Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Mozilla (<=1.7.1) et Firefox (<=0.9.2) sont victimes de deux failles importantes de sécurité.
Un code malveillant permet de faire croire qu'un site possède un certificat de sécurité alors qu'il n'en a pas.

Plus grave, un attaquant peut écraser les certificats racines de l'autorité de certification.

Ces deux bugs ont été corrigés dans les sources mais il n'existe pas encore de version compilée disponible pour le public. L'équipe Mozilla ne sachant pas encore si elle doit faire une nouvelle version ou distribuer un patch. (NdM : a priori, pour ce qui est de Firefox, il n'y aura pas de nouvelle version avant la 1.0rc1 prévue pour le 10 août.)

Mise à jour : Firefox 0.9.3, Mozilla 1.7.2 et Thunderbird 0.7.3 sont sortis officiellement. (voir les problèmes de sécurité corrigés). Merci à EppO pour l'information.

L'été n'est pas terminé et Diamond édition a la bonne idée de sortir deux hors-séries en attendant le retour des mensuels à la rentrée. GNU/Linux Magazine France met à jour son Hors-série sur Gimp et Presqu'Offert vous propose de jouer sous Linux pendant vos vacances. Notez aussi que le dernier RedHat Magazine est aussi sorti depuis fin juillet.

Bonnes Lectures

BSDeviant est un projet lancé par les membres de la communauté du site unixpunx.org. Son objectif, qui était de proposer un Unix libre et abordable par des débutants sous forme de LiveCD, est aujourd'hui atteint.
Le CD (dont le contenu tient sur un mini-CD) contient le noyau et les outils FreeBSD, un serveur X, des applications orientées réseau (client IRC, navigateur web), ainsi que quelques outils de sécurité (bsd-airtool, snort).
Même si on peut regretter le manque de documentation ou le choix de certains logiciels (Opera, navigateur web non libre), ce LiveCD n'en reste pas moins une bonne occasion de découvrir un autre *nix libre de qualité, sans pour autant sacrifier une machine.

Considéré comme l'un des plus importants architectes du plan Copernic, et comme l'un des soutiens les mieux éclairés au "libre" et à GNU/Linux dans l'administration française, Jean-Marie Lapeyre nous livre ses impressions sur 4 années de réformes essentielles pour l'administration et les citoyens.

Le programme Copernic vise à refondre le système d'information fiscal et est commandité à la fois par la Direction Générale des Impôts (DGI) et la Direction Générale de la Comptabilité Publique (Trésor Public), qui sont rattachées au Ministère de l'Économie, des Finances et de l'Industrie. La réalisation la plus connue de ce programme est le système de télé-consultation et de télé-déclaration de l'impôt sur le revenu.

C'est aussi notamment dans le cadre ce programme que l'administration françaises adopte petit à petit de plus en plus de solutions libres pour son infrastructure informatique.

La prochaine version de GNOME devrait être disponible sur les serveurs le 15 septembre prochain.

David Madeley (un des développeurs de Drivel, un client LiveJournal pour Gnome) a créé une page présentant en images les nouveautés probables de GNOME 2.8 et les améliorations de l'environnement de bureau.

Dans le cadre d'un entretien, Alex Larsson évoque également l'avenir de GNOME concernant les logiciels dont il a la responsabilité (Nautilus et GNOME-VFS).

Une faille de sécurité vient d'être découverte par l'organisation non-commerciale iSEC Security Research dans les noyaux <=2.4.26 et <=2.6.7.
La vulnérabilité se trouve dans le code gérant les pointeurs de position dans les fichiers 64bit. Ainsi n'importe quel processus utilisant ce bug pourrait lire des pages entières de la mémoire du noyau.

Les correctifs pour la RedHat Enterprise Linux sont déjà en ligne.
Pour la branche 2.4, la version 2.4.27-rc5 (qui devrait dans quelques jours être stable) corrige déjà le problème.
Mise à jour : le 2.4.27 est sorti. Voici le changelog.

Après l'étude montrant que le noyau Linux utilise des techniques couvertes par 283 brevets, IBM a déclaré, via un de ses vice-présidents à LinuxWorld, qu'il n'a pas l'intention de faire appliquer ses (nombreux) brevets cités (*). Il enjoint également les autres compagnies à faire de même.

Après 2 mois et demi de développement, la version 2.34 de Blender est disponible.

Beaucoup d'améliorations et de nouveautés sont au programme, mais aussi 270 bugs corrigés, sur un total de 300 du bug tracker !

NdM : pour rappel, Blender est une solution complète pour la création 3D. Il gère notamment la modélisation, l'animation, le rendu et la post-production pour la création de contenus interactifs ou visuels. À l'origine logiciel propriétaire, il a été libéré par son éditeur (NaN) il y a environ 2 ans.

Coup sur coup, les deux principaux constructeurs de cartes vidéos grand public ont annoncé la mise à disposition de leurs dernières versions (3.1.11 pour ATI et 1.0-6111 pour Nvidia) de pilotes pour Linux.

Malgré l'opposition de certains envers ces pilotes propriétaires, cela permettra à ceux qui veulent jouer à Doom3 sur leur OS favori de profiter de performances proches de celles sous Microsoft Windows.

Après plusieurs années de développement, puis leur réécriture complète débutée il y a environ un an, les Enlightenment Foundation Library viennent enfin d'entrer en Preview Release.
Ces bibliothèques sont à la base de la prochaine version du gestionnaire de fenêtres Enlightenment E17.

NdM : merci à Fanf pour avoir également proposé cette nouvelle.

Depuis quelques jours (samedi 31 juillet) plusieurs membres du P:L:O:U:G et de Tuxbihan tiennent une permanence au Festival Interceltique de Lorient.

Une permanence riche en rencontres avec un public très divers (lire et voir les photos sur le site de Tuxbihan).

Le Festival se termine ce week end, il est donc encore possible de passer voir ceux qui tiennent la permanence sur le stand. Plus d'infos sur le site de Tuxbihan.

Suite à l'achat d'un ordinateur portable sur le site de Dell, j'ai refusé le Contrat de Licence d'Utilisateur Final de Windows. Dell a refusé de reprendre le logiciel malgré la clause du-dit CLUF dont il est contractant (puisqu'il s'agit d'un contrat OEM).

Un remboursement de 275¤ m'a été proposé ; il s'agit du premier remboursement pour le Groupe de Travail Détaxe de l'AFUL depuis août 2003.

La FFII vient d'annoncer que la ville de Munich suspendait temporairement sa migration vers des solutions libres pour des raisons de violations de brevets. L'initiative serait en effet en conflit avec plus de 50 brevets logiciels. Avec l'incertitude qui règne concernant les brevets logiciels en Europe, les responsables ont décidé de geler le projet et de raisonner leurs autorités sur la question des brevets logiciels.

Les conséquences peuvent être de deux natures: ou bien l'action porte ses fruits en pesant sur le débat des brevets, ou bien la migration de Munich pourrait se voir compromise.

HP/Compaq mettent à disposition en standard une distribution Linux Suse sur leur gamme d'ordinateurs portables nx5000.
Certains considéreront cela comme une avancée sur un marché ou les OS Microsoft sont imposés, mais en y regardant de plus près, il reste encore beaucoup d'efforts à faire.