du calcul complexe en natif
L'amélioration du GC

Et le traditionnel tas de corrections de bogues et d'améliorations.

Des failles de sécurité dans openssl 0.9.6d ou inférieur ou 0.9.7-beta2 ou inférieur ont été découvertes par A.L. Digital Ltd et The Bunker lors d'un audit de securité. Pas moins de 4 vulnerabilités sont exploitables.

Ce celèbre outil de dévelopement de sites webs tourne désormais grace à QT 3.0 et donc sous KDE 3.0!

Au programme, de nouvelles fonctionnalités dont l'autocompletion du code, des améliorations dans la barre d'outil et dans la gestion des DTD, ainsi que des bug fix.

personnelement, ce sera également l'occasion de faire disparaître ce bon vieux QT 2.0 ainsi que les restes de KDE 2.2 ;)

aviplay est un player divx qui évolue constament. L'une des dernières nouveautés est la possiblité de changer de codec pendant la lecture d'un fichier vidéo et de voir l'effet que cela fait. Plus besoin de relancer la lecture. On s'en doute, mais les codec ffmpeg sont généralement les plus performants.
L'un des avantages de aviplay est son interface graphique qui rend son utilisation assez intuitive. Pour choisir son codec, click bouton droit, player config, Decoder. Puis faire glisser le codec souhaite en haut de la liste.

Pour rappel, Franz et Emma, webmasters d'un site internet de défense de consommateurs, a été récemment condamnés à payer près de 80.000 Euros au père noël suite à l'ouverture d'un forum qui n'a pas fait plaisir à tout le monde...
Dans le but de réunir le maximum de fonds et d'aider les 2 webmasters à payer les 80.000 euros, un comité de soutiens vient tout juste de voir le jour et fait le point sur l'affaire et les différentes actions.
Je vous invite à aller faire un petit tour sur le site, et pourquoi pas les aider dans leurs collecte de fonds et actions.