Cinq mois après la sortie de la beta 2, l'équipe du Debian installer a annoncé vendredi dernier la sortie de la troisième version beta de l'installateur. Cette version est la dernière beta avant les RC. Les images officielles de etch l'utilisent d'ores et déjà.

Les nouveautés majeures de cette version sont :

• Une interface graphique, optionnelle, disponible pour l'instant sur les architectures i386 et AMD64 ;
• La prise en charge des partitions chiffrées dès l'installation ;
• Le support d'AMD64.

L'installation graphique utilise Gtk+ et DirectFB. Une version expérimentale est également fournie pour PowerPC.

Parmi les autres nouveautés, on note le passage à la version 2.6.16 du noyau, le support des terminaux braille via brltty, la possibilité d'utiliser sudo au lieu d'un mot de passe root, des améliorations sur le port sparc, et plein de nouveautés détaillées dans l'annonce et dans le guide d'installation. L'errata liste également les problèmes connus, comme la détection automatique des lecteurs CD SATA ou le changement de VT dans l'installation graphique sur AMD64.

Pour la prochaine version, la RC1, le support de l'IPv6, de SELinux, le passage au 2.6.17 et l'abandon du support du 2.4 sont prévus. Rappelons que la sortie de etch est prévue pour décembre 2006, soit dans quatre mois.

Derrière ce titre un peu racoleur se cache une vérité qui peut faire peur... En effet, "Type Enforcement", développé par Secure Computing pour SELinux, est protégé par un brevet. Type enforcement est la base permettant la séparation des objets, ressources, et privilèges utilisés par SELinux, c'est à dire la pierre angulaire du code.

Il n'y a aucune licence fournie pour l'utilisation de cette technique dans Linux : Secure Computing a simplement mis en ligne un document spécifiant que Secure Computing n'a pas pour l'instant l'intention d'exploiter les droits que lui accorde le brevet de l'utilisation de ce brevet dans SELinux, excepté si ce dernier est utilisé dans des domaines spécifiques (pare-feux et passerelles VPN) et beaucoup moins spécifiques (tout produit qui permet l'authentification et la gestion des autorisation à des applications). L'entreprise peut cependant se rétracter à tout moment, ce document ne constituant pas une licence : elle l'a d'ailleurs déjà fait dans le passé.

L'absence d'une licence officielle sur le brevet qui engagerait Secure Computing ainsi que les restrictions de domaine laissent peser une lourde épée de Damoclès au dessus de cette implémentation de SELinux.

À noter que SELinux est déjà présent et activé par défaut dans la distribution Fedora Core.

En cette période automnale ou les meilleurs fruits arrivent à maturité c'est le moment de cueillir la nouvelle version de Fedora. Si cette nouvelle mouture porte le nom de « WereWolf » (Loup-Garou), n'ayez crainte, cette version est là pour vous sécuriser et vous apporter toute la stabilité dont vous rêvez. Le maître mot de cette nouvelle version est incontestablement : SIMPLICITÉ.
Après 5 mois de développement intense, afin de vous apporter toutes les nouvelles technologies, voici une nouvelle version qui sera pour vous, comme pour nous, une évolution majeure.
Concernant le support des francophones, l'équipe ainsi que les membres de Fedora-FR seront heureux de vous accueillir.

Ca ressemble à un troll mais c'est bien le titre d'un article de securityportal.

Il ne compare pas les avantages intrinsèques des deux systèmes mais mentionne plusieurs moyens de sécuriser Linux non disponible sur OpenBSD, dont les arguments sont une configuration "secure by default" (bof ...) et un code mieux audité.

- WireX : Immunix, distribution Linux orientée sécurité : SubDomain pour restreindre les fichiers accessibles à un programme, StackGuard et FormatGuard pour les bugs dus à des dépassements de buffer et les chaînes de formatage.

- openwall : piles user non exécutable, plus de liens et pipes dans /tmp

- Argus PitBull LX : Discretionary Access Control, restrictions à l'accès aux devices et aux ports (flexible, moins lourd qu'un chroot). Attention, kernels binaires seulement !

- NSA SELinux : similaire à PitBull, mais PitBull ressemble un peu à l'inspecteur gadget de la sécurité tandis que les patches de la NSA ont apparemment un design plus cohérent, j'ai l'impression que les designers ont une "big picture" du noyau, mais c'est plus délicat à paramétrer.

- LIDS : bloque certains éléments de configuration qui ne sont plus modifiable sans un accès physique à la machine.

- Medusa DS9 : plus ou moins la même chose que les précédents ?


L'auteur annonce un article "Why Linux Will Never be as Secure as OpenBSD" pour la semaine prochaine, donc il ne faut prendre le titre provocateur au pied de la lettre.

Personnellement j'ai participé au crack contest openhack sur une machine avec PitBull LX et j'ai été impressionné par sa résistance, un hacker a pu avoir un shell root avec un exploit connu mais n'a pas pour autant pu créer le fichier demandé dans la racine à cause du Discretionary Access Control.

Apparemment la sécurisation globale d'un système passe par la mise en place de tels mécanismes qui n'ont pas les limites du "Mandatory Access Control", on ne peut pas tout faire à coups de chmod.

Un chercheur français du DCSSI, Loïc Duflot, a récemment publié un article sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour contourner les protections habituelles (type SELinux, GRsecurity, etc).

La description du problème est assez complexe mais securityfocus a publié une interview de M. Duflot très éclairante : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter du code à l'insu du noyau (et de ses éventuelles couches de protections).

NdA : Merci à herodiade pour son journal. Je vous invite à lire les commentaires intéressants qui ont été faits.