News LINUX

Deux mois après la sortie d'Ubuntu 8.04 "Hardy Heron", Canonical indique avoir finalisé une première mouture d'Ubuntu MID Edition, une version d'Ubuntu spécialement conçue pour les appareils de type MID (Mobile Internet Device), ces petits terminaux généralement munis d'un écran tactile allant de 4 à 7 pouces. Accessible, à des fins de test ou d'intégration, cet Ubuntu Mobile sera proposé aux fabricants de MID et devrait selon l'éditeur faire son apparition sur le marché dans des produits finaux d'ici la fin de l'année. Canonical annonce par ailleurs la mise en place d'un programme d'assistance, ouvert aux intégrateurs, afin de les aider à personnaliser cette distribution à leurs besoins précis.

Cette édition MID repose sur le socle d'Ubuntu 8.04, mais un certain nombre d'éléments ont été supprimées de façon à rendre l'ensemble parfaitement fonctionnel sur un processeur comme l'Atom d'Intel ou le C7 de VIA, fréquemment utilisés dans les appareils de type MID. Elle fait par ailleurs la part belle aux technologies du Web, avec une interface pouvant être conçue aussi bien en HTML ou en Flash qu'en C et C++. Un certain nombre des applications intégrées à la version desktop d'Ubuntu ont d'autre part été modifiées, de façon à s'adapter à l'écran d'un MID. Un navigateur spécialement dédié, basé sur le moteur Gecko, fait par ailleurs son apparition. Il dispose notamment d'une fonctionnalité de zoom. Enfin, toute la panoplie des applications nécessaires en situation de mobilité peut être intégrée en standard, du courrier électronique à la lecture ou l'édition de documents bureautiques.

Début juin, Ubuntu avait annoncé la sortie d'Ubuntu Netbook Remix, une variante de la distribution 8.04 spécialement conçue pour les netbooks, ces ordinateurs généralement dotés d'un processeur aux performances limitées, ultra connectés, et destinés à un public de nomades, tels que l'Eee PC d'Asus, le Wind de MSI ou le Mini-Note de HP.
Nvidia et la communauté Linux, toujours en bisbille ?

Dans un bref communiqué publié lundi, la Linux Foundation déclare : "alors que la plupart des dispositifs ont des pilotes open source, il existe quelques exceptions. La communauté en charge du kernel (NDLR : noyau au coeur des distributions du système d'exploitation libre et ouvert GNU/Linux) veut envoyer un signal clair à ces fournisseurs et aussi empêcher de futurs fournisseurs d'opter pour la fermeture du code et, par extension, d'empêcher les utilisateurs de bénéficier des avantages du modèle Linux de développement ouvert".

La Linux Foundation, organisation à but non lucratif née en janvier 2007 de la fusion de l'Open Source Development Labs et du Free Standards Group, ne cite pas ouvertement Nvidia, fournisseur de processeurs graphiques basé à Santa Clara, Californie. Toutefois, dans un entretien accordé à News.com, James Bottomley, responsable du conseil technique de la fondation, déclare : "mon intention est de souligner les problèmes que Nvidia a lui-même provoqués avec ses pilotes (drivers) uniquement binaires. Nvidia est une des rares sociétés à s'accrocher à cette stratégie". Avant d'ajouter : "leur module binaire est une des principales causes des crashes du noyau".

Nvidia, de son côté, affirme fournir un pilote Linux de haute qualité, tout en défendant sa stratégie uniquement binaire. Celle-ci lui permettrait de protéger la propriété intellectuelle qu'elle concerne le matériel ou le logiciel. Simple lavage de linge sale ?
L'OpenSUSE Project annonce aujourd'hui la mise à disposition, au téléchargement, de la dernière évolution de la distribution Linux du même nom, OpenSUSE 11.0. Les nouveautés devraient être sensibles dès l'installation, remodelée pour ne plus requérir que de minimes interventions de la part de l'utilisateur, notamment grâce à l'utilisation de l'environnement d'exécution Qt4. OpenSUSE 11.0 laissera ensuite le choix entre les environnements Gnome 2.22 et KDE 4 (la version 3.5 est toutefois disponible sur le DVD d'installation).

Du côté des composants système, on retrouve le noyau Linux 2.6.25, glibc 2.8, GCC 4.3, mais aussi X.org 7.3, NetworkManager 0.7 ou PulseAudio 0.9.10. Une nouvelle version du gestionnaire de paquets ZYpp fait également son apparition. Fidèle à son habitude d'intégrer systématiquement, ou presque, les derniers composants et logiciels disponibles à date, OpenSUSE 11.0 propose également Firefox 3, OpenOffice.org 2.4, ou la version 1.0 de Banshee. Accessible sous la forme d'une image DVD ou de deux images CD, OpenSUSE peut être téléchargé depuis le site officiel du projet, directement via son navigateur ou au moyen d'un lien BitTorrent. C'est également là qu'on trouvera la liste des nouveautés intégrées à cette nouvelle distribution.
Après plus de 15 ans de développement, les auteurs de Wine (Wine Is Not an Emulator) annonce l'arrivée de leur première version 1.0. Pour rappel, Wine est considéré comme une couche logicielle permettant d'assurer la compatibilité entre un système Linux et une application conçue pour Windows. Contrairement à un émulateur pur et simple, Wine est censée autoriser le fonctionnement de logiciels Windows sans perte de performances par rapport à leur environnement original.

Cette nouvelle version corrige de nombreux bugs et apporte son lot d'optimisations. Wine permettrait à présent de faire fonctionner plus de 1200 applications Windows sous Linux avec plus ou moins de réussite. A noter que les applications bureautiques ne sont pas les seules prises en charge et Wine permet aussi de jouer à World of Warcraft ou à Guild Wars sous Linux.

Malgré ces 15 années de développement, Wine devrait encore évoluer dans les prochains mois. Son équipe de développement vise effectivement une prise en charge encore améliorée, une gestion des périphériques USB, des applications 64 bits, des applications .Net, la gestion de thèmes pour les interfaces, une interface native pour Mac OS X... Si l'on en croit les développeurs, il y'aurait de quoi encore être occupé pendant les 15 prochaines années ! Pour le téléchargement, rendez-vous sur cette page.
Mandriva annonce aujourd'hui le lancement de Mandriva Flash 2008 Spring, qui vient rejoindre la famille des systèmes Mandriva sur clé USB. Mandriva Flash 2008 disposait d'un espace de stockage de 4GB. La toute nouvelle version arrive avec cette fois 8 Go d'espace, une robe blanche spécifique.

Il suffit de brancher la clé USB, démarrez votre ordinateur et, en seulement quelques secondes, le système d'exploitation Mandriva Linux 2008 Spring est disponible pour travailler, écouter de la musique ou surfer sur Internet... Cette nouvelle version de la Mandriva Flash 2008 Spring contient un outil de migration qui permet d'importer les paramètres et documents de Windows vers Mandriva Linux. A noter que cet outil de migration supporte les partitions NTFS.

Mandriva Flash propose un bureau 3D, ainsi que les logiciels suivants pour Linux :
- ezboot
- KDE
- Mozilla Firefox
- Mozilla Thunderbird
- Java
- FlashPlayer
- RealPlayer
- Skype
- OpenOffice.org
- Codeina

Mandriva Flash 2008 Spring est disponible dans plusieurs langues. Le nouveau modèle 8 Go est disponible au prix de 59€ dès aujourd'hui.
Le monde du logiciel libre est en émoi depuis la découverte d'une faille de sécurité majeure qui affecte plusieurs logiciels ou couches logicielles d'importance. La faille en question se situe dans la bibliothèque OpenSSL de Debian au niveau de la génération des clés utilisées pour le cryptage ou le décryptage, une fonction largement utilisée par le protocole SSH, le serveur Web Apache ou encore par les logiciels sécurisés de messagerie et le protocole VPN notamment. Deux lignes de code erronées sont à l'origine de cette faille, une faille qui affecte quatre systèmes d'exploitation et 25 logiciels au bas mot sans parler des ordinateurs affectés.

Découverte à la mi-mai, cette faille existe en vérité depuis deux années maintenant, date à laquelle des développeurs ont supprimé une portion de code utilisée par le package OpenSSL de Debian en vue de stopper l'apparition d'alertes dans les outils de validation de la sécurité du code comme Valgrind et Purify. Hélas, la suppression de ces lignes de code a introduit une vulnérabilité au niveau de la génération de nombres aléatoires dans la bibliothèque OpenSSL : au lieu d'utiliser des données aléatoires pour générer les valeurs des clés, la bibliothèque OpenSSL utilise l'identifiant du processus en cours. Le problème est que sous Linux, la valeur maximale par défaut utilisée pour identifier un processeur est 32 768. En clair, il n'existe que 32 768 clés possibles pour une architecture, un type de clé et une longueur de clé donnée ce qui rend les attaques en brute force réalisables.

Un patch vient d'être distribué mais il ne peut hélas pas réparer les dommages sur les systèmes compromis puisque tous les certificats générés doivent être recréés et renvoyés à l'autorité de certification pour une nouvelle validation. En clair, tous les certificats émis à partir de systèmes Debian doivent être révoqués et regénérés alors que les administrateurs systèmes sont vivement encouragés à pratiquer un audit des clés utilisées sur leurs serveurs par le protocole SSH pour interdire l'utilisation de clés vulnérables.

Un peu moins de 24 heures après l'annonce de cette faille, divers outils ont déjà été publié pour compromettre la sécurité des systèmes Linux à base Debian. Pour l'heure, personne ne sait exactement combien d'ordinateurs sont concernés et divers analystes se demandent si cette faille est belle et bien due à une erreur ou à une volonté délibérée d'introduire des portes cachées dans les systèmes d'exploitation libres. D'autres se contentent simplement de faire remarquer que le très décrié Windows Vista de Microsoft a prouvé depuis quelques mois sa fiabilité en matière de sécurité, notamment face à Windows XP. Rappelons pour conclure que seules les distributions Debian et ses dérivés (Ubuntu inclus donc) sont concernées par cette faille.
Cofondateur de la distribution Linux Mandriva (anciennement Mandrake), Gaël Duval préside désormais aux destinées du projet Ulteo, au sein duquel il travaille à l'élaboration d'un ensemble d'applications permettant à l'utilisateur d'accéder en permanence à ses données et logiciels, quels que soient la machine et le système d'exploitation employés. Dernière production en date : Ulteo Virtual Desktop, un système complet et gratuit qui s'exécute sous Windows et permet de lancer en toute simplicité des applications Linux.

Présenté sous la forme d'un Live CD, Ulteo Virtual Desktop ne repose pas sur la virtualisation telle que la pratiquent des éditeurs comme VMWare, avec la simulation d'un système complet : à la place, il utilise le composant coLinux (ou Cooperative Linux), qui permet, pour faire simple, de lancer un noyau Linux comme une simple application Windows, des composants annexes assurant ensuite les interactions entre les deux environnements ainsi juxtaposés.

Ulteo Virtual Desktop embarque des applications libres populaires telles que Firefox ou OpenOffice.org, mais ces dernières ne sont pas les plus intéressantes puisque des versions Windows existent déjà. En revanche, on appréciera de pouvoir lancer, sous Windows avec Ulteo, la majeure partie des applications KDE comme Kopete (messagerie instantanée), kPDF, Inkscape ou Scribus. Avantages du système : la mise à jour automatique des applications en même temps que celle du système, et possibilité d'accéder aux répertoires Windows tels que Mes Documents, ou de lancer une impression sans avoir à craindre un problème de compatibilité.

"Ulteo est encore un projet exploratoire qui va dans le sens de la virtualisation de l'univers numérique de l'utilisateur. Idéalement il faudrait pouvoir se connecter n'importe où sur le réseau et retrouver immédiatement n'importe quelle application, ses données personnelles etc. Et pas de manière parcellaire. On essaye donc d'aller dans ce sens et d'offrir des manières de consommer applications et données personnelles dans un mode qui tire partie d'un accès réseau permanent ou régulier", commente Gaël Duval, interrogé par Neteco. Ulteo Virtual Desktop peut être téléchargé sur le site de l'éditeur.
Implémentation open source de la technologie Silverlight de Microsoft, Moonlight fait cette semaine ses débuts publics avec la mise à disposition d'une première version de test annoncée sur le blog de Miguel de Icaza, responsable du projet. Développé dans le cadre du projet Mono, orchestrée par l'éditeur Novell, ce portage de Silverlight est encore très incomplet, mais peut d'ores et déjà être installé par les développeurs à des fins de test, bien que quelques problèmes de compatibilité aient été remarqués avec Firefox 3.

Silverlight est une technologie qui permet de faire s'exécuter ce que l'on appelle des "applications Internet enrichies" (RIA) dans son navigateur. "Enrichies", ces applications sont censées proposer des fonctionnalités ou une interface qui dépasse de loin ce qu'il est traditionnellement possible de faire dans un navigateur à partir des langages Web traditionnels.

Face à Adobe, dont le couple Flash / Flex est actuellement leader en la matière (Flash serait installé sur plus de 95% des ordinateurs de la planète, contrairement à Silverlight qui, tout jeune, n'occupe qu'une position anecdotique), la grande force de la technologie de Microsoft serait la possibilité de créer des applications à partir des langages et outils de développement compatibles avec le framework .NET, utilisés par de nombreux développeurs.

Moonlight est pour l'instant limité à la version 1.0, et n'offre pas encore la pleine prise en charge des contenus multimédias. Suite aux changements opérés par Microsoft, le projet Mono abandonne la version 1.1 et concentre maintenant ses efforts sur Silverlight 2.0, qui devrait être finalisée aux alentours de la rentrée de septembre.
Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?

1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl. Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.

Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur [lien=http://planet-fr.debian.net/]Planet Debian-Fr[/lien].

- Le Debian Security Advisory
- Dowkd.pl - A télécharger absolument en cas de doutes !
- Metasploit a généré les clefs faibles
- Journal Linuxfr déja paru à ce sujet
- Wiki Debian : à lire si vous ne savez pas quoi faire
- ...
le 14/05/2008 à 22:01
Fedora 9 : une version sulfureuse
La grande famille de Fedora est heureuse de vous annoncer, après 7 mois de développement, la naissance de "Sulphur" ou Fedora 9.

Cette version majeure dans le développement de la distribution Fedora offre un grand nombre de nouveautés destinées à simplifier la vie.

Concernant l'aide aux utilisateurs francophones, l'équipe ainsi que les membres de Fedora-FR seront heureux de vous accueillir à cette adresse : http://www.fedora-fr.org/

Article rédigée par les ambassadeurs francophones de FedoraProject.

- Les nouveautés de Fedora 9
- Fedora-Fr
- Télécharger Fedora 9 "Sulphur"
LoadingChargement en cours