Qt est un framework (cadriciel en français) multiplateforme écrit en C++ avec des bindings pour Python et Ruby notamment. Il est la base de l'environnement de bureau KDE et Razor-qt. Certaines applications très connues l'utilisent. Citons par exemple VLC, Google Earth, Skype et VirtualBox. La version 5.1 vient d'être publiée ce 3 juillet.

Rappelons que Qt s'écrit Q majuscule et t minuscule, sinon QT c'est l'abbréviation de QuickTime. Cela se prononce « cute » comme mignon en anglais.

SDL (Simple DirectMedia Layer) est une bibliothèque multiplateforme orientée vers les jeux vidéo.

Elle permet de gérer la majorité des aspects nécessaire au développement afin de rendre le code portable. Elle fournit ainsi des API pour prendre en charge l'affichage, le son, les différents événements d'entrée (clavier, manette, souris…), les interactions avec le gestionnaire de fenêtre ; ainsi que des bibliothèques optionnelles de facilité (pour le réseau, les polices de caractère, les formats d'images, le mixage de son).

Après une très longue période de maturation, SDL 2.0 arrive enfin ! Pour cette version 2, en plus d'un mise à niveau majeure de l'API, la licence passe de la LGPL v2 à la licence zlib afin de faciliter son adoption.

Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

• utiliser l’extension Firefox noscript ;
• actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.

PostgreSQL est sorti ce lundi 20 septembre en version 9.0.
Pour mémoire, PostgreSQL est un système de gestion de base de données relationnel-objet qui se veut le plus performant possible tout en respectant les standards SQL au maximum, la licence du code source est de type MIT.
Cette dernière version apporte plus de 200 améliorations (nouvelles fonctions, nouvelles commandes, ajout d'options...) et permet de migrer à partir d'une base 8.3 ou 8.4.

La principale nouveauté est la réplication intégrée par défaut, qui était une demande importante de la part des utilisateurs.
Même si elle est limitée à un seul maître et plusieurs esclaves, ceci devrait réjouir beaucoup d'utilisateurs.
Les autres nouveautés importantes sont détaillées en seconde partie de dépêche.

John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

C'est ce soir, mardi 3 novembre, que sort la 25ème version de Mandriva Linux, la 2010.0. Cette version marque l'abandon de KDE 3, au profit de KDE 4, et de splashy (qui permettait un démarrage graphique), remplacé par Plymouth.

Les principales nouveautés sont le noyau 2.6.31, KDE 4.3, GNOME 2.28 ainsi que l'apparition de Moblin et la prise en charge des pilotes Poulsbo. La liste détaillée des nouveautés se trouve en deuxième partie de dépêche.

NdM: liens neutralisés en raison de la disparition des domaines

• Mandriva (12 clics) http://www2.mandriva.com/fr/
• Notes de Version de Mandriva Linux 2010.0 (16 clics) http://wiki.mandriva.com/fr/2010.0_Notes
• Visite guidée et copies d'écran (6 clics) http://wiki.mandriva.com/en/2010.0_What%27s_New
• Liste de matériel compatible (5 clics) http://hcl.mandriva.com
• Les errata ou points d'attention selon votre configuration (1 clic) http://wiki.mandriva.com/fr/2010.0_Errata

KDE Software Compilation 4.6 est sorti aujourd'hui. Rappelons que KDE est un environnement de bureau, c'est-à-dire que le but est d'offrir des logiciels pour gérer un bureau (gestionnaire de fenêtres, barre des tâches...), mais bien plus encore en fournissant des jeux, un navigateur Internet, un lecteur audio…

La grande absente de cette version est la nouvelle version de la suite KDE PIM (Personal Information Manager — gestionnaire d'informations personnelles), intégrant Akonadi, qui a encore une fois été repoussée, comme pour la sortie de version 4.5. Cette décision a été prise suite à des problèmes de migration des courriels depuis l'ancienne version. Comme pour la version précédente, il est prévu que cette version sorte avec la mise à jour de KDE 4.6.1. Espérons que ce soit la bonne cette fois-ci.

L'équipe de traduction en français a bien travaillé puisque plus de 98% des chaînes de caractères sont traduites.

Les nouveautés sont détaillées dans la seconde partie de la dépêche.

NdM : Cette dépêche est le résultat d'une fusion avec la dépêche proposée par gnumdk.

Firefox nous revient en arborant fièrement le numéro 23 et, sans cligner des yeux désormais, exécute un dunk renversant ! Quel champion ! Il peut se permettre de tirer la langue…

L'environnement de bureau KDE est sorti aujourd'hui en version 4.3, appelée Caizen. Après une version 4.0 et 4.1 pour les développeurs et une version 4.2 largement utilisable, cette nouvelle version 4.3 continue la stabilisation sans changement profond, même si 2 000 nouvelles fonctionnalités ont été ajoutées.

Les principaux changements sont l'arrivée de nouvelles technologies telles que PolicyKit, de nouvelles améliorations de Plasma et bien sûr de nombreuses corrections de bogues (plus de 10 000).

Dans le monde des distributions Linux, Debian est presque la plus âgée encore en activité, de plus elle bénéficie d'une réputation de (trop) grande stabilité. Cela a créé un large éventail de distributions dérivées, citons pour les plus connues : Ubuntu, KNOPPIX, Sidux, Damn Small Linux..., malheureusement, certains se plaignent que les développeurs de ces distributions ne font pas remonter leurs améliorations au projet source, provoquant dans certains cas une certaine antipathie de la part de développeurs Debian à l'égard de certaines de ces distributions.

Cette absence de communication étant, entre autres, due à une certaine difficulté à trouver des informations, cela pouvant donc passer pour une grosse perte de temps, Debian a créé un point de contact dédié à ces distributions dérivées, le Derivatives Front Desk. Concrètement, une équipe de volontaires se chargera d'aiguiller ceux qui voudraient faire profiter de leur travail vers les bonnes personnes ou de leur expliquer la procédure afin que Debian et les autres distributions dérivées puissent profiter ce de travail. Pour faciliter ce travail, une page de wiki a été mise en place, ainsi qu'une mailing-list.

Le supercalculateur Sequoia (prévu pour être le plus puissant supercalculateur lors de sa sortie) ne fera pas que battre des records de FLOPS, il utilisera aussi des processeurs BlueGene/Q d’IBM, les premiers processeurs commerciaux à utiliser une mémoire transactionnelle matérielle. Le processeur développé par Sun et annulé avec le rachat par Oracle, aurait également dû le prendre en charge.

C’est l’occasion d’expliquer ce qu’est la mémoire transactionnelle : une technique peu connue car elle pose des problèmes de performance lorsque plusieurs processus ou fils d’exécution (threads) doivent accéder à une valeur partagée.

N. D. A. : Merci à Nÿco, NeoX et Michel Barret pour leur aide lors de la rédaction de cette dépêche.