Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Note : cette dépêche est une traduction de l'annonce officielle de la sortie de GIMP 2.99.18 du 21 février 2024 (en anglais).

Voici enfin la dernière version de développement avant GIMP 3 ! Bien que la sortie de la version 2.99.18 soit un peu en retard par rapport au planning espéré, celle-ci contient un certain nombre de fonctionnalités et d'améliorations que nous sommes ravis de pouvoir partager avec vous.

⚠️ ☢️ Nous vous rappelons qu'une version de développement sert à présenter les travaux en cours, mais vous permet aussi de détecter et signaler les problèmes au plus tôt. En d'autres termes, cette version est instable et nous ne recommandons pas son usage en production. Utilisez-là parce que vous voulez aider à améliorer GIMP en signalant des bogues.

En particulier, cette version 2.99.18 est peut-être l'une des versions les plus instables de la série 2.99 à cause du projet « space invasion » (NDT : « invasion venue de l'espace », un jeu de mots avec l'anglais colorspace signifiant espace de couleurs). Cela est parfaitement attendu et normal. ⚠️ ☢️

Avec son plus d’un quart de siècle, il serait temps que LinuxFr se penche sur un sujet qui concerne la population en situation de procréer, soit quelques milliards d’individus, et qui concerne aussi à peu près tout le monde puisqu’il est question de données privées sensibles ; soit encore plus de milliards de personnes. Vous l’avez probablement deviné, il sera donc question des cycles féminins, des applis sous licences libres pour Android servant à le suivre et des données qu’elles récoltent, et également de suggestions d’alternatives.

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [cio-online.com] IA générative: davantage de modèles et davantage d'Open Source
• [Le Café pédagogique] Stéphane Deudon: vers une école du Libre?
• [LeMagIT] SGBD: Redis s’éloigne, lui aussi, de l’open source

Après une première position sur Solidatech en 2020, l'April a passé à nouveau du temps pour étudier et comprendre la place des structures Solidatech et Techsoup en France.

Cloonix est un outil d’aide à la construction de réseau virtuel. Il est basé sur Open vSwitch pour l’émulation du réseau constitué de switchs et LANs virtuels, sur crun et les namespaces pour la gestion de conteneurs et sur KVM pour ce qui concerne l’émulation des machines complètes.
Cloonix peut être considéré comme un hyperviseur qui permet de lancer des scénarios de démonstration impliquant des réseaux connectant de nombreuses machines virtuelles ou conteneurs. Ce logiciel open source permet d’automatiser et de rejouer des scénarios complets.

FRR est le logiciel open source qui permet de transformer une machine Linux en l’équivalent d’un routeur professionnel, ce logiciel implémente tous les protocoles de routage classique.

Podman est exactement comme Docker, un gestionnaire de conteneur.

Le but de cette dépêche est de présenter une démonstration qui tourne dans un podman et qui met en œuvre un réseau d’une soixantaine de conteneurs et qui peut être lancé en tant qu’utilisateur simple sans les droits root.

Il y a le lien « demo » qui montre une vidéo un peu accélérée de cette démonstration qui démarre les machines, les configure et les met en réseau. On peut ensuite y voir la convergence du protocole OSPF.

Suite à la dépêche Comparatif : GrapheneOS vs LineageOS, je souhaitais faire part d’un retour d’expérience sur l’utilisation de GrapheneOS sur un téléphone Android Pixel 7a. Ce commentaire est repris ici sous forme de dépêche.

Deux cent troisième émission « Libre à vous ! » de l’April. Podcast et programme :

• sujet principal : les logiciels libres pour les journalistes d’investigation avec Caroline Desprat et Maxime Vanza Lutonda du Consortium international des journalistes d’investigation (ICIJ)
• chronique de Gee « Canonical a 20 ans »
• chronique de Vincent Calame sur « Un journalisme héroïque »

The Document Foundation, TDF pour les intimes, la fondation qui chapeaute la suite bureautique libre LibreOffice, a élu, le 19 février 2024 son nouveau Conseil d’administration, à sa tête Eliane Domingos de Souza. Elle est élue pour deux ans. C’est aussi une bonne opportunité pour évoquer rapidement le fonctionnement de TDF et le rôle du conseil d’administration (BoD).

Calendrier Web, regroupant des événements liés au Libre (logiciel, salon, atelier, install party, conférence), annoncés par leurs organisateurs. Voici un récapitulatif de la semaine à venir. Le détail de chacun de ces 51 événements (France: 47, internet: 1, Suisse: 1, Belgique: 1, Québec: 1) est en seconde partie de dépêche.

Les deux versions sont basées sur Android 14 et je vous propose un retour d’expérience assez peu technique et amateur mais qui permettra peut-être des découvertes à certains lecteurs et lectrices ! :) Ça n’est pas un compte-rendu minutieux et spécialisé.

GrapheneOS vise principalement la sécurité et la vie privée, pour ce faire, l’OS s’arrange à compartimenter les usages (les applications, les contacts, etc.), à promouvoir des pratiques moins permissives et à offrir des arrangements techniques dont il ne sera pas vraiment question ici. GrapheneOS n’est compatible qu’avec les smartphones Google Pixel et surtout avec les plus récents car l’équipe s’aligne sur le support officiel.

LineageOS est plutôt destiné à ceux qui désirent un AOSP (Android Open Source Project) un peu personnalisé. On y gagne une compatibilité avec de nombreux appareils, des mises à jour qui dépassent celles des constructeurs (souvent), des facilités de personnalisation. L’appareil est « plutôt » dégooglisé mais pas totalement ; ce n’est pas vraiment son but essentiel.

Maxim Dounin, l'un des principaux développeurs de NGINX (il est Nginx disent même certains) se barre et crée un fork.

Nginx est l'un des principaux serveurs web, voire le plus utilisé mais ça dépend des statistiques. Il est réputé pour sa vitesse, sa légèreté et sa solidité. La version libre est au coeur d'Nginx, aussi costaud, rapide et sécurisée que la version avec quelques extensions propriétaire. Malheureusement, ça pourrait ne plus être le cas :

En 2019, F5 Networks a racheté la société derrière Nginx. En 2022, F5 a fermé les bureaux de Moscou, signant un accord avec Maxim Dounin qui continuait bénévolement à travailler sur Nginx. Ayant quitté la société, il veillait sur cette pièce essentielle du web et du libre. Or en 2024, la nouvelle direction d'F5 n'entend que pouic à la technique et se focalise sur le marché. Elle s'est mêlée des questions de sécurité, préférant une version libre moins robuste afin de vendre plus de prestations — d'après Maxim Dounin.

Le 14 février, il en a eu marre et a lancé le projet Freenginx pour garantir un développement sans interférences marketing.

Nous continuons sur notre lancée de récompenser celles et ceux qui chaque mois contribuent au site LinuxFr.org (dépêches, commentaires, logo, journaux, correctifs, etc.). Vous n’êtes pas sans risquer de gagner un livre des éditions Eyrolles, ENI et D-Booker. Voici les gagnants du mois de février 2024 :

• Thomas Debesse , pour sa dépêche « Une balade au FOSDEM » ;
• Andre Rodier, pour sa dépêche « Pratiques dans l'industrie ferroviaire : un train de retard… » ;
• Christophe, pour sa dépêche « Sortie de LuneOS « Eiskaffee » » ;
• Stinouff, pour sa dépêche « Comparatif : GrapheneOS vs LineageOS » ;
• denissalem, pour sa dépêche « VenC 3.1.1 | Un nouveau générateur de site statique  » ;
• abriotde, pour sa dépêche « Un annuaire des producteurs locaux en Open-Source » ;
• Maclag, pour sa dépêche « Google retire Conversations du magasin Play (Play Store) ».

Les livres gagnés sont détaillés en seconde partie de la dépêche. N’oubliez pas de contribuer, LinuxFr.org vit pour vous et par vous !

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [ICTjournal] Cyber Resilience Act adopté: les députés de l'UE répondent aux demandes de la communauté open source
• [RFI] Elon Musk lance la bagarre des IA en promettant une intelligence artificielle en accès libre
• [l'Informé] Offensive au Conseil d’État contre l’hébergement de nos données de santé par Microsoft (€)
• [InformatiqueNews.fr] Open source et télétravail: 2 piliers similaires du Future of Work

Ubix Linux est une distribution Linux libre et open-source dérivée de Debian.

Le nom « Ubix » est la forme contractée de « Ubics », acronyme issu de l'anglais Universal business intelligence computer system. De fait, le principal objectif d'Ubix Linux est d'offrir une plateforme universelle dédiée à l'informatique décisionnelle et à l'analyse des données.

Il s'agit d'une solution verticale, prête à l'emploi, dédiée à la manipulation des données et à la prise de décision. Allégée par conception, elle n'embarque qu'un jeu limité d'outils spécialisés dans ce domaine. Ceux-ci permettent néanmoins de couvrir tous les besoins dont l'acquisition, la transformation, l'analyse et la présentation des données.