Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).
Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.
L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).
Pensez à mettre à jour vos noyaux !
NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.
La version 2.4.23 du noyau Linux est sortie aujourd'hui même, je viens juste de le voir sur LKML. Je m'abstiens de faire un résumé des nouveautés.
Cependant j'ai vu pas mal de lignes relatives à l'ACPI. Ça peut intéresser ceux qui ont des soucis de ce côté et attendent du nouveau.
NdM : merci à Julien Jeany d'avoir aussi proposé cette dépêche. « C'est donc la 2.4.23-rc5 qui s'est fait passer en 2.4.23. Ceci devrait être la dernière évolution du noyau 2.4 avant la sortie du très attendu 2.6 (qui devrait faire son apparition en décembre). »
De nouveaux benchmarks effectués par Cliff White et utilisant re-aim viennent d'etre publiés. Ces benchs ont été effectués sur 3 noyaux différents : le 2.4.23-pre5, le 2.6.0-test5 et le 2.6.0-test5-mm4 .
Saisissez votre miroir (NdM: avec un seul r) favori afin de récupérer ce dernier noyau tout beau et tout stable de kernel.org.
Au programme :
- ACPI synchonise avec la branche de développement
- Support des chipsets Intel ICH5
- Corrections reiserFS et ext3
- Synchro des pilotes Airo Wireless du 2.6
- AGPGart supporte les machines de plus de 4Go de RAM
- Netfilter : améliorations et corrections
Encore bien plus de corrections disponibles dans le lien ci-dessous. Utilisez le second lien pour les téléchargements sur les miroirs. Attention, à l'heure de cette dépêche, les miroirs ne sont pas encore à jour.
Dans la grande traditions des "mondes merveilleux de Linux", voici la fournée pour le 2.6. Cet article présente en détails les modifications qui ont eu lieu dans la phase de développement 2.5.
Au menu : multiple platform support, Linux internals, unified device model, core hardware support, block device support, input / output devices & software improvements.
Linus Torvalds a annoncé la disponibilité de Linux 2.5.75.
L'annonce indique que c'est probablement le dernier noyau 2.5 et qu'il va commencer une série de "pre-2.6".
Si vous ne savez pas quoi faire ce week-end, c'est le moment de tester le noyau et de faire un rapport de bug si vous rencontrez des problèmes. Vous aurez la satisfaction d'avoir aidé à la qualité du futur 2.6. Plus tôt un bug est reporté et plus de chance il y a qu'il soit corrigé. N'attendez pas le dernier pre-2.6 !
Le test d'un noyau n'est pas une tâche facile et il faut être bien documenté pour être sûr que tout a été correctement installé/configuré. De même avant de reporter un bug, vérifiez soigneusement que le bug n'a pas déjà été rapporté et faites une petite recherche sur google.
J'ai ajouté quelques liens pour avoir les informations nécessaires pour tester un 2.5. Lisez attentivement ces informations. Pensez aussi à lire le fichier Documentation/Changes dans les sources du noyau.
En même temps que l'annonce de la sortie du noyau Linux 2.5.72, Linus a annoncé sur Linux-Kernel qu'il allait quitter Transmeta après 6 ans de bons et loyaux services pour se consacrer à plein temps au développement du noyau Linux. Il compte en effet intégrer un consortium appelé Open Source Development Labs, qui a été fondé il y a 3 ans par I.B.M., Hewlett-Packard, Intel, Computer Associates, NEC et Fujitsu et qui dispose d'un budget de 20 millions de dollars.
(Ndm : merci également à gruïïïk)
En annonçant la sortie de Linux 2.5.70, Linus nous informe qu'il va rentrer dans la série des pre-2.6. Ce serait aussi le dernier noyau « pur Linus » puisqu'il compte y intégrer les modifications d'Andrew Morton.
Par ailleurs le 2.5.70 est un gros patch qui entre bonnes choses ajoute enfin le support de l'AGP Uninorth pour les Mac :-))).
Voici un petit récapitulatif des avancées technologiques du futur noyau Linux 2.6. Après de grands débats au sein de la lkml (liste de discussion du développement Linux), la décision a été prise de favoriser tout autant les utilisateurs finaux que les administrateurs de gros systèmes.
Avec la récente vulnérabilité des noyaux 2.2 et 2.4, qui a conduit Alan Cox à sortir un 2.2.25 en urgence, une forte demande s'était exprimée pour une sortie d'un 2.4.21 contenant un correctif.
Par ailleurs, le 2.4.21 était annoncé -- par excès d'enthousiame sans doute -- comme disponible sur un produit commercial.
Bref, une question se posait, qu'en est-il des plans de Marcelo Tosatti pour le 2.4.21.?
Maintenant, on sait : il vient de sortir le 2.4.21-pre6, contenant entre autres, le patch pour la vulnérabilité, et en a profité pour décrire le chemin vers le 2.4.21 : un pre7 sortira sous peu, suivi du premier RC.
Une importante faille de sécurité a été découverte dans le noyau Linux par Andrzej Szombierski. Elle permet aux utilisateurs locaux de gagner les privilèges du super-utilisateur (root) grâce à un bug dans l'appel système ptrace. La mise à jour immédiate de votre noyau est donc chaudement recommandée.
La faille est corrigée dans Linux 2.2.25 pour le noyau 2.2, et un patch est fourni par Alan Cox pour les noyaux 2.4. Les versions 2.0 et 2.5 ne sont pas vulnérables (de lapin).
Le noyau Linux 2.4.20 est sorti cette nuit, au menu: corrections de bugs (sur l'USB, l'ACPI, l'IA-64, certains drivers, certains systèmes de fichiers, ...), optimisations (comme par exemple le support des tables de hash sur ext2/ext3 pour accélérer la recherche dans les répertoires avec beaucoup de fichiers, voir l'option 'dir_index' de tune2fs), un meilleur support de gcc 3.2, et une incorporation de nombreux patchs présents depuis quelques temps dans la branche -ac du noyau.
D'autre part, Linus a aussi sorti le noyau 2.5.50 dans la branche de développement; et a récemment déclaré qu'il prévoyait la sortie du 2.6 (qui s'appellera bien 2.6) dans la première moitié de l'année 2003, et qu'il espérait un freeze complet pour début janvier.
Attention, avis à la populace, Linus annonce la sortie du kernel 2.6 pour le mois de Juin. Ce n'est qu'une prévision, la " feature freeze" ayant lieu dans quelques jours. Mais le développement du kernel 2.6 semble être parti sur de bonnes bases, on peut donc peut-être espérer avoir une release aux environs de la fin du deuxième trimestre.
Cependant, au vu du nombre impressionnant de nouvelles fonctionnalités, le programme est très chargé et certains développeurs comme Robert Love sont moins optimistes et, en "murphysant", arrivent à une release jusqu'à 18 mois après le freeze, soit aux environs du début 2004.
Un débat fait rage actuellement sur la Linux Kernel Mailinglist pour savoir si la prochaine version du noyau devra s'appeller 2.6 ou 3.0. En effet, le grand nombre de changements en profondeur (nouvelle VM, nouveau scheduler, nouvelle couche block-io, ALSA, preempt, intégration d'XFS et de JFS, ...) justifient pour certains le passage à un numéro de version majeur.
Pour Linus, tout en profitant pour rappeller qu'il a besoin de plus de testeurs :
Hey, _if_ people actually are universally happy with the VM in the current 2.5.x tree, I'll happily call the dang thing 5.0 or whatever (just kidding, but yeah, that would be a good enough reason to bump the major number).
(Nouvelle tirée de Kerneltrap.org)
Linus a commencé l'inclusion des modifications de Andrew Morton (patches mm, partie "non-blocking page writeback system") apportées sur la gestion de la mémoire virtuelle dans son arbre BK du noyau de développement 2.5.39.
Les buts de ces améliorations sont d'améliorer le comportement du noyau au niveau des entrées/sorties vis à vis de la montée en charge.
Au vu des gains de performance, c'est à ce demander comment on a put vivre sans! (à voir dans le fichier attaché)
