Énorme faille dans OpenSSL de Debian

Le DSA-1571-1 vient de paraître : il s'agit d'une énorme faille spécifique à Debian introduite dans la version 0.9.8c-1 d'OpenSSL.

Comme le précise l'annonce de sécurité, toutes les clés générés avec une version d'OpenSSL supérieure à la 0.9.8c-1 doivent être considérés comme compromises !

It is strongly recommended that all cryptographic key material which has been generated by OpenSSL versions starting with 0.9.8c-1 on Debian systems is recreated from scratch. Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.

Comme le montre Nicolas Bareil, la faille, introduite par le mainteneur d'OpenSSL, avait pour but de corriger un bug et faire en sorte que valgrind soit content. Chouette. La solution trouvée pour corriger ce bug a simplement consisté à supprimer un bout de code... faisant ainsi que les clés générés soient prédictibiles... Peter Palfrader a aussitôt annoncé que l'accès par clé SSH aux machines développeurs Debian a été interdite et les mots de passe réinitialisés.

Fair play, Luciano Bello, qui a détecté la faille, demande quand même de ne pas trop taper sur les mainteneurs d'OpenSSL.

Mise à jour : La page SSKeys sur le wiki.debian.org explique comment corriger les clés pour différents paquets de Debian.

Sortie d'Emacs 22 le 23 avril ?

Chong Yidong a announcé le 8 avril dernier qu'il comptait - si tous se passait bien - sortir la prochaine version d'Emacs le 23 avril[1]. Le plan consiste à préparer une dernière version pretest[2] puis de sortir la 22.1, la version finale si aucun problème n'est apparu :

I will roll the 22.0.98 pretest tarball on Monday, April 16 (8 days from now). I believe this should be the final pretest, unless a major problem arises.

If no major problems with the April 16 pretest come to light, we should cut the Emacs 22 CVS branch on Friday, April 20, and release Emacs 22.1 on Monday, April 23.

À noter aussi que Romain Françoise a arreté de maintenir emacs-snapshot en raison de la position de Debian vis à vis de la GFDL[3]. Le paquet, qui devrait donc être supprimé rapidement des miroirs Debian, est maintenant disponible sur le site de Romain Françoise.

Notes

[1] Voir le thread Pretest schedule sur la liste de diffusion emacs-devel.

[2] Les version pretests sont disponible ici : ftp://alpha.gnu.org/gnu/emacs/pretest

[3] Voir le thread Packages up for adoption sur la liste de diffusion debian-emacsen.

Nouveau DPL et Debian « Etch » 4.0

Debian

Sam Hocevar est donc le dixième Debian Project Leader (DPL) et remplace Anthony Towns[1].

Après le ''freeze'' de « Etch », la version 4.0 de Debian est finalement sortie hier avec environ 4 mois de retard (ce qui n'est pas si mal par rapport aux 35 mois nécessaires à la sortie de Sarge[2], la précédente version stable).

  • GNOME 2.14 (2.18 sortie le 14 mars 2007) : Etch contient en fait une partie de GNOME 2.16, il s'agit de tous les composant ne dépendant pas de GTK+ 2.10. Cette version comportait des bugs importants qui n'étaient pas sûr d'être résolus avant la sortie de Etch[3]. Voir aussi le status de GNOME dans Debian Etch.
  • XFce 4.4rc2 (4.4 sortie le 21 janvier 2007) : l'absence de la version finale 4.4 est dû un problème dans l'équipe pkg-xfce responsable de l'environnement de cet bureau[4].
  • OpenOffice.org 2.0 (2.2 sortie le 29 mars 2007) : la version 2.1 est sortie alors qu'avait déjà eu lieu le gel de Etch (impossibilité donc d'y intégrer un changement de version).

Mis à part ces quelques logiciels non à jour, Etch apporte son lot de nouveautés[5] : Secure APT, Linux-2.6.18, Xen3, SELinux, Apache 2.2, PHP5 (enfin !), Xorg7.1, Compiz, ...

La sortie de Etch marque aussi le début du développement de la prochaine version, Lenny.

Voir aussi

« Etch is now frozen! Wheeeeeee!!! »

Debian

Etch, la future version stable de Debian vient d'être complètement gelée, c'est à dire que seuls les corrections de bugs critiques vont pouvoir se propager dans testing. Celle-ci contient encore un peu plus de 100 bugs critiques, qui devront être résolus avant la sortie finale.

Qu'est ce que cela signifie ?

  • Que l'on est relativement proche de la sortie de Etch
  • Que le support de la sécurité pour Etch ne devrait pas tarder
  • Que Etch va ressembler très fortement à la testing actuelle. Seuls des correctifs de bugs RC, des mises à jour de traductions et de petits changement devrait être fait. En gros pas (ou peu) de nouvelles versions de logiciels.

Toutes les informations sont sur le message d'Andreas Barth, un des deux responsable de la sortie de Etch.

Emacs 22 rentre en phase « pretest »

Emacs 22.0.90 vient d'être annoncée. Grâce à Romain Françoise, elle est aussi dans Debian unstable.

Debian, dernières nouvelles

Debian Voila quelques nouvelles (plus très fraiches...) sur Debian :

Aucun rapport

Dans le style de Tristan Nitot et ses billets En vrac, je crée une catégorie Aucun rapport histoire de balancer des liens à l'arrache :).

Voila pour le moment !

Système de sauvegarde

Depuis mon deuxième crash de disque dur sur mon serveur, j'ai essayé de mettre en place un système de sauvegarde fiable. Comme je n'ai pas de lecteur de bandes, c'est une machine de mon réseau local qui sert de stockage.

J'avais commencé à utiliser backup-manager (maintenu par un ancien du campus III au passage ;) ). Il s'agit d'un système très simple à mettre en place capable d'uploader les sauvegardes sur un serveur et/ou de les graver. Son seul problème est qu'il ne fait pas de sauvegardes incrémentales, donc les sauvegardes longues à se faire et coûteuses en CPU.

J'ai décidé de tester un système de sauvegarde incrémentale et j'ai trouvé backupninja en faisant une petite recherche dans les paquets Debian. J'ai fait une petite documentation qui explique comment l'installer.

Avancement de l'installateur graphique

La prochaine version de Debian (« etch ») devrait integrer un mode graphique pour l'installateur. C'est Attilio Fiandrotti qui s'en occupe, et ça commence à prendre forme ! Vous pouvez télécharger la derniere iso pour tester (~ 140 Mo environ).

Il est possible de la tester avec Qemu :

# aptitude install qemu
$ qemu-img create test.img 1G
$ qemu -std-vga -hda test.img \
  -cdrom debian-testing-i386-20050918-GTK-netinst.iso \
  -boot d

Si vous avez la flemme de tester, j'ai fait quelques petites captures d'écran :

X.Org (entierement) dans Debian

X.Org vient d'être uploadé officiellement dans Debian unstable par la X Strike Force (je précise pour Sygus : 6.8.2.dfsg.1-2). La mise à jour se fait (normalement) sans problèmes...

- page 1 de 2