La sortie de la version stable 2.6.34 du noyau Linux vient d'être annoncée par Linus Torvalds. Le nouveau noyau est, comme d'habitude, téléchargeable sur les serveurs du site kernel.org.

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche (qui est sous licence CC BY-SA).

L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :

• OpenWall
  
• EnGarde Secure Linux
  
• Grsecurity/Pax
  
• NetSecL
  
• Bastille Unix
  
• Hardened Gentoo/Hardened Debian
  

La sortie de la version stable 2.6.33 du noyau Linux vient d'être annoncée par Linus Torvalds. Le nouveau noyau est - comme d'habitude - téléchargeable sur les serveurs du site kernel.org.

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche (qui est sous licence libre CC BY-SA).

PS : Je tiens à remercier tout particulièrement Frédéric Weisbecker, premier contributeur en terme de patchs sur le noyau 2.6.33, qui a accepté de donner un peu de son temps pour répondre à mes questions. Vous trouverez un entretien en fin de dépêche.

PS 2 : Merci aussi aux relecteurs/correcteurs de cette (longue) dépêche.

La distribution Fedora 12 (Constantine) est sortie il y a quelques semaines comme annoncé sur LinuxFr.org, et j'ai réalisé un test de cette dernière avec les captures d'écran d'usage.

J'ai pour l'occasion téléchargé les versions i386 et x86_64 sur mes portables Lenovo 3000 (Intel Core 2 Duo T7300 avec 2 Go de RAM et carte vidéo Nvidia 8xxx mobile) et mon Toshiba Qosmio G40 (4Go de RAM et carte vidéo nvidia).

Fedora 12 contient une belle liste de nouveautés : KDE 4.3.3, GNOME 2.28, noyau 2.6.31, Firefox 3.5.6 (3.5.4 avant les mises à jour), XFCE 4.6.1, SELinux sandbox et GCC 4.4.2

Je vous invite donc à consulter ce petit survol des nouveautés à la sauce FRLinux (petit rappel, comme pour la plupart des distributions testées, le but est de fournir un avis rapide sur une distribution pour l'utilisateur ou le décideur pressé).

La sortie de la version stable 2.6.32 du noyau Linux vient d'être annoncée par Linus Torvalds. Le nouveau noyau est, comme d'habitude, téléchargeable sur les serveurs du site kernel.org.
Ce noyau 2.6.32 est particulièrement important car il sera intégrée dans la prochaine version Ubuntu avec support à long terme (Ubuntu 10.04 LTS) et dans la prochaine version Debian 6.0 "Squeeze".

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche (placée sous licence libre CC BY-SA).

Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

La dernière dépêche sur LinuxFr.org concernant le serveur X date d'au moins un an et, malgré les nombreux journaux, il est parfois utile de faire un rappel des faits. Xorg est une partie vitale de l'infrastructure libre, et il est intéressant de noter toutes ses évolutions, parfois moins visibles que celles du noyau, mais tout aussi capitales.

Depuis la sortie de Xorg 7.4, un chemin considérable a été parcouru. Entre l'intégration de XRandR 1.3 et ses déformations de projection, en passant par MPX pour le multi-pointage, sans parler des évolutions diverses, remaniement de code et autre intégration, le travail effectué est considérable. Il est surtout intéressant de noter, pour les plus courageux et curieux d'entre vous, qu'on nous promet enfin des versions à date fixe et un cycle de développement bien encadré, permettant au plus grand nombre de tester et stabiliser les fonctionnalités de cette partie vitale de votre système libre.

Avec un peu de retard, mais en français, voici des informations sur la nouvelle version de Xorg (7.5) et du xorg-server (1.7), ainsi que quelques nouvelles sur l'avancement des pilotes et ce que l'on peut attendre, dans un futur plus ou moins proche.

Brad Spengler a décidé de faire parler de lui cette année :-) Il a écrit le 16 septembre dernier un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 septembre). Il a d'abord posté des vidéos sur Youtube puis, le 18 septembre, le code de son exploit.

La faille se situe dans perf_counter, fonctionnalité introduite dans Linux 2.6.31. Elle n'impacte donc que cette version. La faille a été corrigée le 15 septembre (perf_counter: Fix buffer overflow in perf_copy_attr()), la veille de la première vidéo.

Malgré les corrections apportées à SELinux (ex: Security/SELinux: seperate lsm specific mmap_min_addr), cet exploit arrive à contourner SELinux en utilisant, encore une fois, le mode unconfined_t. Ce mode est utilisé pour les applications ne pouvant pas être confinées dans SELinux, comme par exemple WINE.