samedi juin 21 2008

France Inter minable...

Merci à Aurélie Charon pour cette belle sortie lors de l'émission Esprit critique du 19 juin 2008 de France Inter :

[...] On risque 300 000 euros d'amende et jusqu'à 3 ans de prison, enfin ce sont les gros pirates qui risquent, ceux qui mettent en ligne les logiciels libres, les autres, les internautes, peuvent payer de plus petites amendes, au total un système pas très efficace.

J'ai bien sur envoyé un message au médiateur de France Inter, aura t'on une réponse samedi ? Plus d'informations et débat sur Linuxfr.

mardi mai 13 2008

Énorme faille dans OpenSSL de Debian

Le DSA-1571-1 vient de paraître : il s'agit d'une énorme faille spécifique à Debian introduite dans la version 0.9.8c-1 d'OpenSSL.

Comme le précise l'annonce de sécurité, toutes les clés générés avec une version d'OpenSSL supérieure à la 0.9.8c-1 doivent être considérés comme compromises !

It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

Comme le montre Nicolas Bareil, la faille, introduite par le mainteneur d'OpenSSL, avait pour but de corriger un bug et faire en sorte que valgrind soit content. Chouette. La solution trouvée pour corriger ce bug a simplement consisté à supprimer un bout de code... faisant ainsi que les clés générés soient prédictibiles... Peter Palfrader a aussitôt annoncé que l'accès par clé SSH aux machines développeurs Debian a été interdite et les mots de passe réinitialisés.

Fair play, Luciano Bello, qui a détecté la faille, demande quand même de ne pas trop taper sur les mainteneurs d'OpenSSL.

Mise à jour : La page SSKeys sur le wiki.debian.org explique comment corriger les clés pour différents paquets de Debian.

mercredi avril 30 2008

Avenir de PaX

PaX Tux PaX est un patch pour le noyau Linux permettant de se protéger contre l'exploitation des dépassements de tampons. Plusieurs techniques sont mises en œuvre, comme rendre la pile non exécutable (Executable space protection) ou rajouter de la randomisation (Address space layout randomization). Ce patch, développé depuis 2000 par The PaX Team, un groupe anonyme, n'est pas inclus dans le noyau officiel pour diverses raisons (patch trop gros et intrusif, pas d'efforts fait dans ce sens par The PaX Team, ...). Il est en revanche inclus dans grsecurity, un autre patch noyau, développé par Brad Spengler, qui permet entres autres de renforcer la sécurité au seins des chroot et qui intègre RBAC, un contrôle d'accès à base de rôles.

Brad Spengler, a récemment annoncé sur la liste de diffusion de grsecurity que l'avenir de PaX était incertain[1]. Bien qu'aucune décision ne semble avoir été prise pour l'instant, la raison invoquée est le travail considérable nécessaire pour adapter PaX aux nouvelles versions du noyau 2.6. La fréquence de ces dernières étant importante et surtout introduisant de plus en plus de changements à chaque fois :

It is not clear if the PaX Team will be able to continue supporting future versions of the 2.6 kernels, given their rapid rate of release and the incredible amount of work that goes into porting such a low-level enhancement to the kernel (especially now in view of the reworking of the i386/x86-64 trees).

Une partie du patch touche en effet un certain nombre de fichiers ASM, notamment pour implémenter le bit NX sur i386. Or, comme depuis le 2.6.24 il a été décidé de fusionner x86_64 et i386 en une architecture x86[2], ce travail d'adaptation de PaX est d'autant plus important.

It may be necessary that grsecurity instead track the Ubuntu LTS kernel so that users can have a stable kernel with up-to-date security fixes.

Le choix qui semble privilégié est de suivre une version du noyau particulière, d'une distribution particulière. Le choix d'Ubuntu semble hautement discutable, déjà parce que son noyau n'est pas standard, et donc PaX ne s'appliquera pas sur une version du noyau téléchargée depuis kernel.org. Stabiliser le patch pour une version spécifique du noyau semble en revanche intéressant, c'est le choix qu'on fait par exemple les développeur de Xen, d'OpenVZ, en fournissant des patchs pour la version 2.6.18 du noyau.

L'idéal serait de fusionner tout ou partie de PaX dans la version officielle du noyau, mais comme le rappelle Brad Spengler sur le forum de grsecurity[3], ce n'est pas à l'ordre du jour. De plus, ça ne réglerait pas grand chose selon lui :

Neither PaX nor grsecurity will be accepted into the kernel. Just getting it into the mainline kernel doesn't solve any problems anyways. If there is no maintainer for some code, it gets removed. If no one will work on PaX outside of the mainline kernel, no one will work on PaX when it's in the mainline kernel.

La version officielle de Linux part plutôt vers Exec Shield, moins performant, mais développé sous forme de patchs plus petits et plus facilement intégrables (et surtout développé par Ingo Molnar, kernel hacker reconnu). Certains éléments ont d'ailleurs déjà été intégrés, dans le 2.6.25 notamment.

Notes

[1] « grsecurity 2.1.11 released for Linux 2.4.36.2/2.6.24.4 » par Brad Spendler

[2] « i386 and x86_64: back together? » sur LWN.net (commit)

[3] « Future of 2.6 support sur le forum de Grsecurity

vendredi avril 11 2008

Shell History Meme

Comme tout le monde s'y colle, je fais mon lambda :) .

~$ history|awk '{a[$2]++ } END{for(i in a){print a[i] " " i}}'|sort -rn|head
115 ls
80 cd
66 sudo
33 grep
21 lsmod
17 dmesg
16 make-kpkg
16 make
16 lspci
14 apt-cache

mardi octobre 30 2007

Jabber Notifications 2.0

Voici donc la nouvelle version de Jabber Notifications (notez l'arrivée du « s ») entièrement réécrit par Sacha (Oleksandr Syenchuk). Version 2.0 pour marquer le coup. C'est donc lui qui en est maintenant responsable. Il a repris l'idée d'une configuration globale que j'avais commencé à mettre en place dans la version de développement, mais surtout, il a changé la librairie en charge de l'envoi des messages Jabber. La classe Jabber.Class.PHP anciennement utilisé s'est avérée être très lente, parfois trop, au point que le message n'était pas toujours envoyé.

La « liste des choses à faire » postée avec l'annonce de la version 0.1 semble maintenant entièrement implémentée, ce qui est un très bonne chose.

Pour plus d'informations sur cette version et pour la télécharger, rendez-vous sur le billet de Sacha.

vendredi septembre 21 2007

Problème de montage de périphériques à chaud sous GNOME ?

Juste un petit mot pour (peut être) vous éviter plusieures heures de recherches inutiles.

Si un jour le montage automatique des périphériques amovibles ne fonctionne plus sous GNOME, pensez juste à regarder si ce n'est pas la faute de GParted. Une fois lancé, cette interface graphique de partitionnement de disques écrit le fichier /usr/share/hal/fdi/policy/gparted-disable-automount.fdi indiquant à HAL de ne pas monter les périphériques branchés à chaud. Ce fichier n'est bien sur pas supprimé en cas de plantage de GParted...

Le fichier ressemble à ça :

<deviceinfo version='0.2'>
  <device>
    <match key='@block.storage_device:storage.hotpluggable' bool='true'>
      <merge key='volume.ignore' type='bool'>true</merge>
    </match>
  </device>
</deviceinfo>

mercredi juillet 18 2007

Rencontres Mondiales du Logiciel Libre 2007

rmll_1.jpg

Voila donc un compte rendu cette édition 2007 des Rencontres Mondiales du Logiciel Libre. Il s'agit d'une présentation rapide des conférences qui m'ont marqué ou qui ont lancé un débat, plus ou moins violent, pendant ou après les conférences. Cette première rencontre avec les rencontres a été faite avec Frédéric, un collègue et néanmoins ami coutanço-rennais. Ça a été l'occasion de rencontrer différentes personnes, entres autres rOotix, le wikiquotien (mais pas seulement) Manuel Menal, le wikipédien Astirmays, ... En bref, une ambiance vraiment très sympathique.

Ce billet n'a pas pour but de faire un bilan exhaustif de ces RMLL, devraient suivre différentes réflexions nées de ces RMLL (et d'un certain Samir) et qui devraient concerner le logiciel libre et ses licences, les femmes dans l'informatique libre et peut être l'art libre.

Lire la suite...

lundi juin 25 2007

Say NO to Microsoft Office broken standard

<No> OOXML

OOXML, Office Open XML, ou encore Open XML est un format de donnée pour les documents d'application bureautique qui a été écrit par Microsoft. Cette spécification a été soumise à l'ISO en vue de son approbation en tant que standard international par la voie d'une procédure accélérée (procédure dite « FastTrack »).

Quelques liens pour aller plus loin

(Bannière publiée sous licence Creative Commons Attribution-Share Alike 2.5)

(Billet édité le 26 juin à 15 heures : ajout des lien et d'une description rapide de l'Open XML)
(Billet édité le 5 juillet à 15 heures : la pétition existe en français)

lundi juin 18 2007

Plugin « JabberNotification » pour Dotclear2

Attention : cette version n'est plus maintenue, ce plugin a été repris par Sacha.

Après avoir lu ce billet de Jeff Waugh, j'ai eu l'envie d'écrire un petit plugin pour Dotclear2. Je me suis fortement inspiré du plugin emailNotification écrit par Olivier Meunier. Ce plugin est donc publié sous la même licence que Dotclear2, c'est à dire la GPL et intègre Class.Jabber.PHP (écrit par Nathan Fritz et publié sous la licence GPL), qui comme son nom l'indique est une classe PHP permettant de communiquer grâce au protocole XMPP à la base de Jabber.

Chaque utilisateur peut donc indiquer qui doit être notifié, et il faut en plus indiquer les paramètres de connexion d'un autre compte qui sera utilisé pour envoyer les messages :

JabberNotification - Capture d'écran

Mise à jour : création d'une page dédiée au plugin.

Téléchargement

Installation

Dans l'interface d'administration de Dotclear2, cliquez sur Extensions puis allez dans l'onglet Ajouter une nouvelle extension. Dans le champs Ajouter une nouvelle extension, indiquez l'adresse de l'archive puis cliquez sur Récupérer le paquet.

Configuration

Il suffit d'aller dans l'onglet Utilisateur de l'interface d'administration de Dotclear2, puis de remplir tous les paramètres demandés dans la section Jabber notification.

Ce qu'il reste à faire

  • Traduction (disponible dans la version 0.1.1)
  • Possibilité d'utiliser un compte GoogleTalk (disponible dans la version 0.1.3)
  • Un peu de JavaScript (désactiver les zones de texte si l'utilisateur ne souhaite pas recevoir de notifications)
  • Configurer le compte utilisé pour l'envoi de messages au niveau du blog ?
  • Tester et retester, ...

(Mis à jour le 19 juin à 13h00 : la version 0.1.1 est disponible)
(Mis à jour le 19 juin à 18h30 : création d'une page page dédiée à jabberNotification)
(Mis à jour le 30 juin à 17h00 : la version 0.1.2 est disponible)
(Mis à jour le 9 juillet à 20h00 : la version 0.1.3 est disponible)

samedi juin 2 2007

Sortie d'Emacs 22

Après plus d'un mois de retard sur le planning, Emacs 22 vient de sortir ! Comme le souligne Romain Françoise, c'est donc plus de 2000 jours après la sortie d'Emacs 21 que cette nouvelle version arrive.

La liste des nouveautés est bien sure trop longue à énumérer, mais il est toujours possible de lire le fichier NEWS.22.1. Il s'agit en gros d'une multitude de petites améliorations (font-lock-mode activé par défaut par exemple) ou de plus grosses (interface utilisant GTK+). Comme toujours on attend la version suivante qui devrait intégrer multi-tty (remplacement beaucoup plus complet de emacsclient) et XFT (polices antialisées dans le buffer).

Pour les utilisateurs de Debian, le paquet Emacs 22 déjà disponible en version de développement (22.0.99) dévrait être mis à jour prochainement. Aussi, Romain Françoise devrait continuer de maintenir la version de développement d'Emacs (paquet emacs-snapshot). Pour les autres, les sources prêtes à compiler sont disponibles.

Voir aussi

(Billet édité le 3 juin à 15h37, le 4 juin à 12h00, le 4 juin à 17h40)

- page 1 de 5