Décidément, ça bouge chez EdenWall Technologies (anciennement INL) ! Deux semaines après la sortie d'une nouvelle version majeure de NuFW, l'éditeur nous gratifie d'un pare-feu complet et modulaire, NuFirewall, géré via une interface graphique conviviale. Il est composé de différentes briques :

• Administration système (réseau, DNS, annuaire d'utilisateurs...) ;
  
• Création de règles de filtrage Netfilter et NuFW ;
  
• Analyse graphique des logs ;
  
• Parefeu identifiant ;
  
• Gestion des certificats (PKI).
  

La seconde partie de la dépêche détaille les différentes briques.

Quelques brèves au sujet du langage Python :

• PyPy 1.2 inclut enfin un compilateur à la volée
  
• Inclusion d'Unladen Swallow dans CPython repoussée
  
• distutils, setuptools, distribute et distutils2
  
• Python 2.6.5RC2, 3.1.2RC1 et 2.7alpha3
  
• Vidéos des conférences Pycon US 2010
  
• Revues de presse hebdomadaire de l'AFPy
  
• AFPyros sur Paris
  

Détails en seconde partie de la dépêche.

La version 2.11 de la bibliothèque C GNU (glibc) est sortie le 30 octobre. Cette version apporte de nombreuses optimisations, de nouvelles fonctions, le support de DNSSEC, parle de nouvelles langues (Birman et Pachtou), etc. La seconde partie de cette dépêche détaille les nouveautés.

Cette version 2.11 est disponible pour ArchLinux, Linux From Scratch, Gentoo et Fedora 12. Alors qu'avant la glibc était gérée par CVS, cette version est la première à être publiée à partir du nouveau dépôt GIT. Par contre, le projet eglibc, variante de la glibc visant l'embarqué et utilisé dans Debian, continue à utiliser Subversion.

Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

Poulsbo ou « Intel GMA 500 » est une puce graphique utilisée dans de nombreux netbooks, téléphones et autres équipements embarqués, qui fleurissent dans nos magasins. Elle est supportée par Ubuntu 8.04, 9.04 et 9.10, Fedora 11 et Mandriva Linux.

Sauf que le pilote utilise des briques propriétaires et n'est plus maintenu depuis mars 2008. C'est pourquoi il n'existe pas, par exemple, dans Debian et risque de disparaître à court terme. D'ailleurs, l'installation est délicate (exige des manipulations) et le pilote n'est pas exempt de bug.

Cet article tente d'expliquer la situation actuelle du pilote Linux et vise à avertir les futurs acquéreurs de netbooks associant forcément (à tort) Intel à « pilotes libres ».

Après quatre années de développement, SystemTap annonce fièrement sa version 1.0 (le 23 septembre).
Pour rappel, SystemTap est un outil permettant d'analyser le fonctionnement d'un noyau Linux en cours de fonctionnement, à la manière de DTrace. Il s'utilise en ligne de commande avec un langage de script qui lui est dédié.
Le projet est distribué sous licence GPL et développé par Red Hat, IBM, Intel, Hitachi et Oracle. Vous trouverez de nombreux exemples sur le site Internet.

Le 19 août dernier, c'est Valgrind qui sortait sa version 3.5.
Valgrind contient plusieurs outils dont les plus connus sont memcheck (tracer les fuites mémoires et accès invalides à la mémoire) et Callgrind (tracer les appels de fonction et mesurer le temps d'exécution).
Mais, il existe d'autres outils comme Helgrind (analyser les erreurs liées aux processus légers), Cachegrind (analyser l'utilisation du cache et la prédiction des branches), Massif (profileur de la mémoire allouée sur le tas), etc.
La version 3.5 apporte notamment le support de Mac OS X en plus de Linux.

NdM : Merci à liberforce pour son journal sur la sortie de Valgrind 3.5

Brad Spengler, mainteneur du projet Grsecurity, a publié un exploit local pour le noyau Linux. Seule la version 2.6.30 du noyau est impactée. L'exploit a été publié rapidement car aucune distribution n'utilise cette version pour le moment. Il est capable de contourner les protections AppArmor, SELinux, LSM, et désactive l'audit. La faille concerne les interfaces réseaux virtuelles tun et a été introduite en février dernier. D'abord considérée comme un simple bug, elle a été découverte le 4 juillet, corrigée le lendemain, puis Brad a publié son exploit le 15 juillet.

Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux (lire notamment tous les commentaires présents dans le fichier exploit.c du tgz). Il reproche notamment la correction silencieuse de failles qui pose problème aux distributions Linux : les mainteneurs ne savent pas quels patchs doivent être backportés dans les branches stables. Il reproche également l'absence d'analyse de l'impact d'un bug en terme de sécurité : certaines failles sont considérées comme non exploitables, alors qu'elles le sont.

La seconde partie de cette dépêche détaille la faille.

Générer des nombres aléatoires avec un ordinateur (déterministe par définition) est un problème complexe. Il est facile d'introduire un biais par une maladresse. On a vu de nombreuses failles au fil des années, un exemple récent étant la faille introduite dans la version Debian d'OpenSSL (mai 2008).

Chaque système d'exploitation propose des périphériques et API différentes, et il existe diverses bibliothèques tierces, pour générer des nombres aléatoires. La bibliothèque Hasard propose une API simple, portable et haut niveau, pour limiter les erreurs d'un développeur, tout en réutilisant les briques existantes (ex: bibliothèques OpenSSL et gcrypt).

La version 0.9.6 supporte Linux, FreeBSD, Mac OS X et Windows, et devrait fonctionner sur n'importe quel système d'exploitation disposant des périphériques /dev/urandom et /dev/random. La bibliothèque Hasard est écrite en C, propose un binding Python, et est distribué sous licence BSD.

Le langage de programmation Python arrive dans une version 3.1 qui marque la maturation de la branche 3.x. Le passage à Unicode par défaut pour les chaînes de caractères dans Python 3.0 était source de nombreuses régressions au niveaux des performances. Celles-ci ont été gommées par la réécriture en C de la bibliothèques d'entrées/sorties (io) et l'optimisation des décodeurs des principaux jeux de caractères (ISO-8859-1, UTF-8 et UTF-16).

Les nouvelles fonctionnalités ne sont pas en reste. Le type « dictionnaire ordonné », qui conserve l'ordre d'insertion des éléments, souvent demandé par les utilisateurs, fait enfin son entrée dans le langage sous le nom « odict » (PEP 372: Adding an ordered dictionary to collections). L'instruction « with » accepte désormais d'écrire plusieurs contextes sur la même ligne, rendant contextlib.nested() désuet.

La seconde partie de la dépêche détaille les nouveautés de la version 3.1.

Le 8 juin dernier, la version 2.5.0 de Jython a été publiée. Pour rappel, c'est un interprète Python écrit en Java. Cette nouvelle version supporte désormais les fonctionnalités de Python 2.5 (version de Python sortie en 2006, voir les nouveautés de Python 2.5).

Le développement de Jython s'était essoufflé fin 2004 avec le départ du développeur le plus actif, Samuele Pedroni, qui s'est consacré à PyPy (implémentation de Python, écrite en Python). Jython était alors figé sur Python 2.2. En mars 2008, le projet est relancé par SUN (éditeur du langage Java) qui embauche Ted Leung et Frank Wierzbicki pour développer Jython. Jython 2.5 est le fruit de ce travail.

La 2e partie de cette dépêche contient d'autres brèves Python : vidéos de Pycon FR, Python 3.1, compilateur à la volée PyPy et EuroPython.