La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).

Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).

Le site distrowatch propose un excellent article concernant les désavantages du format rpm. Ils passent en revue tous les problèmes liés à ce format qui font que de plus en plus de gens passent de redhat, mandrake ou suse vers gentoo, debian ou même slackware selon leurs statistiques.
En effet, la fragmentation causée par la faiblesse du système de dépendances et par les libertés prisent par chaque distribution commencent à lasser les utilisateurs et les développeurs. À l'heure actuelle, pour que l'installation d'un RPM trouvé sur le net se passe bien, il faut vérifier qu'il corresponde à sa distribution, que ça soit la bonne version de la distribution et la bonne version de RPM Manager et prier pour qu'il n'y ait pas une bibliothèque exotique à installer.
Les distributions à base de rpm ont bien compris le danger et essayent de résoudre le problème en implantant des solutions (différentes et limitées) à la apt-get ou en s'alliant (unitedLinux). Il y a aussi la LSB qui tente de résoudre ce problème mais elle est elle-même basée sur le rpm grâce à la pression de redhat et ne fait qu'harmoniser un peu l'arborescence des distributions.
En attendant, les Linuxiens sont de plus en plus lassés par le RPM et s'en vont vers des distributions avec des formats de packages plus standards et performants.

Gnome 2.0 vient d'arriver, avec pour l'occasion un site web relooké.

Il est disponible en sources, Mandrake Cooker, FreeBSD, Ximian Gnome, Solaris et Debian !

Parmi les améliorations :
- Une meilleure gestion multilingue (Gtk+-2 apporte - enfin ! - l'unicode)
- Un meilleur rendu graphique: polices lissées, icones avec canal alpha optimisé
- Une amélioration de l'ergonomie par une approche plus rationelle de l'IHM
En outre, l'on remarquera :
- La prise en compte de l'accessibilité
- L'utilisation massive du XML
Gnome comble ainsi de nombreuses lacunes par rapport à son concurrent KDE, tout en apportant des innovations.

Note du Modérateur:
Merci aussi à GreenPenguin Yusei hicham et Jean pour l'information

• Comment contribuer aux nouvelles hebdo.


• La vraie raison du côté magique d'APT, c'est la qualité des paquets


• Paquets XFree86 4.2.0, ainsi qu'un mini-HOWTO sur le sujet


• Debian utilisée dans les écoles françaises


• Mise à jour de la « Référence des développeurs »


• Résumé des commentaires sur la pré-version de la GNU FDL 1.2. Branden opterait plutôt pour une Debian Free Content License (DFCL)


• Limitations supplémentaires avec la GPL ? Pas de clause publicitaire


• Beautifier le code Java ?


• Flyers multilingues Debian


• Installeur Woody basé sur PGI


• Réorganisation de la doc Debian


• Faciliter les traductions des pages web Debian, par Denis Barbier


• Debian au 35è rang de la liste des super-ordinateurs


• Sécurité : Apache, Apache-SSL, Apache-Perl, OpenSSH


• Paquets nouveaux ou importants : dansguardian, ebview, gkrelldnet, gmessage, gnutls0.4, imageviewer, info2man, ipband, lurker, mailsync, nofgpg, postal, python-pisock, python-slides, quixote, smalleiffel, tau, tcc, texify


• Paquets orphelins (79) : cxhextris, secpanel


• NdR. : Mozilla 1.0 a fait son entrée dans la Woody

ISS, peu après avoir dévoilé le problème sur Apache, avait annoncé qu'ils travaillaient sur une faille d'un autre logiciel libre (en annonçant cette fois-ci que la démarche serait un peu différente !).
Encore Bind ? Sendmail ? Squid ?
Et bien non, OpenSSH... :-(

Les détails sur la faille ne sont pas encore connus mais on sait d'ors et déjà de la bouche de Théo de Raadt lui-même qu'elle sera exploitable à distance, sauf si la séparation de privilège récemment apparue est activée (« UsePrivilegeSeparation yes » dans sshd_config). Peu de distributions Linux proposent cette option pour le moment mais j'espère sincèrement qu'ils vont tous s'atteler pour que ce soit le cas avant la semaine prochaine, date fatidique à laquelle seront dévoilés les détails de l'exploit (et je pense qu'un exploit pas forcèment de Gobbles ne tardera pas à suivre...)

Plus de détails sur LinuxSecurity.com

Note d'un autre modérateur : voir sur debianplanet.org la source apt Debian pour avoir les paquets ssh et apache corrigés pour Woody, ainsi que Mozilla 1.0

Au programme cette semaine :

• Excuse pour les deux dernières semaines sans DWN


• Nouvelle infrastructure de compilation pour l'équipe sécurité (NdR : cf dépêche précédente)


• Le point sur la Woody : encore quelques bogues à corriger


• Nouvelles images mini-CD non officielles de la Woody


• Projet Gibraltar de pare-feu, basé sur Debian


• Debian pour votre home stereo ?


• Debian au Berliner Linux Infotage ?


• Debian au Linux.conf.au 2003 ?


• Sondage chez les développeurs Debian


• Debian au LinuxTag 2002 (dont une discussion avec UnitedLinux)


• Debian au Linux@work Roadshow


• Optimiser Debian pour les différents processeurs ?


• Meilleures techniques d'empaquetage, acte 2


• Listes des souhaits pour l'après Woody


• Nouvelle proposition de politique pour les dicos


• UKUUG Linux Developer Conference 2002


• Paquets non installables dans la Woody


• Annonce de la Woody : dernier appel à commentaires


• La saga Automake


• Guide du développeur pour les mises à jour de sécurité


• Debian sur Zaurus


• Conception d'un programme apt-src


• Une machine SE Linux de test


• Sécurité : UUCP, ethereal


• Paquets nouveaux ou importants : atapci, automake1.6, cpcieject, david, fags, gael, generator, gg-kde, glade-2, gnomemeeting2, gnump3d, gshield, hearse, linda, mklibs, moobot, openh323gk, pinball, python-jabber, qemacs, restartd, rosegarden4, simpleproxy, sjeng, unlambda, vimacs (!), wmget, xdfssrv, xmlto, zec


• Paquets orphelins : gravitywars, w-bassman

Les paquets tant attendus de Xfree4.2 pour debian sont enfin arrivés !
Et ils sont bien sûr expérimentaux ;-).

Il suffit d'ajouter dans /etc/apt/sources.list :

deb http://people.debian.org/~branden/ sid/$(ARCH)/

ou pour les sources:

deb-src http://people.debian.org/~branden/ sid/source/

Voilà qui fera taire tous les trolls... (NdM : tu rêves)

PS : à noter que xdm ne marche pas, et il est _très_ conseillé d'utiliser les miroirs...

Anthony Towns (responsable de la sortie de la Woody) a publié sur la liste de diffusion debian-devel-announce le point sur la nouvelle architecture sécurité Debian, point bloquant pour la sortie de la 3.0.

Le nombre d'architectures supportées (x86, sparc, alpha, etc) a doublé entre la Potato et la Woody, doublant ainsi le travail de l'équipe sécurité. Un certain nombre de tâches faites jusqu'ici à la main doivent donc être automatisées pour accélérer la sortie des correctifs et soulager l'équipe sécurité (le logiciel de courrier de AT pense la même chose « Organisation: Lacking » ).

Depuis le 1er Juin, la nouvelle version 1.1 du driver sous licence GPL pour le modem adsl speedtouch USB est disponible.
La dépêche sur le site du pilote nous promet même un paquet Debian prochainement, alors mesdames et messieurs les heureux possesseurs de Speedtouch, bon téléchargement.

La distribution « Debian GNU/Linux pour l'éducation » est disponible en téléchargement.
Elle a été réalisée par Logidée, à l'initiative du Centre National de Documentation Pédagogique (CNDP) avec le concours du Conseil Général de Seine et Marne (CG77) et du Centre Départemental de Documentaion Pédagogique de Seine et Marne (CDDP77).
La suite en suivant les liens...

• Un article des nouvelles hebdo. recopié dans le journal australien Sydney Morning Herald


• Discussion sur la surveillance de la bande passante


• Problème de configuration d'apt sur la fonction « pinning »


• Faire un paquet WineX (NdR. : cf autre dépêche)


• Nouveaux flyers Debian


• Paquets nouveaux ou importants : ccmsn, chrootuid, ecb, euler, fluxconf, goo, gorm, gpgp, gradm, gween, hitop, jpilot-syncmal, mooix, owl, privoxy, projectcenter, pymol, qcl, sitemap, splint, xbvl, zwm

Suite à une discussion plus ou moins houleuse sur les mailing-lists Debian, voici un mail qui décrit relativement bien la position de Transgaming sur le logiciel libre.

En résumé : actuellement, WineX est basé sur ReWind, un fork de Wine resté sous licence X11 (rappelons que Wine est passé sous licence LGPL sous l'influence de Codeweavers), qui récupère les modifications des développeurs acceptant cette licence. WineX est diffusé sous la licence Aladdin, non libre mais permettant la redistribution des sources et des binaires. Mais suite à l'annonce de la disponibilité prochaine d'un paquet Debian, Transgaming a demandé que ce paquet ne soit pas fait, histoire de ne pas « être obligés de changer la licence pour empêcher la redistribution » !

Bref, un logiciel déjà pas très libre, mais en pratique pas libre du tout, puisqu'on vous menace de retirer les droits de redistribution pour la prochaine version...

L'auteur du mail conclut sur une demande expresse aux développeurs du libre de ne pas contribuer aux projets sous licences non copyleftées, afin d'éviter ce genre de dérives.

C'est fait : il est désormais possible d'acheter un portable ou un serveur en rack 1U en ligne, à un prix accessible, sous GNU/Linux et sans verser 1 seul centime à M. G. J'en avais besoin pour mes clients, je n'ai pas trouvé alors je l'ai fait et ça s'appelle Storever. Le site comporte quelques spécificités très linuxiennes (ex. le choix des partitions et du système de fichiers). J'ai choisi deux distributions vraiment libres que j'apprécie : Debian et Mandrake. En dehors de cela, le code du site (basé sur Zope et MMMShop) est dispo en GPL et je donne le nom de mes fournisseurs et des composants utilisés. Libre à chacun de monter un site concurrent pour faire croître le marché du logiciel libre !

Jean-Paul (jp@nexedi.com)

Comme certains le savent déjà, KDE 3 ne sera disponible chez Debian qu'après la sortie des paquets XFree 4.2.

En attendant, quelques personnes on fait des paquets non officiels de KDE 3.0.1. Ces paquets REMPLACENT ceux de KDE 2.2.2. Ceci dit, ils sont fonctionnels et quasiments stables (j'ai eu 2 plantages, mais c'était en 3.0.0).

D'une façon générale, cette version de KDE me semble plus rapide, notament konqueror. Quelques détails, comme les semi-transparences des menus (merci Angel-wNw pour l'info), la rendent visuellement attrayante. A vous de la découvrir plus en avant.


Voici la ligne à ajouter à votre source list :

deb http://kde3.geniussystems.net/debian ./

Bonne mise à jour.

Le projet AGNULA (A GNU/Linux Audio distribution) soutenu par la Commission Européenne a commencé le 1er avril.

Le but de ce projet est de développer deux distributions GNU/Linux (l'une basée sur Debian (DeMuDi) et l'autre sur RedHat (ReHMuDi)) dédiées à l'audio et au multimedia.

Ces distributions seront entièrement basées sur du logiciel libre (sous des licences approuvées par la FSF).