Une nouvelle version de la distribution Debian GNU est dans les bacs sur tous les bons ftp.
C'est la version K5 des images GNU qui tient sur six CDs, mais seuls quatre sont en lignes (les deux autres contiennent des paquets qui ne marchent pas vraiment, mais restent accessibles via apt-get). Grande nouveauté, la disponibilité d'une mini-iso de moins de 30Mo pour un téléchargement plus rapide.
Les sources de GNUmach sont disponibles sur le CD d'installation afin de pouvoir le recompiler si des fois certains matériels (comme les cartes réseaux) ne sont pas disponibles dans le micro noyau livré par défaut.
Niveau logiciel, un certain nombre de mises à jour sympa comme GNUmach 1.3, MiG 1.3, XFree 4.3, ... à découvrir.
Pour les problèmes d'installation n'hésitez pas à passer nous voir sur l'irc #hurdfr sur freenode, il y a quelques subtilités et certaines docs sont moyennement à jour.

Autrement, le patch de Ognyan Kulev pour disposer de systèmes de fichiers de plus de 2Go est passé en version béta. Ce patch intégrera prochainement la journalisation et d'autres choses.

Pour ceux qui n'étaient pas au courant, le site de news de Hurdfr est de retour depuis quelque temps, le site http://hurdfr.org est en pleine refonte et devrait revenir prochainement.

Amusez vous bien avec le Hurd !

Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).

Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.

L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).

Pensez à mettre à jour vos noyaux !

NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.

Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.

Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.

Une nouvelle version de la distribution livecd MEPIS vient de sortir.

Pour rappel, c'est une distribution basee sur Debian mais utilisant un noyau standard patché pour maximiser la compatibilité matérielle et qui peut être utilisé soit directement à partir du cd soit après installation)

Parmi les nouveautés :

- un centre de contrôle (MEPIS System Center) pour paramétrer simplement la machine (paramétrage réseau, WiFi, provenance des paquets apt, identification réseau, clavier/langues, effaçage des logs système, la souris, l'affichage de X, etc.).

- un utilitaire (MEPIS User Utilities) pour configurer des choses utiles comme le filtrage du spam ou le vidage des caches.

- un autoconfig pour détecter le matériel (fonctionne parfaitement sur mon ordianteur portable IBM thinkpad t40p et détecte tout le matériel sans souci).

- les interfaces des deux outils MEPIS System Center et MEPIS User Utilities ont ete francisées, et il est possible a partir du MEPIS System Center d'être assistée pour l'installation des paquets de localisation.

(note : toutes les bonnes âmes sont les bienvenues pour participer à l'avenir de cette distribution : team@mepis.org - et je suis plus interessé par les retours sur la traduction)