Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.

OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.

Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).

Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.

Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.

Mozilla et la communauté Rust ont annoncé la version 0.10 de Rust le 3 avril. Rust est un langage de programmation développé par Mozilla. La version 0.1 a été annoncée par Mozilla le 20 janvier 2012. Pour découvrir le langage, on peut se référer au nouveau site web sur lequel on peut lire :

Rust est un langage de programmation système qui est extrêmement rapide, empêche presque tous les plantages et élimine les accès concurrent.

Rust se veut donc une alternative à C/C++, comme D et Go, et possède tout comme ces derniers un ramasse-miettes, mais qui est optionnel. Sa syntaxe est proche de celle du C/C++/Java tout en étant beaucoup plus expressif. Sa force est de mélanger les fonctionnalités de différents paradigmes, beaucoup venant du fonctionnel (immuabilité par défaut, modèle objet proche de celui d'Haskell, fermetures, etc). Il met l'accent sur la sûreté d'exécution, notamment grâce à son système élaboré de pointeurs intelligents et son système de types forts, sans sacrifier les performances.

Depuis la version 0.9, qui a fait l’objet d’une dépêche, les efforts ont notamment porté au cours des 1500 changements sur la simplification du langage. Le langage Rust n'est pas stabilisé, cela viendra avec la version 1.0.

Cette itération de développement a apporté le découpage de la bibliothèque libextra, introduit des extensions de syntaxe inter crate, amélioré la manipulation des pointeurs avec le trait Deref et la gestion des erreurs des entrées/sorties.
En dehors du compilateur, cette nouvelle version a vu l'introduction d'un nouveau processus de RFC ainsi que la construction quotidienne des installateurs binaires.

Des améliorations ont été données à l'infrastructure de tests et aux scripts de construction. Des installeurs sont désormais disponibles pour Linux, MacOS et Windows. Même si certains font tourner Rust sur ARM, ce n'est pas une architecture proposée dans la documentation.

Comme pour les précédentes versions, cette version 0.10 doit être considérée comme une version alpha, appropriée pour les adopteurs précoces et les amateurs de langages.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [Blogs LeMonde.fr] Des projets open-source qui changent le monde
• [ZDNet] Grenoble a une adjointe au maire déléguée à l'open data et veut utiliser des logiciels libres
• [PC INpact] Le site Internet du gouvernement passe à l’heure des Creative Commons
• [Numerama] La surveillance de masse contestée à nouveau devant la CEDH
• [metronews] Le nouveau patron de Mozilla contraint de démissionner pour ses prises de position homophobes
• [Rue89] Moi ministre du Numérique, je ne resterai pas longtemps ministre
• [Libération.fr] La neutralité du Net est un spot de combat
• [OpenSource.com] Logiciels et matériels libres font le bonheur de l'éducation
• [Le Figaro] Comment le «hackathon» réinvente l'innovation en entreprise

Dibab est un outil initialement écrit par Yann Le Doaré pour faciliter le développement de LinuxConsole 2.0, une distribution indépendante qui sert à transformer d’anciens ordinateurs en consoles de jeu (référencée sur Distrowatch depuis 2004).

Parallèlement à LinuxConsole, Dibab s’est étoffé pour produire différents CD vif (live-CD) et Live-USB optimisés pour les configurations modestes, mais qui contient des logiciels récents, qui ne sont pas forcément des jeux (LibreOffice, GIMP…).

C’est cette image ISO, baptisée récemment AlbatrOS 2.1, que présente cette dépêche. AlbatrOS est le nouveau nom de la distribution de base.

Un appel à projet sur l’éducation populaire et la jeunesse autour du numérique vient d’être lancé. Et nous, à la Maison du libre (mld29.net), dans la dynamique des Fabriques du ponant (consortium fondé entre Les petits débrouillards Bretagne, La Maison du Libre et Telecom Bretagne), nous avons créé un club d’informatique et d’électronique pour les jeunes qui a maintenant 4 ans d’existence (détails dans la seconde partie de la dépêche).

Nous (c’est pas encore défini si c’est la Maison du libre, les Fabriques du ponant et /ou le Patronage laïque Guérin) avons avec cet appel à projet l’envie d’étendre ce travail sur d’autres territoires bretons. Cela sera aussi pour nous l’occasion d’approfondir notre « club » avec des ouvertures le mercredi, et pendant les vacances scolaires.

Donc pour pouvoir étendre ce travail auprès des jeunes, nous recherchons des partenaires en Bretagne.

L'antenne lyonnaise de l'AFUP (Association Française des Utilisateurs de PHP) organise le 10 avril prochain une conférence sur le SGBD MySQL. Celle-ci sera animée par Olivier Zemrag, consultant MySQL chez Oracle.

La présentation abordera donc différentes thématiques, dont :

• comment retrouver des infos rapidement en cas d’erreur ;
• la configuration de MySQL ;
• des conseils au niveau de l’indexation ;
• des exemples d’utilisation de la base performance_schema.

La conférence aura lieu dans le grand amphithéâtre d’Epitech Lyon, au 86 boulevard Marius Vivier-Merle 69003 Lyon, à 18h30 le 10 avril 2014.

Les inscriptions à cette conférence gratuite se font sur cette page.

Open Food Facts a débuté il y a maintenant 2 ans, le temps passe vite ! Jusqu'à présent tous les efforts ont porté sur le fond plutôt que sur la forme : le projet se développe bien, la base de produits grandit et s'internationalise, mais il n'existe pas encore de structure juridique dédiée à Open Food Facts (le projet est pour l'instant "abrité" par l'entreprise unipersonnelle du fondateur dont l'activité principale est l'édition du site Recettes de Cuisine).

Le projet Open Food Facts est collaboratif et à but non lucratif, créer une association 1901 pour le porter est donc tout indiqué.

IPython est une console alternative principalement tournée vers l’exploration interactive des données. Comme tous les 6 mois maintenant (avec 3 mois de retard), la nouvelle version est publiée. Je vous invite à aller lire les dépêches précédentes si vous ne connaissez pas IPython.

Au‐delà d’une simple console Python, elle est aussi agnostique au niveau du langage en offrant une console Qt, un notebook Web (interface Web riche) et l’architecture pour y écrire dans son dialecte préféré.

Pour rappel, IPython 2.0 est la seconde des quatre versions qui seront publiées sur les fonds donnés par la fondation Sloan sur une durée de deux ans. Je vais ici vous présenter quelques nouveautés qui ont été développées lors des 9 derniers mois et vous donner un avant‐goût de ce qui est prévu pour le mois à venir.

Merci aux participants qui m’ont aidé à rédiger cette dépêche, corrigeant les fautes d’orthographe et les anglicismes.

Cette année le thème Cloud Libre du salon Solutions Linux, Libres et Open Source (20 & 21 mai 2014 - CNIT - Paris La Défense) va s'orienter vers les déploiements effectifs de projets de l'IaaS au PaaS en passant par l'orchestration. Retours d'expériences, solutions émergentes, quelles sont les différentes technologies pour monter et industrialiser ses déploiements et la gestion de son infrastructure ?

Le thème comprend une table ronde du IaaS au PaaS : un écosystème de solutions libres ! et sept conférences spécifiques (mots-clés cloud ouvert, Prism, ownCloud, dpdk.org, Solum, OpenStack, Shinken, Hadoop) détaillées en seconde partie de dépêche.

La Fondation Blender nous avait promis quelque chose de gros lorsqu'elle avait annoncé en 2011 son prochain projet de film libre, le projet Gooseberry. Aujourd'hui les ambitions se concrétisent et la fondation a mis en place une campagne de dons pour financer le projet.

NdM: Le projet a annoncé la prolongation de la campagne de don jusqu'au 18 mai.

Il y a un an démarrait le projet wallabag (qui s’appelait alors poche). C’est une application qui vous permet de mettre de côté un article que vous souhaitez lire plus tard. Ce n’est pas uniquement un gestionnaire de favoris pour sauvegarder un lien, ça sauvegarde également tout le contenu de l’article et uniquement le contenu (c’est‐à‐dire que les éléments superflus — comme la publicité — ne sont pas conservés).

Un nouvelle version vient de sortir ce 3 avril et voici les nouveautés.

Un apéro Python aura lieu à Lyon le mercredi 23 avril à partir de 20h à l'Antre Autre (11 rue Terme, Lyon 1er). Un AFPyro est un moment convivial où les Pythonistes peuvent échanger librement autour d’un verre ou d’une assiette.

Une présentation sur WTForms sera faite. WTForms est une bibliothèque permettant de faciliter la gestion des formulaires dans une application web.

L’équipe de FusionDirectory est heureuse de vous annoncer la publication de la version 1.0.7.3 de FusionDirectory. Pour ceux qui ne connaissent pas FusionDirectory, il s’agit d’un gestionnaire d’infrastructure. Il est à LDAP ce que Webmin pouvait être à NIS/NIS+ : une interface Web modulaire de gestion complète d’un annuaire LDAP. Sa modularité permet d’offrir aussi la gestion de services qui ne sont pas directement interopérables avec LDAP.

La version 1.0.7.3, qui est une version de maintenance, apporte des correctifs importants ainsi que de petites corrections.

Le groupe d'utilisateurs de Logiciels Libres de Toulouse Toulibre en collaboration avec Tetaneutral.net fournisseur d'accès internet et hébergeur libre proposent aux sympathisants de se retrouver l'un des mardis ou jeudis de chaque mois pour échanger autour des logiciels Libres, des réseaux libres, discuter de nos projets respectifs et lancer des initiatives locales autour du Libre. Ce repas est ouvert à tous, amateurs de l'esprit du Libre, débutants ou techniciens chevronnés.

La sortie de la version stable 3.14 du noyau Linux vient d’être annoncée par Linus Torvalds. Le nouveau noyau est, comme d’habitude, téléchargeable sur les serveurs du site kernel.org. Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche.

Bon, ça c’est fait ! 
Mais Linus vous réserve bien d’autres nouveautés… :)