La distribution Fedora 12 (Constantine) est sortie il y a quelques semaines comme annoncé sur LinuxFr.org, et j'ai réalisé un test de cette dernière avec les captures d'écran d'usage.

J'ai pour l'occasion téléchargé les versions i386 et x86_64 sur mes portables Lenovo 3000 (Intel Core 2 Duo T7300 avec 2 Go de RAM et carte vidéo Nvidia 8xxx mobile) et mon Toshiba Qosmio G40 (4Go de RAM et carte vidéo nvidia).

Fedora 12 contient une belle liste de nouveautés : KDE 4.3.3, GNOME 2.28, noyau 2.6.31, Firefox 3.5.6 (3.5.4 avant les mises à jour), XFCE 4.6.1, SELinux sandbox et GCC 4.4.2

Je vous invite donc à consulter ce petit survol des nouveautés à la sauce FRLinux (petit rappel, comme pour la plupart des distributions testées, le but est de fournir un avis rapide sur une distribution pour l'utilisateur ou le décideur pressé).

La sortie de la version stable 2.6.32 du noyau Linux vient d'être annoncée par Linus Torvalds. Le nouveau noyau est, comme d'habitude, téléchargeable sur les serveurs du site kernel.org.
Ce noyau 2.6.32 est particulièrement important car il sera intégrée dans la prochaine version Ubuntu avec support à long terme (Ubuntu 10.04 LTS) et dans la prochaine version Debian 6.0 "Squeeze".

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche (placée sous licence libre CC BY-SA).

Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

La dernière dépêche sur LinuxFr.org concernant le serveur X date d'au moins un an et, malgré les nombreux journaux, il est parfois utile de faire un rappel des faits. Xorg est une partie vitale de l'infrastructure libre, et il est intéressant de noter toutes ses évolutions, parfois moins visibles que celles du noyau, mais tout aussi capitales.

Depuis la sortie de Xorg 7.4, un chemin considérable a été parcouru. Entre l'intégration de XRandR 1.3 et ses déformations de projection, en passant par MPX pour le multi-pointage, sans parler des évolutions diverses, remaniement de code et autre intégration, le travail effectué est considérable. Il est surtout intéressant de noter, pour les plus courageux et curieux d'entre vous, qu'on nous promet enfin des versions à date fixe et un cycle de développement bien encadré, permettant au plus grand nombre de tester et stabiliser les fonctionnalités de cette partie vitale de votre système libre.

Avec un peu de retard, mais en français, voici des informations sur la nouvelle version de Xorg (7.5) et du xorg-server (1.7), ainsi que quelques nouvelles sur l'avancement des pilotes et ce que l'on peut attendre, dans un futur plus ou moins proche.

La sortie de la version stable 2.6.31 du noyau Linux vient d'être annoncée par Linus Torvalds. Le nouveau noyau est, comme d'habitude, téléchargeable sur les serveurs du site kernel.org.

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche.

Brad Spengler a décidé de faire parler de lui cette année :-) Il a écrit le 16 septembre dernier un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 septembre). Il a d'abord posté des vidéos sur Youtube puis, le 18 septembre, le code de son exploit.

La faille se situe dans perf_counter, fonctionnalité introduite dans Linux 2.6.31. Elle n'impacte donc que cette version. La faille a été corrigée le 15 septembre (perf_counter: Fix buffer overflow in perf_copy_attr()), la veille de la première vidéo.

Malgré les corrections apportées à SELinux (ex: Security/SELinux: seperate lsm specific mmap_min_addr), cet exploit arrive à contourner SELinux en utilisant, encore une fois, le mode unconfined_t. Ce mode est utilisé pour les applications ne pouvant pas être confinées dans SELinux, comme par exemple WINE.

La virtualisation est indéniablement aux lèvres de beaucoup de monde ces derniers temps. Entre les solutions propriétaires bien connues et les multiples promesses, annonces et projets libres, une certaine confusion règne.

Le libre étant ce qui nous intéresse ici, où en sont les projets ? Quelles solutions se démarquent des autres ? Autant de questions qui requièrent une veille incessante.

Je vous propose donc de faire un petit tour d'horizon de ce monde en ébullition et de parler quelque peu des projets susceptibles de devenir les stars de demain.

Les solutions retenues ici sont Xen, KVM, Spice, Openvswitch/OpenFlow, Libvirt, Ovirt et Libguestfs.

Brad Spengler, le mainteneur du projet grsecurity et l'auteur du dernier exploit en date dans le noyau Linux, a accepté de répondre à quelques questions pour LinuxFr.org.

Sous le pseudonyme de "Spender", Brad s'est rendu célèbre en découvrant de nombreuses vulnérabilités du noyau Linux et en prouvant, à l'aide d'exploits, que ces trous de sécurité étaient exploitables. Il est le mainteneur principal du patch externe grsecurity, qui vise à renforcer la sécurité du noyau en ajoutant divers mécanismes qui restreignent l'impact des vulnérabilités ou qui les bloquent complètement. Après la publication de son dernier exploit plusieurs questions lui ont été envoyées par mail (en une seule fois) et il a eu la gentillesse d'y répondre. Qu'il en soit remercié.