Injection SQL sur toutes les versions de Ruby on Rails

Posté par (page perso) . Édité par Bruno Michel, Benoît Sibaud, baud123 et rootix. Modéré par patrick_g. Licence CC by-sa.
Tags :
25
3
jan.
2013
Sécurité
   
Les développeurs de Ruby on Rails (aka RoR, un framwork de développement web open source populaire et basé sur Ruby) viennent d'émettre une alerte concernant une faille de sécurité de type injection SQL touchant toutes les versions de Ruby on Rails. Selon l'annonce, la faille se situe dans l'interface de requêtage d'ActiveRecord et plus précisément dans la manière dont les dynamic finders extraient les options des paramètres de méthodes. Un paramètre peut être utilisé en tant que scope et en manipulant ce dernier, il devient possible d'injecter du SQL. Des appels tels que Post.find_by_id(params[:id]) sont vulnérables. Nous vous laissons consulter l'annonce pour plus de détails. Logo RoR

Les mainteneurs ont sorti des nouvelles versions hier – 3.2.10, 3.1.9 and 3.0.18 – corrigeant le problème et il est fortement recommandé de mettre à jour dès que possible. Pour ceux qui ne peuvent se permettre une mise à jour, des patches sont aussi disponibles pour les branches supportées (3.1.x et 3.2.x), mais aussi des branches plus anciennes et non supportées officiellement (3.0 et 2.3). Dans ce dernier cas, il faut vraiement mettre à jour car les correctifs de sécurité ne sont pas garantis à l'avenir.

LinuxFr.org, qui, rappelons-le, est basé sur RoR, est déjà passé en 3.2.10 !

Sonar 2.13 est disponible

Posté par (page perso) . Édité par Lucas Bonnet, Nÿco, Mouns et baud123. Modéré par Lucas Bonnet. Licence CC by-sa.
25
27
jan.
2012
Java

Sonar, l'outil d'analyse de la qualité du code source que l'on ne présente (presque) plus désormais, vient de sortir sa nouvelle version, comme toutes les 6 semaines ou presque.
Logo Sonar

La version complètement Open Source (LGPL v3) permet d'analyser du Java, PHP, Groovy, C#, Flex/ActionScript et du Javascript et fournir les résultats détaillés et agrégés dans un portail web contenant des tableaux de bords essentiellement techniques. Il s'intègre assez naturellement avec les outils d'intégration continue.

Les nouveautés sont détaillées dans la seconde partie. Vous pouvez tester par vous même sur l'instance publique de Sonar.

Le fondateur de KDE décoré par l'État allemand

Posté par (page perso) . Modéré par Florent Zara.
Tags : aucun
25
8
nov.
2009
KDE
Matthias Ettrich a reçu, vendredi 6 novembre à 16 h, la Croix du Mérite allemande pour ses contributions au logiciel libre.
Beaucoup de chemin a en effet été parcouru depuis le lancement du projet KDE en 1996. Malgré le choix initialement risqué d'un environnement de programmation qui n'était pas libre, à l'époque (Qt), KDE a vite montré sa supériorité par rapport aux solutions basées sur Motif. Aujourd'hui KDE e.V. est un contributeur majeur au logiciel libre : KDE est un des environnements de bureaux les plus utilisés pour les systèmes Unix, ses composants peuvent aussi être utilisés sous Windows, KOffice a été porté sur des téléphones mobiles Nokia. KDE a continué à innover en s'orientant maintenant vers le bureau sémantique grâce au projet NEPOMUK, donné en exemple pour la rapidité avec laquelle ce projet de recherche européen a été mis à disposition des utilisateurs finaux : cet outil logiciel est désormais intégré dans certaines distributions GNU/Linux majeures.

Le succès de KDE a aussi été indirectement à l'origine du développement de l'autre grand environnement de bureau pour les Unix : GNOME. C'est sous l'impulsion de Matthias Ettrich que les bureaux libres sont devenu ce qu'ils sont aujourd'hui : une solution crédible pour le plus grand nombre. Aujourd'hui, l'Allemagne reconnaît cette contribution exceptionnelle au logiciel libre.

NdM : Merci à JGO, dont le journal est à l'origine de cette dépêche. Il tient à préciser qu'il n'utilise plus KDE comme bureau, même s'il apprécie toujours la qualité des applications KDE.

Meilleures contributions LinuxFr.org : les primées de l'été 2016

Posté par (page perso) . Modéré par patrick_g.
Tags : aucun
24
13
sept.
2016
LinuxFr.org

Nous continuons sur notre lancée de récompenser ceux qui chaque mois contribuent au site LinuxFr.org (dépêches, commentaires, logo, journaux, patchs, etc.). Vous n'êtes pas sans risquer de gagner un abonnement à GNU/Linux Magazine France ou encore un livre des éditions Eyrolles ou ENI. Voici les gagnants du mois de l'été 2016 :

Abonnement d'un an à Linux Magazine France

Livres des éditions Eyrolles et ENI

Les livres qu'ils ont sélectionnés sont en seconde partie de la dépêche. N'oubliez pas de contribuer, LinuxFr.org vit pour vous et par vous !

Présentation de GBirthday et appel à contribution

Posté par (page perso) . Édité par Davy Defaud. Modéré par rootix. Licence CC by-sa.
Tags : aucun
24
13
sept.
2012
Gnome

GBirthday est un petit logiciel sans prétention, qui affiche une icône dans la zone de notification système pour signaler les anniversaires à souhaiter. Il présente une icône différente selon qu’on a un anniversaire à souhaiter aujourd’hui, bientôt ou pas du tout. Il peut importer‐exporter (au format .ics, pour ne pas réinventer la roue) sa liste d’anniversaires depuis/vers plusieurs formats :

Logo GBirthday

Il est disponible sous licence GPL v2 ou ultérieure. La suite de la dépêche vous donne quelques détails complémentaires sur cette petite application et sur l’appel à contribution de l’auteur.

NdM : Merci à jihele pour ses journaux sur le sujet. Il était temps de lui donner un peu plus de visibilité.

Les pirates contre-ACTA

Posté par (page perso) . Édité par Benoît Sibaud, baud123 et Nils Ratusznik. Modéré par Benoît Sibaud.
Tags : aucun
24
20
juin
2012
Paris Open Source Summit

Un salon Solutions Linux sans la sortie de Pinpin et des trublions de GCU n'est pas Solutions Linux. Après les tribulations des années passées (le procès de Microsoft, les bouchers d'Hadopi, SM2008, etc.) voici que débarquent les pirates du net depuis 14h sur le salon. Déguisés en Jack Sparrow pirates et accompagnés du fidèle Pinpin, les lutins de GCU, ignorant superbement Microsoft tout en se servant de leur stand, déambulent joyeusement et bruyamment dans les allées pour sensibiliser les visiteurs et exposants aux dangers d'ACTA. En effet, on peut difficilement les manquer et les conférences doivent avoir du mal à se tenir : ils sont désormais équipés d'un mégaphone d'une portée de 500 mètres.

L'objectif est clair : stop à ACTA. Demain un vote d'importance a lieu en commission INTA (commerce international) et faire en sorte qu'un maximum de personnes arrêtent de procrastiner et se mobilisent pour appeler leur député européen et leur expliquent que le rejet d'ACTA est la seul alternative viable. Nous allons éviter de paraphraser La Quadrature du Net, voici le verbatim de leur message :

Agissez contre ACTA : La commission « Commerce international » (INTA) doit voter son rapport final. Ce vote crucial aura lieu le 21 juin, et sera l'ultime et décisive étape avant le vote final en plénière : en fonction de sa recommandation, le rapport proposera l'adoption ou le rejet de l'ACTA par l'ensemble du Parlement européen, et donc l'UE.
Contactez les membres de la commission INTA, et demandez-leur de s'opposer à tous les amendements déposés (en particulier celui qu projette d'aider la Commission européenne et les lobbies pro-ACTA en repoussant le vote final !), et de voter en faveur d'un rejet ferme de l'ACTA !

Certains nous demandaient comment aider La Quadrature du Net s'ils n'avaient pas les moyens de faire un don. Maintenant vous savez.

Journal « Squeeze », le petit nom de la future Debian

Posté par (page perso) .
Tags : aucun
24
2
sept.
2008
Je ne pense pas avoir vu passer l'info ici. : Après Lenny, qui ne devrait pas tarder, la future Debian stable s'appellera Squeeze. L'annonce a été faite sur Debian-devel hier : http://lists.debian.org/debian-devel-announce/2008/09/msg000(...)

La saga des noms issus du dessin animé Toy Story continue. Pour les curieux, vous en saurez plus sur Squeeze, l'extraterrestre à 3 yeux, ici : http://en.wikipedia.org/wiki/List_of_Toy_Story_characters#Sq(...)

En attendant, n'hésitez pas à continuer à tester Lenny avant sa sortie officielle :)

Nouvelles de ProtonMail : version 2.0, ouverture (partielle) du code et mobilité

Posté par (page perso) . Édité par M5oul, Benoît Sibaud, Nÿco, Jiehong, Syvolc et BAud. Modéré par Pierre Jarillon. Licence CC by-sa.
23
31
août
2015
Sécurité

ProtonMail, service de messagerie web initié en 2013 qui s'annonce sécurisé et respectueux de la vie privée, a refait parler de lui cet été avec pas moins de trois annonces coup sur coup :

  • La mise à disposition de la version 2.0 ;
  • L'arrivée des applications mobiles dédiées ;
  • L'ouverture du code source de la partie cliente uniquement.

logo ProtonMail

Détails dans la suite de la dépêche.

ScreenCloud devient libre (GPL inside)

Posté par (page perso) . Édité par ZeroHeure, palm123, Xavier Teyssier, Xavier Claude et NeoX. Modéré par rootix. Licence CC by-sa.
Tags :
23
13
sept.
2013
Graphisme/photo

En juin dernier, un petit logiciel de capture d'écran simple et multi-plateforme (Windows, Linux et MacOS) est devenu libre, basculant sous licence GPLv2. Il s'agit de ScreenCloud. La particularité de ce dernier est de pouvoir téléverser dans les nuages et partager la capture d'écran quasiment automatiquement. Vous pouvez utiliser votre propre serveur (S)FTP, Dropbox, Ubuntu One, imgur, ou le service fourni par ScreenCloud.net. Libre à vous désormais d'ajouter une extension pour prendre en charge votre propre service. Vous pouvez bien sûr stocker en local.

Logo ScreenCloud
Son auteur, Olav S. Thoresen, manque cruellement de temps pour travailler dessus et comme il recevait de plus en plus de demandes d'améliorations qu'il ne pouvait satisfaire, voire de propositions pour l'aider à corriger des bugs, il a choisi d'ouvrir et de libérer le code source dans l'espoir que les personnes qui se sont montrées motivées puissent se l'approprier et accélérer les développements.

Etherpad Lite 1.2.1

Posté par (page perso) . Édité par baud123, Nÿco et Xavier Teyssier. Modéré par patrick_g. Licence CC by-sa.
23
4
déc.
2012
Bureautique

Etherpad Lite, éditeur de texte collaboratif temps réel en ligne, vient de sortir en version 1.2.1. Basé sur Node.js, c'est une réécriture complète en Javascript d'Etherpad premier du nom, suite à sa libération par Google. À défaut de fonctionnalités utilisateur, cette version contient tout un tas de nouvelles facilités qui intéresseront les administrateurs et traducteurs de la solution.

Tous ces changements techniques s'accompagnent d'un changement sur l'organisation aussi. La fondation créée pour coordonner les développements bascule le code source sur un Github de la fondation (ether) et plus un Github personnel et finalise son inscription à la Software Freedom Conservancy.

Tous les détails dans la suite de la dépêche.

Édition 2012 de Wiki Loves Monuments

Posté par (page perso) . Édité par Nÿco et Xavier Claude. Modéré par Lucas Bonnet. Licence CC by-sa.
Tags : aucun
23
4
sept.
2012
Communauté

Wiki Loves Monuments est un concours de photos libres de monuments historiques du monde entier. Il a démarré en 2010 aux Pays Bas, s'est ouvert à l'Europe l'année passé et embrasse le monde en 2012 ! Le concours est ouvert depuis ce 1er septembre, et ce jusqu’au 30 septembre. « Outre les prix récompensant les meilleurs photographies, des prix spéciaux seront attribués, notamment pour le participant ayant photographié le plus de monuments historiques différents non illustrés jusqu’alors. »

Logo Wiki Loves Monuments

Comment participer ? Les informations concernant la participation sont disponibles sur : http://wikilovesmonuments.fr/presentation/. Il est nécessaire d'avoir créé un compte sur Wikimedia Commons (https://commons.wikimedia.org/). Vous pouvez ensuite importer vos photos via l’assistant d’import. Pour vous aider ou trouver des idées parmi les 43 000 monuments historiques français ou ceux du Québec, voici les listes des :

Mais vous n'êtes pas obligés de vous cantonner aux monuments français. Si vous voyagez, vous pourrez également proposer des photos de monuments de 36 pays du monde entier répartis sur les cinq continents. Il y a des prix à gagner, mais plus que cela, la satisfaction de contribuer au partage de la connaissance (en mode libre !). Par exemple, à peine le concours démarré et la première photo mise en ligne que l'article francophone correspondant sur l'église San Agustín à Paoay aux Philippines a été créé !

Revue de presse — octobre 2011

Posté par (page perso) . Modéré par tuiu pol. Licence CC by-sa.
23
17
oct.
2011
Presse

Après le rush de la rentrée, voici vos magazines du mois d’octobre :

  • Linux Pratique Essentiel n° 22 ;
  • Linux Pratique hors‐série n° 22 ;
  • GNU/Linux Magazine France n° 142 ;
  • MISC hors‐série n° 4 ;
  • Open Silicium n°4.

Le contenu est détaillé en seconde partie de dépêche.

Et toujours en kiosques, Linux Pratique n° 67, Planète Linux n° 66 et MISC n° 57.

Quelques nouvelles de KDE

Posté par (page perso) . Modéré par Nÿco.
Tags : aucun
23
26
nov.
2009
KDE
Quelques nouvelles sur KDE, le changement de stratégie d'utilisation de la marque, KOffice 2.1 et le futur de KDE avec Qt4.6.

Gestion de marque / Marketing
Depuis quelques temps le groupe de travail sur le marketing de KDE montrait des signes d'activité qui ont finalement abouti sur une décision de repositionnement de la marque « KDE ». Ce reposionnement peut se résumer en cette phrase « KDE n'est plus un logiciel créé par une communauté, mais une communauté qui créée des logiciels ». Ce changement affecte donc l'utilisation de la « marque KDE » et s'effectue ainsi :
  • KDE ne veut plus dire K Desktop Environment ;
  • KDE désigne la communauté de développement et est aussi un terme générique pour parler des technologies créées par la communauté ;
  • L'espace de travail (KDE Workspace) est désormais appelé KDE Plasma Desktop (et aussi KDE Plasma Netbook pour la version de Plasma dédiée aux netbooks) ;
  • Les technologies de base (KDE Pillars : Phonon, Solid...) deviennent KDE Platform ;
  • Les applications sont « Les applications de KDE » (the KDE Applications) ;
  • Les prochaines versions de KDE seront dénommées « KDE Software Compilation 4.x » pour souligner la différence entre KDE (la communauté) et le résultat produit par le projet central (la compilation de logiciels).
Cela permet de réintégrer certains logiciels hors projet comme k3b, amarok ou encore KOffice dans l'idée de communauté et non plus les considérer comme séparés (au niveau planning et équipe).

KOffice 2.1
La suite bureautique associée à KDE vient de sortir une nouvelle version majeure. À l'image de KDE4.1, KOffice 2.1 n'est pas encore destiné au grand public mais plutôt aux amateurs de logiciels nouveaux, et plus en complément qu'en tant qu'outil principal en dehors des outils graphiques Karbon (dessin vectoriel) et Krita (dessin matriciel).

Le retour des fonctionnalités est prévu pour la prochaine version majeure, dans la lignée du modèle de développement de KDE (la 4.2 devant porter les fonctionnalités à égalité avec KDE3.5).

À noter aussi que Nokia a annoncé récemment lors du lancement du N900 qu'il allait baser la suite bureautique de son système d'exploitation sur KOffice, ce qui devrait accélérer encore son développement (et en particulier sa compatibilité entre formats de fichiers).

Évolution de KDE et Qt4.6
En attendant la dépêche sur Qt4.6, le dernier lien propose un message montrant les possibilités en terme de multipoint du framework de développement. Il n'y a plus qu'à espérer voir des applications l'utilisant dans les prochaines versions de KDE :-)

NdM : Merci à reeth pour son journal à l'origine de la dépêche.

NAS LaCie Network Space : un firmware alternatif

Posté par (page perso) . Modéré par patrick_g.
Tags :
23
28
oct.
2009
Matériel
NdM : Julien04 nous fait part dans les journaux d'un firmware alternatif auquel il a participé. Nous avons souhaité mettre en valeur son retour d'expérience

« J'ai commandé un NAS grand public (LaCie Network Space 1 TO). Ça coûte une centaine d'euros, disque de 1To compris, donc on imagine bien que les performances seront à la hauteur du prix. Mais au delà des performances, ce sont les fonctionnalités qui m'ont déçu ! En effet, il propose bien le partage FTP et samba, mais seulement un partage public et un seul partage privé (login/pass). Or une séparation des droits est indispensable pour moi...

Puisque le NAS tourne via Linux, j'ai cherché un firmware alternatif, mais rien n'était disponible. Seulement des personnes motivées qui arrivent à obtenir un accès telnet grâce à une faille dans l'interface web. Ils mettent à jour ou ajoutent certains logiciels, rien de plus concret. Et puis j'ai remarqué qu'un NAS Philips, le SPD8020, était très proche techniquement (même carte de développement de la société Marvell) et surtout que quelqu'un maintenait un firmware alternatif ! Cette personne, nommée jippiejajee, un hollandais, a pris le temps de m'aider à comprendre la structure du disque LaCie et à la modifier pour pouvoir utiliser son firmware alternatif Philips. Pour résumer, il faut
  • Sortir le disque du NAS ;
  • Refaire toutes les partitions ;
  • Formater un peu d'ext3 et utiliser dd pour importer certaines partitions brutes.
jippiejajee a du adapter son firmware à la séquence de démarrage (boot) imposée par le hardware LaCie, j'ai débuggué et maintenant ça fonctionne ! Il en a donc fait une version à part entière qui possède son propre tutoriel. Ce firmware propose tout ce qui me manquait :
  • Gestion des utilisateurs ;
  • Meilleure gestion des partages ;
  • Des fioritures comme partage NFS, client torrent, etc. ;
  • De meilleurs performances en samba et en FTP.
Le libre a encore gagné ! J'espère que d'autres pourront délivrer leur NAS grâce à ce firmware alternatif. »

Entretien avec l'hébergeur Toile Libre

Posté par (page perso) . Modéré par Nÿco.
23
29
avr.
2009
Internet
Il y a quelques temps, l'équipe de LinuxFr a rencontré Toile Libre, une association qui fournit un service d'hébergement classique, mais de façon plutôt atypique. En effet, ils proposent de l'hébergement associatif (web, mail, svn, ftp, irc, etc.) à prix libre. Ils semblent accepter tout public sans véritable restriction. Afin de mieux les connaître, nous leur avons donc posé un certain nombre de questions pour savoir qui ils sont, quelles sont leurs valeurs, quel est leur modèle économique et leur viabilité, et surtout comment cela tourne techniquement !

Merci à eux et à tous ceux qui nous ont suggéré les questions. Leurs noms et contributions originales sont toujours disponibles sur la page originale de proposition d'entretien.

NdM : Sachez que vous pouvez utiliser le système de proposition d'entretien pour en suggérer.