Un débat (assez récurrent) agite en ce moment le monde de la sécurité informatique à propos de deux choses, les CVE et les CVSS. Commençons par expliquer. Un CVE (« Common Vulnerabilities and Exposures ») est juste un identificateur (par exemple, CVE-2022-4269 désigne une faille de sécurité du noyau Linux permettant à un utilisateur de planter le système). Ce sont juste des identificateurs. Ils permettent de référencer une faille de manière non ambigue et facilitent donc la communication. (« As-tu (…)

L'architecture ouverte RISC-V rejoint désormais la liste des architectures officiellement gérées par Debian. Ne vous précipitez pas, toutefois, il faut maintenant importer tous les paquetages (dpkg est déjà arrivé), bâtir les images d'installation, etc, ça va prendre un peu de temps.

Vous le savez, le projet de processeur à jeu d'instructions libre RISC-V ne date pas d'aujourd'hui. Mais, pendant longtemps, il n'y avait pas de moyen facile d'expérimenter avec un tel processeur, en général présent dans de l'embarqué plus ou moins clos ou dans des systèmes peu pratiques pour la programmation, genre tablettes. Les développeur·ses devaient donc se contenter de QEMU ou autre émulateur. Les choses changent et on voit maintenant apparaitre des cartes portant un processeur RISC-V, à un prix (…)

Le contexte

Docker, comme tout le monde ici le sait peut-être, est une technologie de contrôle de containers, permettant de créer, de lancer et d'arrêter des containers, mais aussi de créer des images (un système complet que le container exécutera). Ces images peuvent être distribuées par divers moyens mais un des plus connus est le Docker Hub, géré par une société privée. Il faut donc bien distinguer Docker le logiciel libre, Docker Hub le dépôt d'images et (…)

Vendredi 7 décembre, vers 0430 UTC, les serveurs de noms faisant autorité pour linux.org (à ne pas confondre avec linuxfr.org) ont été modifiés. Les nouveaux serveurs indiquaient comme adresse IP pour linux.org un serveur Web pirate (208.91.197.27, le serveur Web habituel étant chez Cloudflare, en 104.27.166.219 et 104.27.167.219). Apparemment (je n'ai pas pu le voir), le contenu comprenait diverses insultes contre Linux ("G3T 0WNED L1NUX N3RDZ") et Linus Torvalds, certaines reliées aux nouvelles conditions de participation à Linux.

Le service (…)

Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été annoncé aujourd'hui. C'est un résolveur DNS public, mais dont l'originalité est d'être accessible de manière sécurisée, avec TLS (DNS sur TLS est décrit dans le RFC 7858).

Alors, l·e·a lect·eur·rice de LinuxFr.org, étant super au courant, va dire « mais des résolveurs DNS publics, il y en a plein ! Pourquoi un de plus ? ». Le plus connu est Google Public DNS mais il en existe beaucoup d'autres, avec des (…)

Les premiers routeurs Turris Omnia arrivent depuis deux semaines. Il s’agit d’un routeur OpenWrt pour la maison ou bien la petite entreprise, avec de l’Ethernet et du Wi‐Fi. Banal, vous allez me dire. Sauf qu’il y a plusieurs points importants :

1. entièrement en logiciel libre ;
2. matériel décrit publiquement, tout est documenté ;
3. vous êtes root (et un grand pouvoir implique de grandes responsabilités, etc.) ;
4. une communauté sympa (surtout si vous parlez tchèque :-)) ;
5. les trucs qui, en 2016, devraient être standards (IPv6, résolveur DNS (…)

Il est surtout connu comme l'inventeur du courrier électronique tel que nous le connaissons, celui avec le @ entre la partie locale et le nom de domaine. Ray Tomlinson est mort hier à l'âge de 74 ans.

• L'article de TechRepublic sur son décès
• Un interview de retour sur le courrier électronique il y a un an
• Sa fiche Wikipédia
• Sa notice sur l'Internet Hall of Fame

Une faille très sérieuse (CVE-2015-7547) vient d'être découverte dans la GNU libc (qui équipe tous les serveurs et desktops utilisant Linux…). Lorsqu'on résoud un nom en adresse, avec getaddrinfo(), le tampon où arrive la réponse n'est pas toujours le bon, et une réponse de grande taille peut écraser la mémoire, et mener au crash du client, voire à l'exécution de code (aïe).

Une exploitation typique est : le méchant se connecte à un serveur SMTP GNU/Linux depuis une adresse IP (…)

Ian Murdock, une figure du logiciel libre, et le cofondateur de Debian (d’où le -ian du nom) est mort. Les causes ne sont pas encore connues.

Le communiqué de son dernier employeur, Docker : http://blog.docker.com/2015/12/ian-murdock

Avant sa mort, des tweets très bizarres et assez incohérents étaient apparus sur son compte Twitter. Des détails en http://techaeris.com/2015/12/28/debian-founder-ian-murdocks-tweets-raising-eyebrows et https://www.reddit.com/r/programming/comments/3ytdsi/ian_murdock_creator_of_debian_has_died/

Joyce Reynolds vient de mourir, de maladie. Elle était l’auteur de nombreux RFC, dont ceux sur telnet. Elle était aussi co-éditeur des RFC à la grande époque (celle de Jon Postel). Comme elle signait « J. K Reynolds », des tas de gens qui cherchaient à contacter « l’auteur de telnet » étaient surpris en la voyant « mais non, je cherche un technicien ». Elle avait aussi travaillé sur plein d’autres trucs des débuts de l’Internet (comme le TLD .us) et de l’IETF.

Une fameuse (…)

Il y a des tas d'articles sur LinuxFr qui parlent de dDoS, puisqu'elles sont une des plaies de l'Internet d'aujourd'hui, et que tout le monde a eu à gérer une « attaque par déni de service répartie » au moins une fois.

Ce court journal parle de deux attaques récentes visant des serveurs DNS. En effet, si on veut planter un service Internet (Web, IRC, etc), attaquer ses serveurs DNS est souvent plus simple et plus efficace que d'attaquer le service lui-même (…)

Le gouvernement vient d'ouvrir le site de la consultation publique sur le futur projet de loi Numérique. On peut s'y inscrire (compte local, Facebook ou Google), déposer des amendements, voter sur des propositions.

• Le site officiel
• Le site parodique qui, lui, utilise l'orthographe correcte.
• La seule proposition qui, à l'heure actuelle, cite Linux ou les logiciels libres
• Une proposition contre la vente liée de logiciels

Tiens, je ne vois pas d'article parlant d'Ethereum sur LinuxFr (à part un journal qui le mentionne juste en passant) Manque d'intérêt pour l'instant, ou bien défaillance du moteur de recherche, qui n'a pas trouvé les articles existants ?

Quoiqu'il en soit, maintenant que le livre des transactions (la blockchain) d'Ethereum a été officiellement démarrée (fin juillet), deux mots sur ce système : comme Bitcoin, il repose sur une structure de données publique (la blockchain), protégée cryptographiquement, et que chacun peut (…)