Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Sylpheed-Claws, le client de courrier électronique léger et puissant, est sorti en version 2.6.0 ce lundi. Cette version apporte son lot de nouveautés, mais surtout, il s'agit de la dernière version de Sylpheed-Claws.

L'équipe du projet a décidé de le renommer en Claws Mail, principalement parce que l'appellation "Version de test (ou instable) de Sylpheed" semble rester dans les esprits ; alors que cela fait environ deux ans que Claws est un projet stable, à part entière, et dont les buts diffèrent par rapport à Sylpheed.

Claws Mail est un client de courrier électronique basé sur la bibliothèque GTK+ et privilégiant la légèreté, la rapidité et l'extensibilité grâce à un système de greffons.

Une version, numérotée 3.3.1, devrait sortir sous peu pour apporter des correctifs à des problèmes découverts depuis la 3.3.0. L'un de ces problèmes est assez important, étant donné qu'il s'agit de faire cesser une violation de copyright concernant ClamAV.

Moins d'une semaine après l'annonce de l'arrêt de la version gratuite de BitKeeper et de son abandon simultané par de nombreux développeurs du noyau (dont Linus Torvalds bien sûr, mais aussi Greg Kroah-Hartman pour n'en citer qu'un), le développement du noyau reprend progressivement, avec des méthodes de travail légèrement modifiées.

Linus Torvalds a passé ces derniers jours à tester différentes solutions SCM [source code management] et a commencé à écrire un content tracker nommé git pour remplacer BitKeeper. D'autres développeurs ont contribué des idées et du code à ce petit outil, au point qu'au bout de moins d'une semaine, il est prêt pour un test grandeur nature. Andrew Morton vient d'envoyer un email titré "Incoming" sur la linux-kernel mailing-list, suivi de deux centaines de patches, qui vont être intégrés à l'arbre officiel par l'intermédiaire de git.

Espérons que les développeurs du noyau pourront être aussi efficaces avec git qu'ils l'étaient avec BitKeeper. La rapidité de ce changement d'outils laisse à penser que l'on peut être optimiste à ce sujet.

Sylpheed-Claws, un client de courrier électronique basé sur GTK+2, vient de sortir en version 2.2.0. Ce client a pour principaux avantages d'être léger, rapide, mais aussi très puissant et extensible.

La liste des changements de cette version est assez longue, et l'on peut y trouver pêle-mêle, des corrections de bogues, des améliorations (esthétiques et techniques), de nouvelles fonctionnalités et de nouveaux greffons.

Après presque exactement un an de développement depuis la version 1.0, l'équipe de Sylpheed-Claws est fière de vous présenter sa version 2.0. Sylpheed-Claws est un client de courrier électronique léger et rapide, aux possibilités virtuellement illimitées, uniquement dépassé par Mutt sur cet aspect.

Cette version 2.0 est la première version estampillée "stable" de la série GTK+2 et arrive après huit mois de développement depuis la première version GTK+2.

Depuis la version 1.9.14, l'accent a été mis sur la stabilité et la facilité d'utilisation des fonctionnalités de base.

Enfin, Sylpheed-Claws s'ouvre au reste du monde grâce à la multitude de greffons qui lui permet une grande flexibilité, en particulier grâce au greffon vCalendar, qui gère maintenant les souscriptions WebCal pour partager des calendriers d'évènements (tels que ceux proposés, par exemple, par l'Agenda du Libre), et à la naissance du greffon RSSyl, qui gère comme son nom l'indique, les flux RSS au sein de Sylpheed-Claws.

Biloba est un jeu de plateau qui ressemble un peu au jeu de dames, avec des règles assez différentes toutefois ; la tactique de jeu est par exemple plus importante qu'aux dames.

Biloba est à l'origine inventé par Guillaume Demougeot, qui m'en a demandé une version informatique il y a quelques mois ; le but principal de cette version PC est de faire connaître plus son jeu afin de trouver un éditeur pour une version boîte.

Aujourd'hui, Guillaume a bien voulu placer Biloba sous licence GPL, et c'est donc fièrement que nous vous annonçons sa disponibilité.

Biloba a la particularité de se jouer à deux, trois ou quatre joueurs en partage d'écran ou bien par réseau. Bien entendu, un mode solitaire est aussi possible contre l'ordinateur.

L'équipe de Sylpheed-Claws a le plaisir de vous présenter ses deux dernières version, la 1.0.4a et la 1.9.9.

Sylpheed-Claws est un client de courriel écrit en GTK, dérivé de Sylpheed. Ses ambitions sont d'être léger, rapide, et riche en fonctionnalités. Il existe depuis plus de quatre ans. Initialement, il s'agissait d'un fork amical de Sylpheed, et se destinait à permettre de tester de nouvelles fonctionnalités en vue d'une intégration éventuelle dans Sylpheed. Quatre ans plus tard, le projet a dévié de ses ambitions initiales et est plus devenu un fork simple. En effet, peu des fonctionnalités développées ont été reversées dans le code de Sylpheed. Par contre, Claws suit toujours le développement de Sylpheed par des synchronisations de code.

Depuis plusieurs années, les utilisateurs demandaient un portage vers GTK2, portage qui a fini par arriver il y a un peu plus d'un mois, avec la sortie conjointe de deux versions - une en GTK1, l'autre en GTK2. Le mode de développement futur n'était pas encore fixé.

À quelques jours d'intervalle, Sylpheed et Sylpheed-Claws sortent officiellement du beta-test. La version 1 de Sylpheed est arrivée, fort à propos, le 24 décembre dernier, suivie aujourd'hui de Sylpheed-Claws.

Ces deux logiciels, dont le deuxième est dérivé du premier, sont des clients mail conçus pour être rapides et efficaces. Tandis que le focus de Sylpheed est plus axé sur l'intuitivité et la simplicité d'utilisation, celui de Sylpheed-Claws est plus la puissance et la modularité - parfois au détriment de l'intuitivité.

Sylpheed existe depuis début 2000, et Sylpheed-Claws est né en Avril 2001, initialement pour servir d' "incubateur" à de nouvelles fonctionnalités de Sylpheed.

Linux 2.6.9 est sorti hier, le 18 octobre.

Entre 2.6.8 et 2.6.9, il y a beaucoup de différences, qui représentent beaucoup de petites choses :
mises à jour de différentes architectures (Sparc, PPC, ARM), ACPI, i2c, USB, systèmes de fichiers, pilotes vidéo et réseau...

ALSA a bénéficié d'une mise à jour massive, grâce à une synchronisation avec leur CVS; les vérifications de types sont maintenant plus strictes (d'où l'augmentation du nombre de warnings à la compilation - corrigez-en!) et pas mal d'annotations ont été ajoutées (elles permettent d'identifier correctement ce qui vient de l'espace utilisateur et ce qui vient du noyau, afin d'éviter que le noyau patouille dans les données utilisateur).

Un pseudo driver réseau a fait son apparition dans le noyau 2.6 il y a neuf mois, et n'a pas été remarqué malgré son utilité plutôt importante dans certains cas.

Il s'agit de netconsole, écrit par Ingo Molnar et Matt Mackal, qui permet de logger les messages du noyau via réseau (UDP). Cela présente les mêmes avantages qu'une console série, c'est-à-dire que c'est bien pratique pour débugguer un noyau sans écran, ou dont le pilote graphique est cassé pour une raison X ou Y. L'avantage supplémentaire est que ça fonctionne sans port série, port qui n'existe plus sur bon nombre de portables ou architectures (PPC, Sparc, ...).

Linux 2.6.8 vient de sortir. Il apporte son lot de mises à jour, corrections, nouvelles fonctionnalités. Quelques heures plus tard, il a été suivi du 2.6.8.1, qui corrige un gros problème avec NFS et qui causait des «Oopses».
Le 2.6.8.1 n'est pas encore arrivé sur kernel.org, mais ne va pas tarder.

Mise à jour : Colin rajoute « attention, Linux 2.6.8 a un gros problème de fuite mémoire lors de la gravure de CD audios. Les utilisateurs de graveurs devraient attendre un 2.6.8.2. Alternativement, le dernier noyau exempt de ces problèmes est le 2.6.8-rc2.

Une étude, publiée par l'institut Alexis de Tocqueville, publiée récemment par Kenneth Brown, jette le doute et l'incertitude sur la paternité de Linux. Une campagne de FUD comme on en aimerait moins.

Selon l'AdTI, il est probable que Linus Torvalds ne soit pas l'inventeur (sic) de Linux : il l'aurait écrit beaucoup trop vite pour avoir pu l'avoir fait tout seul.

Linus Torvalds a répondu de manière plutôt humoristique à ces accusations, avouant qu'en réalité il couvrait "le Père Noël et la petite Souris" ; expliquant par là même l'origine du premier nom de Linux, "Freax" : le père Noël et la petite Souris se sentent incompris.

Quelques jours plus tard, Andrew Tannenbaum, interviewé par Kenneth Brown pour cette étude, a publié une page sur son site, expliquant comment s'était passée son interview et pourquoi, selon lui, la crédibilité d'AdTI est proche de zéro.

Andrew Tanenbaum est l'auteur de Minix, un autre clone d'Unix qui a servi à Linus Torvalds d'inspiration et, initialement, de plate-forme de développement pour Linux. Toutefois, il n'y a pas trace de Minix dans le source de Linux, si ce n'est dans les noms de fichiers.

L'exchange-connector, un greffon (plugin) d'Evolution qui permet de connecter son client de messagerie à un serveur Microsoft Exchange, était un outil propriétaire et payant du temps de Ximian.

Un communiqué de presse datant du 11 mai, chez Novell, nous apprend qu'il est maintenant un logiciel libre à part entière, sous licence GPL et librement téléchargeable.

Peu de temps après la libération de Yast, voici une bonne nouvelle de la part de Novell. Espérons qu'ils continuent sur cette voie.

NdM : disponible en téléchargement à partir du 14 mai. Seules les distributions SUSE et RedHat sont supportées par Novell ou presque (Mandrake 9.1 et Sun Solaris 8 avec Sun Gnome 2), mais rien n'empêche les autres distributions d'empaqueter ce logiciel et de le supporter comme les autres logiciels libres sous licence GPL. Enfin Evolution 2.0 sortira au troisième trimestre en intégrant ce greffon.

NdM2 : merci également à klimber et tomc.

Carl-Daniel Hailfinger a découvert un tour de passe-passe assez flagrant, de la part de Linuxant, permettant à leur module non-GPL de ne pas teintercorrompre/souiller le noyau (NdM: avec un module propriétaire).
Ils utilisent pour ça un simple terminateur de chaine C, \0, dans la macro de définition de module :
MODULE_LICENSE("GPL\0for files in the \"GPL\" directory; for others, only LICENSE file applies");

Ceci a provoqué un long fil de discussion sur lkml.