La typologie cathédrale/bazar pour décrire deux modes de développement du Logiciel Libre / Open Source a été établie par Eric S. Raymond il y a bientôt 30 ans. Depuis, les grands exemples de cathédrales se sont transformés en bazars et ce modèle a été largement adopté1 par la plupart des projets de Logiciel Libre. C'est à dire que les modification du code sont publiée en temps plus ou moins réel sans attendre qu'une nouvelle version (…)
Ces derniers jours LinuxFr.org a décidé de rapporter toutes les failles du noyau Linux qui ont un cool nom avec quelques heures/jours de retard. Celle-ci n'a pas de cool nom, ce qui explique sans doute pourquoi personne n'a encore écrit de journal ou de lien. Ici je vais juste détailler la ligne du temps de la divulgation.
2020-10-16 Jann Horn propose un correctif de sécurité à linux-mm
2020-10-17 Jann Horn fait une deuxième tentative
[le correctif n'est jamais accepté]
2026-05- (…)
Avant de lire plus loin, s'il vous plait, lancez sudo systemctl disable --now cups-browsed.
Plusieurs failles de sécurité ont été publiées concernant le serveur d'impression Linux CUPS et des logiciels qui y sont liés. Combinées, elles permettent à un utilisateur distant de faire exécuter du code en tant que root lp lors d'une impression initiée par un utilisateur du système. [EDIT : retrait de la mention d'élévation de privilège vers root]
La plupart des systèmes Linux de bureau activent (…)
John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.
La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.
Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.
Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.