OpenSSH est une implémentation complète du protocole SSH (Secure SHell) en version 1.3, 1.5 et 2.0, publiée sous licence BSD modifiée.

Voici un échantillon des changements de la nouvelle version 5.9 :

• sandboxing : une nouvelle option « UsePrivilegeSeparation=sandbox » apparaît dans le sshd_config, afin de limiter les appels système accessibles aux processus enfants (séparation des privilèges, technique très utilisée par les développeurs OpenBSD). Cela permet de réduire la surface d’attaque sur le système hôte. Actuellement, trois back‐ends sont fournis : systrace (OpenBSD uniquement), seatbelt (OS X/Darwin) et rlimit en solution de repli pour les plates‐formes Unix. Le projet OpenSSH encourage les contributeurs à fournir de nouvelles implémentations : Capsicum (intégré dans FreeBSD 9), espaces de noms cgroups, SELinux, etc. ;
• arrêt propre des connexions multiplexées : il est possible de demander au serveur de ne plus accepter de nouvelles sessions sur une connexion multiplexée, tout en conservant les connexions en cours ;
• beaucoup de nouveautés assez complexes ;
• corrections de bogues.

La nouvelle version de Mandriva Linux est disponible ce jour pour téléchargement pour tous, sur tous les miroirs habituels.

Fidèle à son calendrier de sortie d'une version tous les six mois, Mandriva met à disposition la version dite Spring 2009.1.

Cette version inclut un nombre conséquent de mises à jour, tant au niveau du cœur du système (noyau, GlibC) que du serveur d'affichage Xorg, des bureaux au choix, des outils applicatifs tiers. Une révision des drakxtools et de nombreux points d'améliorations sur certains sont également au menu de cette Spring.

Elle propose un nouveau mode de traitement des fichiers ISO : au lieu de simplement les graver, on peut dorénavant les transférer sur une clef USB, directement, et obtenir une clef USB amorçable. Ceci est valable tant pour la version LiveCD que la version classique. Un utilitaire graphique pour toutes les distributions est disponible pour réaliser cette opération de copie d'ISO sur une clef USB (« ISO hybride »). L'opération est rapide, très simple et parfaitement fonctionnelle.

C'est après deux versions bêta et une RC que Red Hat a annoncé ce 10 novembre la disponibilité publique de Red Hat Enterprise Linux (RHEL) 6, distribution commerciale destinée aux professionnels et aux entreprises. Il s'agit d'une version majeure, apportant un lot conséquent de nouveautés. Red Hat Enterprise Linux 6 est disponible pour les architectures i386, AMD64/Intel64, System z et IBM Power (64-bit).

Red Hat continue d'assurer des mises à jour pour RHEL 5, une version bêta 5.6 ayant été annoncée.

Cette dépêche est sous licence CC BY-SA.

Red Hat a annoncé le 6 décembre dernier la version 6.2 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises.

Pour rappel, RHEL 6 est disponible depuis novembre 2010 et apporte de nombreuses nouveautés, tant au niveau de la prise en charge matérielle que logicielle. RHEL 6.2 arrive donc un peu plus d'un an après, une manière pour Red Hat de fêter le premier anniversaire de la branche 6.

Les changements sont détaillés en seconde partie de cet article.

Red Hat a annoncé ce 13 janvier la version 5.6 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises. Pour rappel, RHEL 5 existe depuis mars 2007, et même si RHEL 6 est disponible depuis novembre 2010, cette version est toujours maintenue. Red Hat souligne dans son communiqué que de nombreux clients utilisent toujours RHEL 5 et que lors de sa sortie, elle avait été annoncée avec un support de sept années. On notera l'apparition de certaines technologies ou versions de paquets qui faciliteront la migration vers RHEL 6, telles que PHP, Ext4 et GCC.

Cette dépêche est sous licence CC BY-SA.

CyanogenMod, la distribution Android communautaire, installée sur plus de cinq millions de terminaux, est sortie en version 10.1.0, après un mois et demi de Release Candidates (RC1 à 5), et sept mois après la version 10.0. Cette CyanogenMod 10.1 est basée sur AOSP 4.2.2, le code source complet de Android sous licence Apache 2.0, sans les logiciels propriétaires Google Apps. La version précédente, CyanogenMod 10.0, était basé elle sur Android 4.1.

CyanogenMod 10.1 prend en charge plus d'une cinquantaine d'appareils parmi les plus populaires, d'autres à venir, d'autres non-officiels. À noter, les Tegra 2 ne font pas partie de la fête, ainsi qu'un bon nombre d'appareils Samsung basés sur Exynos, qui ne seront pris en charge que sur les compilations nocturnes.

En ce mardi 13 septembre, la communauté du Projet Fedora sera ravie d’apprendre la disponibilité de la version Beta de Fedora Linux 37.

Malgré les risques concernant la stabilité d’une version Beta, il est important de la tester ! En rapportant les bogues maintenant, vous découvrirez les nouveautés avant tout le monde, tout en améliorant la qualité de Fedora Linux 37 et réduisant du même coup le risque de retard. Les versions en développement manquent de testeurs et de retours pour mener à bien leurs buts.

La version finale est, pour le moment, fixée pour le 15 ou 25 octobre.

Brad Spengler a décidé de faire parler de lui cette année :-) Il a écrit le 16 septembre dernier un exploit pour le noyau 2.6.31 tout chaud, à peine sorti du four (le 9 septembre). Il a d'abord posté des vidéos sur Youtube puis, le 18 septembre, le code de son exploit.

La faille se situe dans perf_counter, fonctionnalité introduite dans Linux 2.6.31. Elle n'impacte donc que cette version. La faille a été corrigée le 15 septembre (perf_counter: Fix buffer overflow in perf_copy_attr()), la veille de la première vidéo.

Malgré les corrections apportées à SELinux (ex: Security/SELinux: seperate lsm specific mmap_min_addr), cet exploit arrive à contourner SELinux en utilisant, encore une fois, le mode unconfined_t. Ce mode est utilisé pour les applications ne pouvant pas être confinées dans SELinux, comme par exemple WINE.

La version 0.6.3 de ZOL (ZFS On Linux) vient fraîchement d'être mise à disposition. Bien que n'ayant que peu communiqué (sur la liste de discussion en tout cas), depuis la dernière version sortie en août 2013, les développeurs du projet n'ont pas chômé puisqu'il y a eu près de 200 corrections de bugs et de nombreuses fonctionnalités ajoutées au projet avec notamment : la compatibilité pour les noyaux Linux <= 3.14, la comptabilité avec les ACL POSIX et un nouvel outil de supervision dédié le ZED daemon.

Brad Spengler, mainteneur du projet Grsecurity, a publié un exploit local pour le noyau Linux. Seule la version 2.6.30 du noyau est impactée. L'exploit a été publié rapidement car aucune distribution n'utilise cette version pour le moment. Il est capable de contourner les protections AppArmor, SELinux, LSM, et désactive l'audit. La faille concerne les interfaces réseaux virtuelles tun et a été introduite en février dernier. D'abord considérée comme un simple bug, elle a été découverte le 4 juillet, corrigée le lendemain, puis Brad a publié son exploit le 15 juillet.

Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux (lire notamment tous les commentaires présents dans le fichier exploit.c du tgz). Il reproche notamment la correction silencieuse de failles qui pose problème aux distributions Linux : les mainteneurs ne savent pas quels patchs doivent être backportés dans les branches stables. Il reproche également l'absence d'analyse de l'impact d'un bug en terme de sécurité : certaines failles sont considérées comme non exploitables, alors qu'elles le sont.

La seconde partie de cette dépêche détaille la faille.

Rudder est un outil qui permet d’automatiser le déploiement des configurations sur votre SI et de gérer les changements sur le socle technique. Il vérifie que les exigences de qualité et de sécurité sont bien appliquées et en remonte des rapports de conformité. Accessible à l’ensemble des équipes, experts ou non, il permet à tous de bénéficier de l'automatisation et de la gestion de configuration.

L'équipe de Rudder est fière de vous présenter sa troisième version majeure après de longs mois de développement. Cette version présente de nombreuses améliorations et nouvelles fonctionnalités, dont une qui s’avère révolutionnaire parmi les outils d’automatisation : un dashboard focalisé sur la conformité !

Les fonctionnalités ajoutées au logiciel sont listées en deuxième partie.

nspluginwrapper est maintenant disponible en version 1.2.0. nspluginwrapper est une solution qui permet d'exécuter des greffons NPAPI en dehors d'un navigateur Internet, tout en maintenant un lien avec celui-ci. Ainsi, il permet par exemple d'exécuter les greffons propriétaires Flash Player, initialement prévus pour i386, dans un navigateur web compilé pour x86_64. Nous allons voir d'autres usages par la suite.

Ce jeudi 18 décembre, après seulement six mois de gestation, la nouvelle version de la distribution soutenue par Novell est disponible au téléchargement.

Cette nouvelle version d'openSUSE propose en standard :

• Noyau Linux 2.6.27.7 ;
• glibc 2.9 ;
• GNOME 2.24.1;
• KDE 4.1.3 muni de fonctionnalités et correctifs de la branche 4.2 ;
• KDE 3.5.10 en option ;
• Firefox 3.0.4 ;
• OpenOffice.org 3.0 ;
• openJDK (par défaut) et Sun Java ;
• Mono 2.0.1.

Proposant aussi bien les bureaux GNOME que KDE et profitant de l'une des meilleures intégrations de KDE 4 actuellement disponible, openSUSE représente une très bonne alternative parmi les distributions ciblant l'utilisateur final, qu'il soit débutant ou utilisateur averti.

openSUSE 11.1 est disponible pour architecture x86, x86_64 et PPC, en deux versions Live-CD ou DVD. Une version boîte contenant un un DVD double couche (x86, x86_64) et un CD additionnel contenant les logiciels non libres sera prochainement proposée à la vente (60 €). Elle sera supportée 2 ans.