XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois

107
31
mar.
2024
Sécurité

Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Claws Mail abandonne son greffon ClamAV

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes :
1
21
fév.
2008
Internet
Claws Mail est un client de courrier électronique basé sur la bibliothèque GTK+ et privilégiant la légèreté, la rapidité et l'extensibilité grâce à un système de greffons.

Une version, numérotée 3.3.1, devrait sortir sous peu pour apporter des correctifs à des problèmes découverts depuis la 3.3.0. L'un de ces problèmes est assez important, étant donné qu'il s'agit de faire cesser une violation de copyright concernant ClamAV.

Claws Mail 2.8.0 est sorti !

Posté par  (site web personnel) . Modéré par Mouns.
Étiquettes :
0
28
fév.
2007
Internet
Claws Mail est un client de courrier électronique léger, rapide et puissant. Il est extensible via un système de greffons.

Cette nouvelle version apporte son lot de nouvelles fonctionnalités :
Les abonnements IMAP sont maintenant gérés. Dans le cas des comptes existants, les dossiers non-abonnés seront toujours vus afin de ne pas changer l'affichage existant ; pour les nouveaux comptes, la vue par défaut comprendra uniquement les dossiers abonnés. Un menu contextuel a été ajouté sur les dossiers IMAP pour permettre de changer la vue, abonner et désabonner des dossiers.

D'autre part, les anciennes options de séparation des fenêtres de la liste des dossiers et du message ont été remplacées par quatre types d'affichage : "Standard", "Trois colonnes", "Message large" et "Liste de messages large".

Ces deux nouvelles fonctionnalités sont les plus visibles, mais ne sont pas les seules...

Claws Mail 2.7.0 disponible

Posté par  (site web personnel) . Modéré par j.
Étiquettes :
0
9
jan.
2007
Internet
Claws Mail est un client de courrier électronique, léger, rapide et puissant, précédemment connu sous le nom de Sylpheed-Claws. Il est extensible grâce à un système de greffons.

Parmi les nouveautés de cette version 2.7, on trouvera entre autres la possibilité d'appliquer un modèle aux nouveaux messages, comme pour les réponses ; la possibilité d'utiliser deux dictionnaires simultanément lors de la composition de messages ; la possibilité de copier des dossiers ou arborescences entières, d'une boîte aux lettres à une autre.

L'assistant de configuration pour les nouveaux utilisateurs a été amélioré, afin de pouvoir prendre en compte des situations inhabituelles, sans pour autant le compliquer. Le greffon Bogofilter a été étendu et permet maintenant de mettre en liste blanche les messages provenant d'adresses présentes dans le carnet et de mettre ceux pour lesquels il n'est pas sûr de la "spamicité" dans un dossier séparé, ce qui aide à lui faire apprendre correctement plus de messages légitimes. Nombre d'autres fonctionnalités ont été améliorées et dix traductions ont été mises à jour, dont la traduction française.

Sylpheed-Claws devient Claws Mail

Posté par  (site web personnel) . Modéré par j.
Étiquettes :
1
9
nov.
2006
Internet
Sylpheed-Claws, le client de courrier électronique léger et puissant, est sorti en version 2.6.0 ce lundi. Cette version apporte son lot de nouveautés, mais surtout, il s'agit de la dernière version de Sylpheed-Claws.

L'équipe du projet a décidé de le renommer en Claws Mail, principalement parce que l'appellation "Version de test (ou instable) de Sylpheed" semble rester dans les esprits ; alors que cela fait environ deux ans que Claws est un projet stable, à part entière, et dont les buts diffèrent par rapport à Sylpheed.

Sylpheed-Claws 2.5.0 est sorti !

Posté par  (site web personnel) . Modéré par Pascal Terjan.
Étiquettes :
0
25
sept.
2006
Internet
Sylpheed-Claws est un client de courrier électronique basé sur GTK+2 qui vise à être rapide, stable, et complet.

Pour cette nouvelle version, l'accent a été mis sur la facilité d'utilisation et la correction de petites incohérences graphiques. Les corrections de bugs n'ont cependant pas été oubliées, avec une vingtaine d'entre eux corrigés et quatre nouvelles fonctionnalités notables font leur apparition. Quelques-uns des quinze greffons externes ont reçu des améliorations conséquentes.

Mise à jour : Sylpheed-Claws 2.5.1 vient d'être publié pour corriger un bug du plugin bogofilter.

Sortie de Sylpheed-Claws 2.2.0

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
8
mai
2006
Internet
Sylpheed-Claws, un client de courrier électronique basé sur GTK+2, vient de sortir en version 2.2.0. Ce client a pour principaux avantages d'être léger, rapide, mais aussi très puissant et extensible.

La liste des changements de cette version est assez longue, et l'on peut y trouver pêle-mêle, des corrections de bogues, des améliorations (esthétiques et techniques), de nouvelles fonctionnalités et de nouveaux greffons.

La version 2.0 de Sylpheed-Claws est sortie !

Posté par  (site web personnel) . Modéré par Nÿco.
Étiquettes :
0
30
jan.
2006
Internet
Après presque exactement un an de développement depuis la version 1.0, l'équipe de Sylpheed-Claws est fière de vous présenter sa version 2.0. Sylpheed-Claws est un client de courrier électronique léger et rapide, aux possibilités virtuellement illimitées, uniquement dépassé par Mutt sur cet aspect.

Cette version 2.0 est la première version estampillée "stable" de la série GTK+2 et arrive après huit mois de développement depuis la première version GTK+2.

Depuis la version 1.9.14, l'accent a été mis sur la stabilité et la facilité d'utilisation des fonctionnalités de base.

Enfin, Sylpheed-Claws s'ouvre au reste du monde grâce à la multitude de greffons qui lui permet une grande flexibilité, en particulier grâce au greffon vCalendar, qui gère maintenant les souscriptions WebCal pour partager des calendriers d'évènements (tels que ceux proposés, par exemple, par l'Agenda du Libre), et à la naissance du greffon RSSyl, qui gère comme son nom l'indique, les flux RSS au sein de Sylpheed-Claws.

Libération de Biloba, un nouveau jeu de plateau

Posté par  (site web personnel) . Modéré par rootix.
Étiquettes :
0
23
sept.
2005
Jeu
Biloba est un jeu de plateau qui ressemble un peu au jeu de dames, avec des règles assez différentes toutefois ; la tactique de jeu est par exemple plus importante qu'aux dames.

Biloba est à l'origine inventé par Guillaume Demougeot, qui m'en a demandé une version informatique il y a quelques mois ; le but principal de cette version PC est de faire connaître plus son jeu afin de trouver un éditeur pour une version boîte.

Aujourd'hui, Guillaume a bien voulu placer Biloba sous licence GPL, et c'est donc fièrement que nous vous annonçons sa disponibilité.

Biloba a la particularité de se jouer à deux, trois ou quatre joueurs en partage d'écran ou bien par réseau. Bien entendu, un mode solitaire est aussi possible contre l'ordinateur.

Sylpheed-Claws: Changement de direction

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes :
0
9
mai
2005
Communauté
L'équipe de Sylpheed-Claws a le plaisir de vous présenter ses deux dernières version, la 1.0.4a et la 1.9.9.

Sylpheed-Claws est un client de courriel écrit en GTK, dérivé de Sylpheed. Ses ambitions sont d'être léger, rapide, et riche en fonctionnalités. Il existe depuis plus de quatre ans. Initialement, il s'agissait d'un fork amical de Sylpheed, et se destinait à permettre de tester de nouvelles fonctionnalités en vue d'une intégration éventuelle dans Sylpheed. Quatre ans plus tard, le projet a dévié de ses ambitions initiales et est plus devenu un fork simple. En effet, peu des fonctionnalités développées ont été reversées dans le code de Sylpheed. Par contre, Claws suit toujours le développement de Sylpheed par des synchronisations de code.

Depuis plusieurs années, les utilisateurs demandaient un portage vers GTK2, portage qui a fini par arriver il y a un peu plus d'un mois, avec la sortie conjointe de deux versions - une en GTK1, l'autre en GTK2. Le mode de développement futur n'était pas encore fixé.

Linus développe un remplaçant original à BitKeeper

Posté par  (site web personnel) . Modéré par Mouns.
1
12
avr.
2005
Gestion de versions
Moins d'une semaine après l'annonce de l'arrêt de la version gratuite de BitKeeper et de son abandon simultané par de nombreux développeurs du noyau (dont Linus Torvalds bien sûr, mais aussi Greg Kroah-Hartman pour n'en citer qu'un), le développement du noyau reprend progressivement, avec des méthodes de travail légèrement modifiées.

Linus Torvalds a passé ces derniers jours à tester différentes solutions SCM [source code management] et a commencé à écrire un content tracker nommé git pour remplacer BitKeeper. D'autres développeurs ont contribué des idées et du code à ce petit outil, au point qu'au bout de moins d'une semaine, il est prêt pour un test grandeur nature. Andrew Morton vient d'envoyer un email titré "Incoming" sur la linux-kernel mailing-list, suivi de deux centaines de patches, qui vont être intégrés à l'arbre officiel par l'intermédiaire de git.

Espérons que les développeurs du noyau pourront être aussi efficaces avec git qu'ils l'étaient avec BitKeeper. La rapidité de ce changement d'outils laisse à penser que l'on peut être optimiste à ce sujet.

Sylpheed et Sylpheed-Claws arrivent en version 1.0.0.

Posté par  (site web personnel) . Modéré par Florent Zara.
Étiquettes :
0
18
jan.
2005
Internet
À quelques jours d'intervalle, Sylpheed et Sylpheed-Claws sortent officiellement du beta-test. La version 1 de Sylpheed est arrivée, fort à propos, le 24 décembre dernier, suivie aujourd'hui de Sylpheed-Claws.

Ces deux logiciels, dont le deuxième est dérivé du premier, sont des clients mail conçus pour être rapides et efficaces. Tandis que le focus de Sylpheed est plus axé sur l'intuitivité et la simplicité d'utilisation, celui de Sylpheed-Claws est plus la puissance et la modularité - parfois au détriment de l'intuitivité.

Sylpheed existe depuis début 2000, et Sylpheed-Claws est né en Avril 2001, initialement pour servir d' "incubateur" à de nouvelles fonctionnalités de Sylpheed.

Sortie du noyau Linux 2.6.9

Posté par  (site web personnel) . Modéré par jerome.
0
19
oct.
2004
Noyau
Linux 2.6.9 est sorti hier, le 18 octobre.

Entre 2.6.8 et 2.6.9, il y a beaucoup de différences, qui représentent beaucoup de petites choses :
mises à jour de différentes architectures (Sparc, PPC, ARM), ACPI, i2c, USB, systèmes de fichiers, pilotes vidéo et réseau...

ALSA a bénéficié d'une mise à jour massive, grâce à une synchronisation avec leur CVS; les vérifications de types sont maintenant plus strictes (d'où l'augmentation du nombre de warnings à la compilation - corrigez-en!) et pas mal d'annotations ont été ajoutées (elles permettent d'identifier correctement ce qui vient de l'espace utilisateur et ce qui vient du noyau, afin d'éviter que le noyau patouille dans les données utilisateur).

Netconsole, log de messages noyaux via UDP

Posté par  (site web personnel) . Modéré par Jaimé Ragnagna.
Étiquettes :
0
30
sept.
2004
Noyau
Un pseudo driver réseau a fait son apparition dans le noyau 2.6 il y a neuf mois, et n'a pas été remarqué malgré son utilité plutôt importante dans certains cas.

Il s'agit de netconsole, écrit par Ingo Molnar et Matt Mackal, qui permet de logger les messages du noyau via réseau (UDP). Cela présente les mêmes avantages qu'une console série, c'est-à-dire que c'est bien pratique pour débugguer un noyau sans écran, ou dont le pilote graphique est cassé pour une raison X ou Y. L'avantage supplémentaire est que ça fonctionne sans port série, port qui n'existe plus sur bon nombre de portables ou architectures (PPC, Sparc, ...).

Linux 2.6.8, suivi de près par Linux 2.6.8.1

Posté par  (site web personnel) . Modéré par Florent Zara.
0
14
août
2004
Noyau
Linux 2.6.8 vient de sortir. Il apporte son lot de mises à jour, corrections, nouvelles fonctionnalités. Quelques heures plus tard, il a été suivi du 2.6.8.1, qui corrige un gros problème avec NFS et qui causait des «Oopses».
Le 2.6.8.1 n'est pas encore arrivé sur kernel.org, mais ne va pas tarder.

Mise à jour : Colin rajoute « attention, Linux 2.6.8 a un gros problème de fuite mémoire lors de la gravure de CD audios. Les utilisateurs de graveurs devraient attendre un 2.6.8.2. Alternativement, le dernier noyau exempt de ces problèmes est le 2.6.8-rc2.