CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

Archive for octobre 2018

Nouvelle faille de sécurité sur des distributions Linux et BSD

Posted by CercLL sur 26 octobre 2018

La vulnérabilité permet à un attaquant ayant un accès limité à un système, via un terminal ou une session SSH, d’augmenter ses privilèges et d’obtenir un accès root.

Les versions et distributions Linux et BSD qui utilisent le paquet X.Org Server – presque toutes le font – sont vulnérables à une nouvelle faille dévoilée jeudi. La vulnérabilité permet à un attaquant ayant un accès limité à un système, via un terminal ou une session SSH, d’augmenter ses privilèges et d’obtenir un accès root.

Si la vulnérabilité n’est pas catégorisée dans la catégorie critique, la faille de sécurité ne peut être ignorée par les communautés Linux et infosec. Surtout depuis sa publication hier jeudi.

La raison en est l’endroit où elle a été trouvé dans – à savoir le pack serveur X.Org – soit une technologie graphique et de fenêtrage basique qui est le ciment des célèbres suites d’interface de bureau KDE et GNOME. Elle se trouve donc dans toutes les principales distributions Linux et BSD qui proposent une interface graphique basée sur un système de fenêtrage.

Mauvaise manipulation de deux options de ligne de commande

Un document rédigé par le chercheur en sécurité Narendra Shinde indique que le paquet X.Org Server contient depuis mai 2016 une vulnérabilité qui permet aux pirates d’augmenter les privilèges et/ou d’écraser tout fichier sur le système local, même les données critiques au fonctionnement du système d’exploitation

Le problème, suivi désormais sous l’appellation CVE-2018-14665, est causé par une mauvaise manipulation de deux options de ligne de commande, à savoir -logfile et -modulepath, qui permet à un attaquant d’insérer et d’exécuter ses propres opérations malveillantes. La faille n’est exploitable que lorsque X.Org Server est configuré pour s’exécuter avec les privilèges root. Problème : c’est une configuration courante pour de nombreuses distributions.

Les développeurs de la Fondation X.Org ont publié X.Org Server 1.20.3 pour corriger ce problème. Le correctif désactive le support de ces deux arguments de ligne de commande si le paquet X.Org Server fonctionne avec les privilèges root.

Des distributions comme Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu, et OpenBSD sont touchées par la faille. D’autres distributions également à n’en pas douter. Les mises à jour de sécurité qui contiennent le paquet X.Org Server corrigé devraient être déployées dans les heures et les jours qui viennent.

Matthew Hickey, cofondateur et directeur de Hacker House, une société de cybersécurité basée au Royaume-Uni, a également publié aujourd’hui un code de preuve de concept. « Un attaquant peut littéralement prendre le contrôle d’un système impacté avec 3 commandes ou moins, » dit Hickey sur Twitter. « Beaucoup d’autres façons d’exploiter existent, par exemple crontab. C’est hilarant comme c’est trivial. »

Source zdnet.fr

Publicités

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Nouvelle faille de sécurité sur des distributions Linux et BSD

Firefox 63 : anti-tracking et abonnements VPN payants proposés

Posted by CercLL sur 25 octobre 2018

Mozilla déploie Firefox 63 qui inclut un nouvel outil répondant au nom de « enhanced tracking protection » (protection améliorée contre le suivi), consistant à empêcher les sites Webs de suivre l’activité en ligne des internautes. Un service de VPN va aussi être proposé aux utilisateurs du butineur.

Avec Firefox 63 en cours de déploiement, Mozilla peaufine son approche pour empêcher les sites Web et les annonceurs de suivre l’activité en ligne des internautes.

Haro sur les cookies de suivi

A cet effet, la Fondation se fend de l’outil « enhanced tracking protection », même si celui est désactivé par défaut.

Mozilla était déjà à l’ouvrage avec Tracking Protection, ciblant le blocage des outils de suivi des annonces publicitaires. Avec Firefox 57, la fonctionnalité a ensuite été améliorée.

Mais, avec Firefox 63, il est question de la bonifier un peu plus.

La fonction bloque maintenant tous les « suiveurs » (ou cookies de suivi) qui se trouvent dans la liste de Disconnect.me. Dans son communiqué de presse, Mozilla précise « qu’avec cette nouvelle version de Firefox, les utilisateurs auront la possibilité de bloquer les cookies et l’accès au stockage des traqueurs tiers, qui sont la forme la plus courante de pistage inter-sites ».

Avec cette nouvelle approche, qui ne consiste plus bloquer tous les cookies tiers, cela ne devrait plus empêcher d’accéder à certains sites.

Des abonnements VPN proposés dans Firefox

Mozilla annonce également une autre fonctionnalité liée à la confidentialité, qui devrai être un peu plus controversée.

Dans le cadre d’un test, des utilisateurs de Firefox choisis de manière aléatoire vont en effet se voir proposer un abonnement à ProtonVPN. Le VPN (réseau privé virtuel) assure la protection et la confidentialité du réseau, en créant un lien direct entre des machines distantes. Cela permet notamment de masquer son adresse IP aux sites web consultés.

Service payant, ProtonVPN proposera un abonnement à 10 dollars par mois à ces utilisateurs de Firefox. Une partie de ces frais d’abonnement reviendra à Mozilla, en quête d’émancipation de Google, dont la Fondation tire ses revenus.

Si d’aucuns estimeront que cette accord de nature commercial est antinomique avec les principes de Mozilla, on peut considérer que proposer un VPN de qualité aux internautes va dans le sens de la protection de la vie privée. Cette dernière est d’ailleurs, on l’a vu, au coeur de Firefox 63 avec la fonctionnalité « enhanced tracking protection ».

Source silicon.fr

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur Firefox 63 : anti-tracking et abonnements VPN payants proposés

Linus Torvalds est de nouveau aux commandes de Linux

Posted by CercLL sur 25 octobre 2018

Après quelques semaines passées à l’écart afin de prendre du recul sur son rôle au sein de la communauté, Linus Torvalds est de retour.

À l’occasion de l’Open Source Summit qui se tient en Écosse, Linus Torvalds devait rencontrer les 40 contributeurs les plus importants du noyau Linux lors du sommet des mainteneurs. Cette rencontre constitue la première étape de son retour aux commandes du projet Linux.

Il y a près d’un mois, Linus Torvalds a pris ses distances à l’égard de son rôle dans la gouvernance du projet Linux. Dans un message publié sur la Linux Kernel Mailing List (LKML), Torvalds a ainsi déclaré : « J’ai besoin de changer mon comportement et je tiens à m’excuser tout particulièrement envers ceux que mes réflexions ont pu blesser et que mon attitude a découragés. Je vais prendre un peu de repos et un peu d’aide afin de mieux comprendre les émotions des gens, afin d’y répondre d’une manière plus appropriée. »

Mais cette pause est maintenant terminée et Linus est de retour. Reste à savoir si son attitude sera plus bienveillante à l’avenir.

Lors de l’annonce de la version 4.19 du kernel, Greg Kroah Hartman, qui assurait le rôle de dirigeant temporaire et de mainteneur de la branche stable du projet, a ainsi déclaré « Linus, je te rends la gestion du développement du kernel et je te laisse la joie de prendre en main le prochain cycle de développement. »

Faire de la communauté des développeurs Linux un espace plus accueillant et plus convivial

Torvalds n’a prévu aucune apparition publique à l’occasion de l’Open Source Summit et n’a pour l’instant fait aucun commentaire sur LKML.

Durant cette période, une nouvelle version du code de conduite de Linux a été approuvée. La nouvelle version du code de conduite concernant les engagements des mainteneurs précise ainsi « qu’il est raisonnable de s’attendre à ce que les mainteneurs dirigent de manière exemplaire. »

Torvalds devra donc montrer l’exemple et faire de la communauté des développeurs Linux un espace plus accueillant et plus convivial. À ce sujet, le contributeur et éditeur de LWN Jon Corbet estime que la communauté devrait évoluer « vers une communauté de développeur plus professionnelle et non un Far West où chacun réglait ses conflits en privé. »

Source zdnet.fr

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Linus Torvalds est de nouveau aux commandes de Linux

Firefox 63 publié avec la protection de suivi ‘always-on’

Posted by CercLL sur 24 octobre 2018

À partir de Firefox 63, la fonction de protection de suivi de Mozilla est activée pour tous les utilisateurs. Les fichiers de cookie sont la prochaine étape de blocage envisagée.

Mozilla a commencé aujourd’hui à déployer Firefox 63 vers sa base utilisateur. Cette version est livrée avec de nombreuses nouvelles fonctionnalités, mais la plus importante est la fonction Tracking Protection que Mozilla avait ajouté une première fois à Firefox il y a quelques années.

Initialement, la protection de suivi fonctionnait en bloquant les trackers publicitaires pendant les sessions de navigation privée uniquement. Cette fonctionnalité a été étendue au cours des années suivantes pour bloquer également les scripts associés aux boutons de réseaux sociaux, aux services d’analyse, aux tentatives de prise d’empreintes numériques et, pendant une courte période, à certains services d’extraction de monnaies cryptographiques dans le navigateur.

La fonctionnalité a reçu un coup de pouce significatif avec la sortie de Firefox 57 lorsque Mozilla a également donné aux utilisateurs la possibilité d’activer la protection de suivi tout le temps, pas seulement les sessions de navigation privée.

Avec la sortie de Firefox 63, Mozilla a tenu une promesse qu’il avait faite plus tôt cette année en mai, lorsqu’il s’était engagé à revoir la fonctionnalité et à l’activer par défaut pour tous les utilisateurs. Rebaptisée Enhanced Tracking Protection ou Content Blocking, cette fonctionnalité bloque tous les « trackers », comme défini par la liste de blocage de Disconnect.me, que Mozilla utilise depuis les premiers jours.

Dans un billet de blog publié aujourd’hui, Mozilla a également déclaré qu’il prévoyait de porter la fonction de protection de suivi à un niveau supérieur avec la possibilité de bloquer non seulement le code JavaScript, mais aussi les fichiers de cookie. Cette option est déjà disponible dans Firefox 63, mais Mozilla prévoit de l’activer pour tout le monde à partir de Firefox 65, prévu pour janvier 2019.

Avec le déploiement de sa fonction Enhanced Tracking Protection, Firefox rejoint Opera et Chrome en tant que navigateurs livrés avec des paramètres par défaut qui bloquent les publicités et les trackers en ligne.

Le plein de nouveautés

Mais ce n’est pas la seule nouveauté de Firefox 63. La version comprend également les nouveautés suivantes :

  • L’infrastructure de compilation de Firefox sous Windows a été déplacée vers la chaîne d’outils Clang, apportant d’importants gains de performance.
  • Le thème Firefox correspond aux modes Dark et Light de Windows 10 OS.
  • Les WebExtensions s’exécutent dans leur propre processus sous Linux.
  • Firefox vous avertit que plusieurs fenêtres et onglets sont ouverts lorsque vous quittez le menu principal.
  • Firefox reconnaît les paramètres d’accessibilité du système d’exploitation pour réduire l’animation.
  • Firefox 63 est livré avec des raccourcis de recherche pour les meilleurs sites. Amazon et Google apparaissent en tant que tuiles Top Sites sur la page d’accueil Firefox (nouvel onglet). Une fois sélectionnées, ces tuiles changeront le focus sur la barre d’adresse pour lancer une recherche. Actuellement aux États-Unis seulement.
  • Firefox pour Android prend en charge le mode Picture-in-Picture.

En plus de ces nouveaux ajouts, il est également important de noter qu’à partir de cette version, Mozilla a également supprimé l’option « Never check for updates » du panneau de configuration de Firefox. Désormais, les utilisateurs ne pourront sélectionner que les paramètres de mise à jour « Installer automatiquement les mises à jour » et « Vérifier les mises à jour mais vous laisser choisir de les installer ».

Cela ne signifie pas que Firefox empêche les utilisateurs de bloquer les mises à jour. Les utilisateurs peuvent sélectionner la deuxième option et choisir de ne pas installer les mises à jour tant qu’ils ne sont pas prêts.

Le journal des modifications complet de Firefox 63 pour Desktop est disponible ici, tandis que le journal des modifications de Firefox 63 pour Android est disponible ici. Le journal des modifications des nouvelles technologies de l’API Web ajoutées à Firefox 63 est disponible ici. Une revue des nouveaux outils de développement ajoutés à Firefox 63 est disponible dans un billet de blog séparé ici. Firefox 63 inclut également des correctifs pour 14 bogues de sécurité.

Source zdnet.fr

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur Firefox 63 publié avec la protection de suivi ‘always-on’

Linus Torvalds reprend du service après la publication du noyau Linux 4.19

Posted by CercLL sur 24 octobre 2018

Linus Torvalds, ingénieur logiciel et créateur du noyau Linux, va reprendre la direction du projet open source alors que la version 4.19 du noyau Linux a été publiée.

Greg Kroah-Hartman, responsable de manière temporaire du noyau Linux, a publié la version 4.19 du noyau Linux.

Un Linus Torvalds apaisé de retour

Mais, c’est Linus Torvalds qui va finalement reprendre les rênes du projet pour le développement de Linux dans ses moutures 4.20 puis 5.0.

La publication du noyau 4.19 avait été retardée d’une semaine, de sorte que les contributeurs apportent des corrections relatives à des bogue.

Après l’arrêt volontaire de son activité le mois dernier, Linus Torvalds rencontrera les quelques 40 principaux développeurs de Linux au Sommet des responsables de la maintenance.

Suite à un comportement controversé pour lequel Linus Torvalds a présenté ses excuses, il avait en effet préféré prendre du recul.

Code de conduite révisé

De manière concomitante, le code de conduite Linux révisé a été approuvé par la Fondation Linux. La nouvelle interprétation du code de conduite auquel les contributeurs du noyau Linux doivent se soumettre précise qu’il “est raisonnable de s’attendre à ce que les responsables maintiennent l’esprit en exemple”. Un message plutôt nébuleux qui laisse toutefois entendre que plus de convivialité est attendu afin de rendre la communauté de développement Linux plus accueillante.

Linus Torvalds a en particulier la réputation d’être impoli, voire agressif, envers les autres membres de la communauté.

Le nouveau code de conduite demande aux contributeurs de formuler des critiques de manière constructive et que les membres de la communauté respectent les «points de vue et expériences divergents».

Sont formellement prohibés les «propos ou images sexualisés», ainsi que les commentaires désobligeants, les attaques personnelles ou politiques et le «harcèlement public ou privé».

Source silicon.fr

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Linus Torvalds reprend du service après la publication du noyau Linux 4.19

Mozilla veut utiliser Firefox pour revendre des services VPN

Posted by CercLL sur 24 octobre 2018

Mozilla veut utiliser Firefox pour revendre des services VPN

Dans le cadre d’un premier test, la fondation va commercialiser les services de ProtonVPN. Les revenus générés seront partagés entre les deux partenaires.

Source 01net.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Mozilla veut utiliser Firefox pour revendre des services VPN

Linux, la configuration de référence des utilisateurs d’Ubuntu 18.04 LTS

Posted by CercLL sur 23 octobre 2018

Ubuntu est probablement la distribution Linux la plus populaire. Lors de son installation, elle propose l’activation de certains outils permettant d’avoir une remontée de différentes informations. Ces statistiques sont disponible en ligne. Elles dressent un portrait assez précis de la configuration PC la plus utilisée.

Nous apprenons que 66% des utilisateurs d’Ubuntu 18.04 LTS acceptent de partager ses informations.  Dans 80% des cas, nous avons affaire à une installation dite « propre ». En clair la distribution Linux est installée à partir de zéro et non issue d’une mise à jour. Ubuntu 18.04 LTS 64-bit est le choix numéro 1 (98% des installations).

Source ginjfo.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Linux, la configuration de référence des utilisateurs d’Ubuntu 18.04 LTS

Firefox prévoit lui aussi de supporter WebP en 2019

Posted by CercLL sur 8 octobre 2018

Quelques jours après Edge, Firefox confirme à son tour être en train de travailler à l’implémentation du support du format WebP. Ce format d’image développé par Google vise à proposer des images plus légères pour le web. Safari reste est aujourd’hui le dernier navigateur à ne pas supporter ce format.

WebP était pour beaucoup un format mort et enterré. Ce format d’image développé par Google vise à proposer des images allégées et destinées à s’afficher facilement sur les différents navigateurs Web. Mais WebP peinait à s’imposer auprès de l’écosystème des navigateurs : Chrome supportait évidemment le format, mais Firefox, Edge et Safari n’avaient pas implémenté le support de ce format. Firefox avait expérimenté cette technologie en 2016, mais le support n’avait finalement pas été implémenté au sein du navigateur.

 

Tout a pourtant changé cette semaine. Les équipes de développement d’Edge ont ainsi annoncé par surprise le support du format WebP au sein du navigateur la semaine dernière. Deux jours plus tard, les porte-parole de Firefox confirmaient aux journalistes de CNet.com que Firefox avait repris ses travaux sur WebP. Le format d’image de Google devrait être pris en charge par le navigateur de la fondation Mozilla à partir du premier semestre de 2019, ont-ils également indiqué. Le support de ce format sera assuré sur les versions de Firefox utilisant le moteur Gecko, ce qui exclut donc pour l’instant WebP de la version iOS de Firefox, qui utilise WebKit.

Le support de WebP par les navigateurs est la clef de la survie de ce format d’image, spécifiquement pensé pour le web. Avec les récentes annonces d’Edge et Firefox, Safari est donc aujourd’hui le seul navigateur à ne pas avoir annoncé son intention de supporter les images WebP. Le navigateur d’Apple avait testé le format de Google en 2013, mais n’avait pas choisi de poursuivre ses tests. Le revirement soudain d’Edge et de Firefox pourrait pousser Safari à s’aligner sur la concurrence. En attendant, les annonces successives sont une bonne nouvelle pour l’avenir de ce format.

Source zdnet.fr

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur Firefox prévoit lui aussi de supporter WebP en 2019

Il y a 35 ans, Richard Stallman annonçait Gnu

Posted by CercLL sur 1 octobre 2018

La Free Software Foundation célèbre la création du système libre alternatif à Unix, « Gnu’s Not Unix », le

Il y a 35 ans, Richard Stallman annonçait Gnu

27 septembre 1983.

« Je considère comme une règle d’or que si j’apprécie un programme je dois le partager avec d’autres personnes qui l’apprécient » écrivit-il, comme intention centrale.

Deux ans plus tard, il fondait la Free Software Foundation (FSF), qui formalisa le mouvement vers le logiciel libre. En 1992, avec la libération du code de Linux par Linus Torvalds, naissait Gnu/Linux. Pour le projet Gnu, ce noyau était la pièce manquante.

Source nextinpact.com

Posted in Uncategorized | Tagué: , , , , , , | Commentaires fermés sur Il y a 35 ans, Richard Stallman annonçait Gnu

 
%d blogueurs aiment cette page :