Une nouvelle vulnérabilité a été découverte le 09 juin 2004 concernant tous les noyaux 2.4.x et 2.6.x (détails des noyaux non vulnérables dans l'annonce en anglais).

Cette faille nécessite un accès local à la machine et peut s'exécuter par la compilation d'un simple programme en C. Le bug a été également reporté dans le bugzilla de GCC (versions affectées 2.96, 3.0, 3.1, 3.2, 3.3 et 3.3.2).

Le patch concerne un simple changement de ligne sur la fonction clear_fpu() changeant l'appel asm volatile de ("fwait") vers ("fnclex ; fwait").

Le lien comporte un patch pour 2.4.x, 2.6.x et le test permettant de tester votre système, il est recommandé de synchroniser les systèmes de fichiers avant de tenter l'exploit.

La version 2.6.6 du noyau Linux est sortie lundi.
Cette nouvelle version apporte son lot de corrections et de nouvelles fonctionnalités, comme toutes les versions 2.6 jusqu'ici. Les choses semblent commencer à se stabiliser, malgré un patch de 2.4 Mo.

Parmi les nouveautés on notera :
- modifications des systèmes de fichiers ;
- mise à jour de pilotes de périphériques ;
- intégration du patch "laptop mode" ;
- nouvel algorithme de congestion TCP ;
- intégration du patch de non exécution de la pile.

NdM: Merci également à Maherb.

Alors que le 2.6 fait beaucoup parler de lui, le 2.4 continue son avancée avec le 2.4.26, il contient de nombreux changements dont :

- Correction de débordement de mémoire sur la fonction do_fork()
- Correction d'un débordement potentiel de lien symbolique sur iso9660
- Corrections ACPI, USB et IPV6
- Nombreuses corrections XFS
- Correctifs PPC 32

À noter enfin que la rc4 est devenue la version finale sans changement.

NdM: Merci à BokLM pour avoir proposé la dépêche

Linux 2.6.5 est sorti il y a quelques heures.
La liste des dernières nouveautés est bien remplie (367.6 Ko), avec beaucoup de corrections de bugs (plus de 40 patchs), une assez grosse mise à jour d'ALSA, de l'USB, ia64, ppc, et pas mal d'autres choses sympathiques, comme le support du DMA sur l'ioctl CDROMREADAUDIO (ce qui permet d'extraire les CD audio plus vite et en chargeant moins le processeur), système de fichiers intermezzo.

NdM : dépêche proposée également par piem et bigben

Le site www.2cpu.com nous propose un article comparant les performances des noyaux 2.4.25 et 2.6.4 sur une machine SMP.

Y sont comparés entre autres l'utilisation d'un point de vue station de travail et serveur. On y trouve notamment une comparaison portant sur :
. le couple apache/mysql en tant que serveur web ;
. Samba en tant que serveur de fichiers ;
. d'autres logiciels pour des activités comme la compression mp3 en tant que station de travail.

L'article tient en 5 pages et est vraiment intéressant à lire, puisqu'il aborde la comparaison d'un point de vue station de travail et serveur, et permettra à chacun de trancher entre le passage au 2.6.4 et rester en 2.4.25 selon l'utilisation de la machine.
Bonne lecture !

LWN annonce la sortie de la version 2.6.4 du noyau linux.

Le Changelog est plutôt long c'est pourquoi je me contente de récupérer ce qui est dit sur LWN.

NdM : Merci également à Yorick. Le patch mm1 est déjà disponible pour le 2.6.4.

Vous ne l'attendiez pas tous, Il n'avait plus bougé depuis longtemps (mars 2003..), mais le voici quand même, le dernier né de la lignée des noyaux 2.2.x, le 2.2.26.

Cette version apporte peu de nouveautés (étonnant non ?), elle corrige surtout quelques problèmes de securité, donc pour les quelques utilisateurs de cette branche, (je sais qu'il y en a encore), patchez !

NdM : le 2.4.26 est seulement en pre1 depuis la même date.

Le dernier noyau de la série stable des 2.6 est disponible depuis la nuit dernière. Il comporte un nombre assez impressionnant de changements parmi lesquels des corrections pour SPARC64, USB, ACPI, ALSA, I2C, compilation compatible gcc 3.5, overflow sur iptables(6).

La rc4 contenait encore quelques corrections mineures à effectuer avant cette version.

Merci à LinuxToday pour l'info.

NdM: D'après Linus Torvalds, la nouvelle vulnérabilité concernant mremap() n'est pas présente dans le 2.6.3 (pas plus que dans le 2.4.25). Il est donc important de passer à un de ces deux noyaux.

La dernière version stable du noyau 2.6 est sortie.
Avec au programme pas mal de travail sur l'ACPI, Bluetooth, XFS, le PCI Hotplug et le support SATA.
Et bien d'autres choses encore...

Cette version est aussi connue sous le nom "[en] Feisty Dunnart" ou "gerboise surexcitée"

Trois semaines après la sortie du 2.6.0, et après trois release candidates, voici une nouvelle version mineure du noyau Linux : la 2.6.1 est sortie le 09/01/2004.

Après les 2.4, c'est au tour du 2.6 de se voir corriger la vulnérabilité "mremap".

Le travail des développeurs s'est concentré sur le support de l'USB et de l'I2C, ainsi que sur le port sur IA64. On retrouve également corrections de bugs, mises à jour de sécurité et autres intégrations de patchs.

Rendez-vous sur ftp.kernel.org/pub/linux/kernel/v2.6 ; ou plutôt sur l'un des miroirs disponibles sur le système de miroirs du noyau Linux (troisième lien).

Si vous n'avez pas migré en noyau 2.6, voici une information qui devrait vous intéresser. Un passage sur le site kernel.org nous informe de la disponibilité immédiate du noyau 2.4.24. Il ne s'agit pas ici d'une évolution majeure de la branche 2.4 mais d'une mise à jour de sécurité.

Kernel.org annonce une version 2.6.0 stable, ce qui marque donc la fin des 11 "Releases Candidate".

Les changements depuis la version 2.6.0-test11 sont assez peu nombreux, il s'agit de corrections de bugs importants.

Il est évident que certains diront que cette version n'est pas stable. Que le démarrage de la série 2.6 sera le même que celui de la 2.4, etc ...
Espérons que ce ne sera pas le cas afin de continuer le virage entamé par Linux dans le cadre de sa présence dans le monde professionnel, ou bien encore sur les bureaux, en embarqué, ....

Pour la série 2.4, le dernier noyau stable est le 2.4.23.
Quant à la série du 2.2, le 2.2.25 est le dernier noyau stable

Par la même occasion Linus annonce ses plans pour le futur :
Andrew Morton est désigné mainteneur de la version stable 2.6, même si Linus continuera à suivre la branche 2.6 jusqu'à la séparation avec la branche 2.7.x. Mais Andrew sera le boss.

Ndm : Merci à tous ceux qui nous ont proposé cette dépèche, notemment Aurélien Jarno

Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).

Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.

L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).

Pensez à mettre à jour vos noyaux !

NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.

La version 2.4.23 du noyau Linux est sortie aujourd'hui même, je viens juste de le voir sur LKML. Je m'abstiens de faire un résumé des nouveautés.

Cependant j'ai vu pas mal de lignes relatives à l'ACPI. Ça peut intéresser ceux qui ont des soucis de ce côté et attendent du nouveau.

NdM : merci à Julien Jeany d'avoir aussi proposé cette dépêche. « C'est donc la 2.4.23-rc5 qui s'est fait passer en 2.4.23. Ceci devrait être la dernière évolution du noyau 2.4 avant la sortie du très attendu 2.6 (qui devrait faire son apparition en décembre). »

De nouveaux benchmarks effectués par Cliff White et utilisant re-aim viennent d'etre publiés. Ces benchs ont été effectués sur 3 noyaux différents : le 2.4.23-pre5, le 2.6.0-test5 et le 2.6.0-test5-mm4 .