Sortie de la version bêta de Fedora 12

Posté par  . Modéré par patrick_g.
Étiquettes :
22
23
oct.
2009
Fedora
Un mois avant la sortie annoncée de la version finale de Fedora 12, version communautaire de la célèbre RedHat, la version bêta est disponible sur tous les bons FTP serveurs bittorrent.

Parmi les nouvelles fonctionnalités on peut mentionner des améliorations apportées aux pilotes matériels (notamment les cartes graphiques et les matériels de communication sans fil), un support audio de qualité, notamment via les périphériques bluetooth, une meilleure virtualisation et bien sûr le GNOME a été mis à jour en 2.28. Quant à son homologue KDE, il passe lui en version 4.3. Les possesseurs de netbooks sont de la partie car Moblin, l'interface graphique dédiée, est aussi incluse.

Cette bêta intègre aussi déjà un certain nombre de technologies récentes, voire même en pré-version, afin que vous puissiez en profiter les tester dès à présent, comme
  • La coquille pressentie pour le futur Gnome 3.0 ;
  • La toute dernière amélioration de la bibliothèque Theora 1.1 ;
  • La version 1.0 de SystemTap de moins d'un mois ;
  • Ou encore le multi-pointer du serveur X.org 1.7 qui inclut l'extension « X Input Extension version 2.0 (XI2) » dont nous avons parlé il y a peu.
Les développeurs pourront s'essayer à Perl 6, présent en parallèle de PHP 5.3 ou utiliser les dernières version d'Eclipse ou NetBeans.

Bref, pas de quoi vous ennuyer, surtout pour les « early-adopters » qui aiment vivre sur le bord tranchant.

SCO se sépare du visionnaire Darl Mc Bride

Posté par  . Modéré par j.
Étiquettes :
29
21
oct.
2009
Humour
La crise n’épargne vraiment personne et même les meilleurs managers ne sont pas à l’abri d’un coup du sort. La dernière victime s’appelle Darl Mc Bride, la (ex) brillante tête du groupe SCO. Le 14 Octobre, la société a décidé de se séparer de M. Mc Bride, alors qu’il était à la fois CEO et Président, soit l’équivalent de notre PDG français. C’est bien sûr une perte énorme pour SCO qui s’est appuyé depuis 2002 sur ce visionnaire charismatique. Sous son leadership, SCO a mis en place une stratégie volontariste de développements d’excellence, avec son produit phare SCO Unix et bien sur Linux, ce système d’exploitation propriété de SCO quoi qu’en disent les traîtres de communistes d’IBM et les baba cools de RedHat.

Ces deux sociétés ont tout fait pour couler SCO depuis 2003, employant les moyens les plus vils à ces fins. Cette situation a conduit SCO à déposer le bilan en 2007 après s’être vu refuser la paternité d’Unix au profit de Novell par un juge alcoolique et franc-maçon aimant les ratons-laveurs.

Un dicton populaire rappelle que « nul n’est prophète en son pays » et c’est bien là le drame de Mc Bride. Rassure-toi cher lecteur, Darl n’est pas vraiment dans le besoin, ayant amassé un joli petit pactole à la tête de SCO pendant toutes ces années. C’est heureux car avec de telles casseroles aux fesses, Darl n’est pas prêt de retrouver du travail. Un chapitre se referme avec le départ de celui qui a maintenu toutes ces années avoir trouvé plein de code d’Unix dans le noyau Linux, sans pouvoir en apporter la preuve, pour des raisons évidentes de propriété intellectuelle. Étrangement les juges ont eu du mal à le suivre dans son raisonnement.

Pensons aussi aux 47 avocats et à son garde du corps que cette séparation affecte profondément.

Sortie d’OpenBSD 4.6 pour les 14 ans du projet

Posté par  . Modéré par baud123.
30
20
oct.
2009
OpenBSD
Le 18 octobre 2009, l’OS avec aucune 1 seulement 2 failles de sécurité exploitables à distance (*) fête ses 14 ans d’existence ! Pour fêter cela, la sortie de la version 4.6 d’OpenBSD a été annoncée à la même date par Theo de Raadt.

Aucune révolution n’est à l’ordre du jour, mais tout un ensemble de nouveautés et améliorations est disponible. Parmi celles-ci, un nouveau serveur SMTP sécurisé grâce à la séparation de privilèges est disponible, et tmux remplace window, le multiplexeur de terminal (comme screen sous Linux). Les nombreux outils de réseau et sécurité qui font la force d’OpenBSD ont été améliorés, avec de nombreuses fonctionnalités supplémentaires apportées au célèbre logiciel de filtrage pf, mais aussi à OpenBGPD, OpenSSH et à la pile réseau. Le logiciel d’installation d’OpenBSD a été re-développé pour en simplifier l’utilisation et l’outil de partitionnement disklabel essaie maintenant de détecter les partitions du disque.

Chaque version d’OpenBSD est accompagnée d’une chanson, il s’agit cette fois de « planet of the users ».
OpenBSD est bien sûr gratuit et il est possible d’installer ce système via le réseau, mais comme d’habitude il est recommandé d’acheter un CD officiel pour financer le projet et encourager le développement des versions futures. Comptez environ 50$ pour cela.

(*) dans le système installé par défaut

NdM : Merci à Mr Kapouik pour son journal sur le sujet

Sortie d'OpenVAS 2.0.0 (fork de Nessus)

Posté par  . Modéré par baud123.
Étiquettes :
8
12
jan.
2009
Sécurité
La version 2 d'OpenVAS, le principal fork de Nessus, vient de sortir un peu plus d’un an après la première version stable.

À mon sens le changement de version ne se justifiait pas, aucune fonctionnalité substantielle n’ayant été ajoutée dans l’intervalle. En effet, OpenVAS utilise encore largement le code originel de Nessus et une partie importante du travail consiste à auditer les sources.

Cette nouvelle version intègre néanmoins pas mal de nouveautés intéressantes :
  • Amélioration du client graphique ;
  • Support partiel d'OVAL (Open Vulnerability Assessment Language). OVAL est un langage -indépendant du projet OpenVAS malgré les similitudes de consonance- de création de tests de vulnérabilités. Un test développé en OVAL est utilisable par tous les outils supportant ce langage, contrairement par exemple à un plugin NASL (Nessus Attack Scripting Language) qui est “propriétaire” Nessus ;
  • Création du protocole OTP (OpenVAS transfert protocol) en remplacement du protocole originel NVT (Nessus transfert protocol). Ces protocoles sont utilisés pour les communications entre les clients et le serveur ;
  • Nouveau format d'identifiants pour les tests de vulnérabilités (OID) ;
  • Support des architectures 64 bits ;
  • Sans compter pas mal de corrections de bogues.
Bref, le projet avance, lentement, mais il avance :-)

Découverte d'une faille de sécurité critique dans OpenSSL de Debian

Posté par  . Modéré par Bruno Michel.
Étiquettes :
1
15
mai
2008
Debian
Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?
  1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
  2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
    Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
  3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.
Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur Planet Debian-Fr.

OpenToken : un projet de token d'authentification matérielle ouvert

Posté par  . Modéré par Benoît Sibaud.
Étiquettes :
0
21
avr.
2008
Sécurité
Double information tournant autour de l'authentification forte. Consultez la deuxième partie de la depêche pour en savoir plus.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :
  • Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
  • Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.
Ces deux documents permettent d'imaginer des tokens matériels d'authentification forte libres. Pas gratuits, ça non, mais ouverts, ce qui serait déjà un grand pas en avant.

Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.

Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...

Retour sur la panne serveur et l'appel aux dons

Posté par  . Modéré par Florent Zara.
Étiquettes :
1
3
mar.
2008
LinuxFr.org
Le 8 octobre 2007, le serveur LinuxFr (donné par HP il y a quelques années) subissait une panne matérielle assez préoccupante et rendait le site inaccessible pendant plusieurs jours. À la suite de cet incident, nous vous avions demandé de nous aider à financer l'achat d'un nouveau serveur.

Vous avez été très nombreux à nous répondre puisque 86 personnes nous ont remis 3874,90 euros, sans compter les multiples offres de matériel neuf ou d'occasion, et les propositions d'hébergement. Merci donc à vous tous qui permettez à LinuxFr de continuer à exister après 10 années passées à troll^Wdiscuter du libre. Parmi les nombreuses offres qui nous ont été faites, Fotovista (la maison mère de Pixmania), nous a contacté pour nous faire don, sans contrepartie, d'un serveur Dell qui répondait à nos attentes. Nous avons donc accepté et c'est ce serveur qui héberge le site depuis la fin de l'année 2007, grâce au travail acharné des administrateurs du site.

Afin de limiter l'impact d'une éventuelle panne matérielle, l'association a également prévu de faire l'acquisition d'un serveur de secours qui hébergera une version du site en cas de problèmes sur la machine principale. Les sommes perçues devraient largement couvrir l'achat de ce serveur supplémentaire, il nous restera une partie des dons une fois tous les achats effectués. L'association ne disposant que de revenus quasi-nuls, ce n'est pas une mauvaise chose. Néanmoins, comme nous vous en avions déjà parlé auparavant, l'association pourra rembourser leurs dons à tous ceux qui le désirent : il suffit pour cela de suivre les instructions données dans la suite de l'article.

Merci encore à tous pour votre aide et vos diverses contributions !

Sortie de la première version stable d'OpenVAS (fork Nessus)

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
1
14
fév.
2008
Sécurité
Je profite de la publication de la première version stable d'OpenVAS pour faire un point sur l'état des forks de Nessus.

Créé en 1998 par Renaud Deraison, Nessus a longtemps été le scanner de vulnérabilités de référence du monde libre. Ce succès à permis à son auteur de monter la société Tenable Network Security qui commercialise une offre d'audits de vulnérabilités. Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL, et au vu de la faiblesse des contributions de la communauté au moteur du logiciel, la société a décidé d'utiliser une licence propriétaire pour la version 3 de Nessus fin 2005 .

La réaction de la communauté ne s'est pas faite attendre et de nombreux forks de la version 2 de Nessus ont été lancés dans la foulée, par exemple GNessUs, Porz-Wahn et Sussen parmi les projets ayant été annoncés officiellement.
L'objectif était de continuer à disposer d'un scanner de vulnérabilité libre et performant. Voilà plus de 2 ans que ces forks ont été lancés, force est de constater qu'aucun d'entre eux n'a acquis la renommée de leur ancêtre commun. En effet, au delà des bonnes intentions, la quasi totalité de ces projets n'ont jamais réussi à rassembler suffisamment de développeurs pour permettre de reprendre le flambeau.

Le site de Porz-Wahn est figé depuis son ouverture et tout laisse à penser que le projet est mort, en fait Porz-Wahn a fusionné en toute discrétion avec GNessUs fin 2005.

L'histoire de Sussen est différente des autres forks. Lancé courant 2004, avant le changement de licence de Nessus, Sussen -"nessus" à l'envers :-)- était au départ un client Gnome codé en Mono/C#/GTK# supposé s'interfacer avec le serveur Nessus.
À la suite de la sortie de Nessus 3.0, le projet a pris une tournure différente et la version actuelle n'a plus rien à voir avec le client Nessus originel. Ce logiciel est maintenu par un seul développeur qui, à l'instar de Renaud Deraison, travaille dans une société de services en sécurité. La version de développement actuelle, disponible pour Linux et Windows, est sortie courant 2007. Elle est certifiée OVAL (un standard pour l'échange d'informations relatives aux vulnérabilités). Un seul message ayant été posté sur la liste de diffusion depuis sa création, le blog du développeur reste le meilleur moyen d'avoir des nouvelles de ce logiciel.

Last but not least, GNessUs a changé de nom et s'appelle dorénavant OpenVAS. Il s'agit du seul fork de Nessus encore actif. C'est autour de ce logiciel lancé par un chercheur en sécurité anglais qu'une communauté s'est formée. Suite à la fusion avec Porz-Wahn, des développeurs allemands ont rejoint l'équipe et le projet a d'ailleurs reçu des subventions du gouvernement allemand. Il a aussi retenu l'attention du SPI, une association qui subventionne des projets libres. C'est donc en toute discrétion, après quand même deux ans de travail, que les premières versions stables d'OpenVAS ont été publiées il y a quelques jours à peine, conformément à la feuille de route.
La communauté dispose donc enfin d'un scanner de vulnérabilités libre. Certes son architecture date un peu et de nombreuses améliorations seront nécessaires avant de se rivaliser avec la version actuelle de Nessus, mais c'est un premier pas dans la bonne direction.
N'hésitez donc pas à vous abonner à la liste de diffusion du projet et à contribuer si vous vous en sentez capable.

Le propriétaire de Snort achète ClamAV

Posté par  . Modéré par Nÿco.
Étiquettes : aucune
0
21
août
2007
Sécurité
Un des antivirus libres les plus connus est sans conteste ClamAV. Ce logiciel est disponible sous plusieurs systèmes d'exploitations (dont Linux et Windows) et les bases virales sont libres et maintenues à jour par l'équipe de développement assistée de la communauté.

Le 17 août, la société Sourcefire a publié un communiqué de presse dans lequel elle annonce avoir fait l'acquisition du projet ClamAV. Sourcefire est une société spécialisée dans la sécurité qui avait mis la main sur le logiciel de détection d'intrusion Snort il y a quelques années. Pour le rachat de ClamAV, Sourcefire s'est rapprochée de Tomasz Kojm, le fondateur du projet, et de quatre développeurs principaux afin qu'ils continuent de travailler sur le projet par la suite.

M. Jackson, le CEO de Sourcefire, annonce que la société compte rentabiliser son investissement en trois temps :
  • Premier temps, la société mettra en place d'ici la fin de l'année une offre de support et de formation autour de ClamAV.
  • Deuxième temps, une version commerciale et non "open source" sera disponible pour les professionnels début 2008.
  • Troisième temps, la société compte sortir une boîte noire matérielle intégrant ClamAV, qui complémentera l'offre de Sourcefire.

Une telle opération suscite bien évidemment des inquiétudes : quid de la licence et des bases virales ? La société a tenu a rassurer la communauté dans une FAQ publiée sur son site web en affirmant vouloir garder la licence GPL pour distribuer le logiciel ainsi que les bases virales. Voire, car l'exemple de Snort n'est pas fait pour rassurer : depuis que Snort est tombé dans l'escarcelle de Sourcefire, l'accès aux bases de signatures de moins de 30 jours est restreint et payant.

Autre source d'inquiétude, Sourcefire annonce que ClamAV va se focaliser sur la détection virale au niveau du réseau, par opposition à une détection sur le poste client. L'avenir du client "desktop" est-il menacé ?

NdM : voir aussi un journal de tcheuck sur le sujet.

Tests d'efficacité des antivirus Linux

Posté par  . Modéré par j.
Étiquettes :
1
11
août
2007
Sécurité
Un éditeur de plate-forme de filtrage de courriel a tenté une expérience intéressante : soumettre 10 antivirus Linux à quelques virus connus pour éprouver leurs capacités de détection.

Le résultat est étonnant : face à un échantillon de 18 virus connus, un antivirus en laisse passer 17 (!), et seuls 3 antivirus détectent les 18 codes malveillant. Un autre test met les logiciels en contact avec des virus soumis par des internautes, l'échantillon utilisé pour ce deuxième test est donc moins répandu. Heureusement, car au cours du test, tous les antivirus ont laissé passer au moins un virus et certains en ont détecté moins de la moitié.

Les logiciels qui sortent grandis de cette étude sont Kaspersky, un logiciel propriétaire possédant un excellent moteur de détection, et ClamAV, un antivirus libre régulièrement décrié par ses concurrents. La célérité de ClamAV a d'ailleurs été louée par les auteurs du test. Le moteur de ClamAV est également présent dans ClamWin, ce qui en fait un excellent antivirus libre pour systèmes Windows.

Bien que forcément non exhaustive (il manque par exemple NOD32), cette étude illustre le fait que les antivirus sont loin d'être infaillibles.

NdM : d'autres comparatifs d'antivirus sur des échantillons plus larges Clubic juillet 2007, av-comparatives.org février 2007, mai 2007 et PC Mag mai 2007 (seul ce dernier test parle de ClamAV). Un antivirus sous GNU/Linux sert à protèger la machine des rares virus existant pour ce système, et pour les serveurs de courriel, de fichiers, etc. à filtrer les contenus malveillants.

Framasoft mis en demeure de constater un certain manque de lucidité

Posté par  . Modéré par j.
Étiquettes :
0
20
déc.
2006
Justice
Qu'elle soit intellectuelle ou industrielle, le monde de la propriété a tendance à se crisper actuellement.
Par la présente, nous vous mettons en demeure de cesser immédiatement toute utilisation de la marque « Sage »... C'est ce qui a été demandé à Framasoft via une lettre recommandée par un juriste de la société « Sage » spécialisée dans les solutions logicielles de gestion d’entreprise.

Pourquoi ? Simplement parce que nous référençons dans notre annuaire de logiciels libres une très pratique extension Firefox qui porte le même nom !

Vous trouverez sur notre blog l'intégralité de la lettre recommandée ainsi que notre réponse rédigée à l'aide d'un ami juriste leto_2. Cette réponse est réutilisable librement, ce qui peut toujours servir si un jour vous vous retrouvez dans une situation similaire.

Framasoft doit-il cesser d'être « Sage » pour ne plus être accusé de contrefaçon ?

NdM : Cette dépêche est issue du journal de akauffmann.

Sortie de NetBSD 3.1 RC1

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
0
23
août
2006
NetBSD
La "release candidate" 1 de la version 3.1 de NetBSD est disponible au téléchargement depuis lundi dernier. NetBSD est un système d'exploitation publié sous licence BSD et disponible sur de très nombreuses plate-formes matérielles.

Cette version apporte quelques mises à jour depuis la version 3.0, publiée fin 2005. Parmi ces améliorations on trouve le support de domU pour Xen3, une meilleure stabilité pour LFS et moults corrections de bogues. Il est possible de construire son propre système depuis le CVS public. La deuxième RC est prévue d'ici deux semaines, n'hésitez donc pas à faire part des éventuels problèmes que vous pouvez rencontrer avec cette version.

A signaler, le serveur SMTP Sendmail ne fait plus partie de l'arbre principal de NetBSD depuis le mois de mai 2006, principalement pour des raisons de sécurité. Postfix est le serveur de courrier électronique utilisé par défaut sur NetBSD depuis cette date, bien que Sendmail reste installable via pkgsrc.

Modifier le firmware d'une Freebox grâce à OpenFreeBox

Posté par  . Modéré par jerome.
Étiquettes :
0
28
avr.
2006
Matériel
FightPod nous a proposé une dépêche pour nous annoncer la sortie d'outils permettant de modifier le micrologiciel (firmware) de la Freebox.

Ce projet est remarquable car les développeurs ne sont pas associés à Illiad (la société qui commercialise la Freebox), certains travaillant sur OpenWRT.

Ils souhaitent disposer d'un micrologiciel personnalisé pour avoir un contrôle complet sur leur Freebox, afin par exemple de modifier les règles de filtrage, d'utiliser des périphériques USB, de rajouter un disque dur etc, les possibilités sont infinies.

FightPod affirme avoir grâce à ce projet réalisé le jtag et dumpé la flash sans soucis. Grâce à quelques modifications, il peut maintenant accéder à sa Freebox en telnet !

M. Tridgell publie son client libre pour Bitkeeper

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
0
22
avr.
2005
Linux
Alors que les esprits sont toujours chauds suite à la décision de la société BitMover de modifier la licence de son logiciel célèbre Bitkeeper, Andrew Tridgell vient de publier Sourcepuller, le logiciel à l'origine de toute « l'affaire ».
On se souvient que Bitkeeper est un logiciel propriétaire, choisi par Linus Torvalds pour gérer le développement (hautement distribué) du noyau Linux. M Tridgell, trouvant inacceptable la licence imposée par BitMover pour utiliser le logiciel, avait entrepris de développer un logiciel libre permettant d'interagir avec Bitkeeper. Cette initiative avait été fortement condamnée par la société, qui a modifié la licence de Bitkeeper, obligeant Linus à chercher une autre solution pour gérer le développement du noyau (logiciel « GIT » en cours de développement).

M. Tridgell venant de publier son logiciel, espérons que cela aura pour effet de recadrer le débat et de mettre en évidence la portée réelle de cette initiative : simple besoin d'interopérabilité ou volonté de concurrencer BitKeeper ? M. Tridgell, qui était resté très silencieux auparavant, donne son opinion au sujet de cette polémique, explique ses motivations et confirme qu'il n'a pas utilisé le logiciel BitKeeper pour développer son logiciel.