Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que plusieurs opérations wiki et réglages de préférences dans MoinMoin n’étaient pas protégées contre les attaques par falsifications de requêtes croisées entre sites (CSRF). Si un utilisateur authentifié était amené à visiter un site Web malveillant pendant qu’il est connecté à MoinMoin, un attaquant distant pourrait modifier la configuration de l’utilisateur ou du contenu wiki. (CVE-2010-0668, CVE-2010-0717)

Il a été découvert que MoinMoin ne nettoyait pas correctement son flux d’entrée lors du tratitement des préférences utilisateur. Un attaquant pourrait saisir un contenu malveillant qui serait restitué de manière inattendue lorsqu’il serait affiché par un utilisateur . (CVE-2010-0669)

Source : USN-911-1: MoinMoin vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

William Grant a découvert que dpkg-source n’appliquait pas correctement les diffs lors du dépaquettage des paquets sources. Si un utilisateur ou un système automatisé était amené à dépaquetter un paquet source spécialement conçu, un attaquant distant pourrait modifier des fichiers en dehors du répertoire de dépaquettage de la cible, entraînant un déni de service ou un éventuel accès au système.

Source : USN-909-1: dpkg vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que mod_proxy_ajp ne gérait pas correctement les erreurs lorsqu’un client n’envoyait pas le corps d’une requête. Un attaquant distant pourrait exploiter ceci via une requête spécialement conçue et causer un déni de service. Ce problème a affecté Ubuntu 8.04 LTS, 8.10, 9.04 et 9.10. (CVE-2010-0408)

Il a été découvert que Apache ne gérait pas correctement les en-têtes de sous-requêtes dans certaines conditions. Un attaquant distant pourrait exploiter ceci via une requête spécialement conçue et éventuellement récupérer des informations sensibles provenant de requêtes antérieures. (CVE-2010-0434)

Source : USN-908-1: Apache vulnerabilities

Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre session pour apporter les modifications nécessaires.

Détails :

Il a été découvert que gnome-screensaver ne verrouillait pas correctement tous les écrans lorsque des moniteurs étaient branchés à chaud. Un attaquant ayant un accés physique pourrait utiliser cette faille pour accèder à une session verrouillée. (CVE-2010-0285)

Il a été découvert que gnome-screensaver ne gérait pas correctement la saisie au clavier lorsque des moniteurs étaient branchés à chaud. Un attaquant ayant un accès physique pourrait utiliser cette faille pour accéder à une session verrouillée. Ce problème n’a affecté que Ubuntu 9.10. (CVE-2010-0422)

Source : USN-907-1: gnome-screensaver vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que l’ordonnanceur de CUPS ne gèrait pas correctement certaines opérations réseau. Un attaquant distant pourrait exploiter cette faille et faire planter le serveur CUPS, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 8.04 LTS, 8.10, 9.04 et 9.10. (CVE-2009-3553, CVE-2010-0302)

Ronald Volgers a découvert que l’utilitaire lppasswd de CUPS pouvait être amené à charger des messages traduits provenant de fichiers arbitraires en modifiant une variable d’environnement. Un attaquant local pourrait exploiter ceci via une vulnérabilité aux chaînes de format entraînant l’accès aux privilèges de root. Les options par défaut du compilateur pour Ubuntu 8.10, 9.04 et 9.10 devraient réduire cette vulnérabilité à un déni de service. (CVE-2010-0393)

Source : USN-906-1: CUPS vulnerabilities

Pour faciliter la désinstallation des applications AIR sous Ubuntu, j’ai développé Désinstalleur pour Adobe AIR en espérant qu’il vous sera utile.

Vos commentaires et suggestions sont les bienvenus.

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que sudo ne validait pas correctement le chemin d’accès à la pseudo-commande ’sudoedit’. Un attaquant local pourrait exploiter ceci pour exécuter du code arbitraire en tant que root si sudo était configuré pour permettre à l’attaquant d’utiliser sudoedit. La pseudo-commande sudoedit n’est pas utilisée dans l’installation par défaut de Ubuntu. (CVE-2010-0426)

Il a été découvert que sudo ne réinitialisait pas les permissions de groupe lorsque l’option de configuration ‘runas_default’ était utilisée. Un attaquant local pourrait exploiter ceci pour élever les privilèges de groupe si sudo était configuré pour permettre à l’attaquant d’exécuter des commandes sous le compte runas_default. L’option de configuration runas_default n’est pas utilisée dans l’installation par défaut de Ubuntu. Le problème a affecté Ubuntu 8.04 LTS, 8.10 et 9.04. (CVE-2010-0427)

Source : USN-905-1: sudo vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que Squid ne gérait pas correctement certains paquets malformés reçus sur le port HTCP. Un attaquant distant pourrait exploiter ceci avec un paquet spécialement conçu et faire planter Squid, entraînant un déni de service.

Source : USN-904-1: Squid vulnerability

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer OpenOffice pour apporter les modifications nécessaires.

Détails :

Il a été découvert que le système de signature XML HMAC ne vérifiait pas correctement certaines tailles. Si un attaquant envoyait un HMAC tronqué, il pourrait contourner l’authentification, entraînant une élévation de privilège potentielle. (CVE-2009-0217)

Sebastian Apelt et Frank Reißner ont découvert que OpenOffice n’importait pas correctement les images XPM et GIF. Si un utilisateur était amené à ouvrir une image spécialement conçue, un attaquant pourrait exécuter du code arbitraire avec les privilèges de l’utilisateur. (CVE-2009-2949, CVE-2009-2950)

Nicolas Joly a découvert que OpenOffice ne gérait pas correctement certains documents Word malformés. Si un utilisateur était amené à ouvrir un document spécialement conçu, un attaquant pourrait exécuter du code arbitraire avec les privilèges de l’utilisateur. (CVE-2009-3301, CVE-2009-3302)

Il a été découvert que OpenOffice ne gérait pas correctement certaines macros VBA. Si un utilisateur était amené à ouvrir un document spécialement conçu, un attaquant pourrait exécuter des macro-commandes arbitraires, en contournant les contrôles de sécurité. (CVE-2010-0136)

Source : USN-903-1: OpenOffice.org vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Pidgin pour apporter les modifications nécessaires.

Détails :

Fabian Yamaguchi a découvert que Pidgin ne validait pas correctement tous les champs d’un message entrant dans le gestionnaire du protocole MSN. Un attaquant distant pourrait envoyer un message spécialement conçu et faire planter Pidgin, entraînant un déni de service. (CVE-2010-0277)

Sadrul Habib Chowdhury a découvert que Pidgin ne gérait pas correctement certains pseudos dans les salons de discussions de Finch. Un attaquant distant pourrait envoyer un pseudo spécialement conçu et faire planter Pidgin, entraînant un déni de service. (CVE-2010-0420)

Antti Hayrynen a découvert que Pidgin ne gérait pas correctement les grandes quantités d’émoticônes. Un attaquant distant pourrait envoyer un message spécialement conçu et rendre Pidgin inopérant, entraînant un déni de service. (CVE-2010-0423)

Source : USN-902-1: Pidgin vulnerabilities

À partir de mars l’année prochaine, je concentrai mon énergie dans la conception de produits, les partenariats et la clientèle chez Canonical. Ce sont les choses qui me procurent le plus de plaisir et aussi celles qui me permettent le mieux travailler sur l’impact que nous avons sur l’Open Source et le marché technologique. J’ai cette possibilité car Jane Silber, qui a été la Directrice opérationnelle de Canonical pratiquement depuis le début, prendra le poste de Directrice.

Depuis que Jane à rejoint la société, elle et moi avons réparti la charge du travail de coordination entre les chefs de chacune des équipes clé de Canonical. Nous avons plusieurs fois échangé nos postes lorsque les nouvelles actions nécessitaient différents types de compétence ; à titre d’exemple, Jane encadre actuellement le projet Ubuntu One.

Je suis devenu vraiment passionné par la conception et la qualité, et je souhaite passer plus de temps pour comprendre comment nous pouvons tirer parti du processus collaboratif pour développer des produits, meilleurs et plus innovants. Je ne peux imaginer de défi plus intéressant, et je ne pouvais penser à meilleur personne que Jane pour reprendre mes responsabilités d’encadrement et de direction. Nous avons travaillé ensemble assez longtemps, et avec assez de proximité, pour que je puisse être confiant sur la suite qui sera donnée aux points qui me tiennent le plus à cœur et impatient de voir où Jane va placer la barre pour l’équipe des seniors. En tant qu’ancienne vice-présidente chez General Dynamics, Jane a plus l’expérience des gros clients et de la direction de grandes organisations, ce qui me paraît essentiel pour Canonical dans les cinq années à venir. Nous sommes bien accueillis comme partenaire et fournisseur de sociétés de plus en plus importantes, et je veux être sûr que nous sommes une réponse fiable à leurs besoins.

Beaucoup de personnes dans la communauté connaissent Jane par les conférences de développeurs Ubuntu et elle est bien établie en tant que dirigeant chez Canonical. Pour pouvoir se concentrer sur nos nouveaux postes, nous recruterons un Directeur opérationnel et un nouveau meneur pour Ubuntu One (ces deux postes à pourvoir seront annoncés publiquement ainsi que dans Canonical). Il n’y a pas d’urgence, nous avons prévu de coordonner les choses avec soin et j’espère que je serais à pied d’œuvre dans mon nouveau poste en mars.

Source : My new focus at Canonical

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications liées à XML-RPC pour C et C++ pour apporter les modifications nécessaires.

Détails :

USN-890-1 a corrigé des vulnérabilités dans Expat. Cette mise à jour fournit les mises à jour correspondantes pour XML-RPC pour C et C++.

Détails de la notification initiale :

Jukka Taimisto, Tero Rontti et Rauli Kaksonen ont découvert que Expat ne traitait pas correctement le XML malformé. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-2625, CVE-2009-3720)

Il a été découvert que Expat ne traitait pas correctement les séquences UTF-8 malformées. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-3560)

Source : USN-890-5: XML-RPC for C and C++ vulnerabilities

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

Plusieurs failles ont été découvertes dans le moteur du navigateur de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0159)

Orlando Barrera II a découvert une faille dans l’implémentation des « web-workers » de Firefox. Si un utilisateur était amené à publier sur un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0160)

Alin Rad Pop a découvert que l’analyseur HTML de Firefox ne libérait pas correctement la mémoire dans certaines circonstances. Si le navigateur pouvait être amené à accéder à ces objets mémoire libérés, un attaquant pourrait exploiter ceci pour exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1571)

Hidetake Jo a découvert que le showModalDialog de Firefox n’honorait pas toujours la règle de même origine. Un attaquant local pourrait exploiter ceci pour exécuter du JavaScript non fiable provenant d’autres domaines. (CVE-2009-3988)

Georgi Guninski a découvert que la vérification de même origine pouvait être contournée dans Firefox en utilisant une image SVG spécialement conçue. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait exploiter ceci pour lire des données à partir d’autres domaines. (CVE-2010-0162)

Source : USN-896-1: Firefox 3.5 and Xulrunner 1.9.1 vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

Plusieurs failles ont été découvertes dans le moteur du navigateur de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0159)

Orlando Barrera II a découvert une faille dans l’implémentation des « web-workers » de Firefox. Si un utilisateur était amené à publier sur un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0160)

Alin Rad Pop a découvert que l’analyseur HTML de Firefox ne libérait pas correctement la mémoire dans certaines circonstances. Si le navigateur pouvait être amené à accéder à ces objets mémoire libérés, un attaquant pourrait exploiter ceci pour exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1571)

Hidetake Jo a découvert que le showModalDialog de Firefox n’honorait pas toujours la règle de même origine. Un attaquant local pourrait exploiter ceci pour exécuter du JavaScript non fiable provenant d’autres domaines. (CVE-2009-3988)

Georgi Guninski a découvert que la vérification de même origine pouvait être contournée dans Firefox en utilisant une image SVG spécialement conçue. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait exploiter ceci pour lire des données à partir d’autres domaines. (CVE-2010-0162)

Source : USN-895-1: Firefox 3.0 and Xulrunner 1.9 vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que Squid ne gérait pas correctement certains en-têtes auth. Un attaquant distant pourrait exploiter ceci avec un en-tête auth spécialement conçu et entraîner Squid dans une boucle infinie, résultant en un déni de service. Ce problème n’a affecté que Ubuntu 8.10, 9.04 et 9.10. (CVE-2009-2855)

Il a été découvert que Squid ne gérait pas correctement certains paquets DNS. Un attaquant distant pourrait exploiter ceci avec un paquet DNS spécialement conçu et faire planter Squid, résultant en un déni de service. (CVE-2010-0308)

Source : USN-901-1: Squid vulnerabilities

Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Emmanouel Kellinis a découvert que Ruby ne gérait pas correctement certaines opérations sur les chaînes de caractères. Un attaquant pourrait exploiter ce problème et éventuellement exécuter du code arbitraire avec les privilèges de l’application. (CVE-2009-4124)

Giovanni Pellerano, Alessandro Tanasi et Francesco Ongaro ont découvert que Ruby ne nettoyait pas correctement les données écrites dans les fichiers d’enregistrement de suivi. Un attaquant pourrait insérer des données spécialement conçues dans des fichiers d’enregistrement de suivi qui pourraient affecter certains émulateurs de terminaux et entraîner l’écrasement de fichiers arbitraires, ou même éventuellement exécuter des commandes arbitraires. (CVE-2009-4492)

Il a été découvert que Ruby ne gérait pas correctement les arguments de type chaînes de caractères représentant des grands nombres. Un attaquant pourrait exploiter ceci et entraîner un déni de service. Ce problème n’a affecté que Ubuntu 9.10. (CVE-2009-1904)

Source : USN-900-1: Ruby vulnerabilities

Des cycles de six mois sont parfaits. Parlons maintenant des méta-cycles : des cycles de version plus longs pour des travaux majeurs. Je suis très intéressé par un échange entre communautés sur ce sujet, je vais donc esquisser quelques idées et encourager les personnes d’autant de communautés du Logiciel Libre que possible a déposer leur commentaires ici. Je résumerais ces commentaires dans un billet ultérieur, qui sera sans nul doute bien plus réfléchi et pertinent que celui-ci :-)

Avant-propos : baser la cadence sur les bonnes pratiques

La pratique des versions régulières, et maintenant des versions à intervalles de temps réguliers, devient courante dans la communauté du Logiciel Libre. Du noyau, à GNOME et KDE, à X, et à des distributions comme Ubuntu, et Fedora, l’idée d’un cycle régulier et prévisible est maintenant mieux compris et plus largement adopté. Plusieurs personnes plus intelligentes que moi ont présenté les bénéfices d’une telle cadence : dynamiser la communauté toute entière, publier VRAIMENT plus tôt et plus souvent, mélanger le bon et le mauvais code, phase de correction rapide.

Il y a eu quelques expériences avec différents cycles. Je suis impliqué dans des projets qui ont des cycles de 1 mois, 3 mois et 6 mois, pour différentes raisons. Ils fonctionnent tous bien.

… mais concernant les besoins du long terme

Mais il y a aussi des défauts dans le cycle de six mois :

• il est difficile d’expliquer à vos utilisateurs que vous avez fait des modifications définitives et significatives ;
• il est difficile de savoir pour combien de temps il faut assurer du support, vous ne pouvez évidemment pas supporter chaque version indéfiniment.

Je pense qu’il y a un consensus grandissant sur ce point, des deux côtés du débat sur la « cadence » originelle?

L’histoire de deux philosophies, avec peut-être une théorie unificatrice

Il y a quelques années, à l’AKademy de Glasgow, j’étais au centre d’un grand débat sur les cycles de six mois. J’étais un fervent défenseur du cycle de six mois, et j’étais intéressé par les arguments contradictoires. Le plus fort de ces arguments concernait la faisabilité de « changements importants ».

Le refrain habituel était que « Il y a des choses que l’on ne peut tout simplement pas faire en six mois ». « On doit pouvoir prendre plus de distance, et il faut planifier les grands changements ». GNOME a beaucoup été critiqué pour avoir « stagné » à cause de son incapacité à faire des choix judicieux dans un cycle de six mois (et avec les perpétuelles garanties de rétro-compatibilité). De telles discussions deviennent souvent idéologiques, avec d’un côté certaines personnes qui disent que « On peut tout faire évoluer de façon incrémentale » et d’autres qui disent que « Il faut faire une rupture nette ».

À l’époque, KDE se préparait pour KDE 4.0, une initiative importante et courageuse s’il en est. Et GNOME semblait heureux de produire ses versions régulières. Lorsque la version de KDE est arrivée, elle était belle, mais elle avait a de vrais problèmes. Comme on pouvait s’y attendre, les partisans des versions régulières déclarèrent « regardez, nous vous l’avions dit, les GROSSES versions ne marchent pas ». Mais depuis, KDE a cessé de faire des améliorations régulières, bien cadrées et incrémentales, et KDE est superbe. Les avantages de ce geste audacieux apparaissent maintenant clairement. Bien joué KDE :-)

De son côté, GNOME est maintenant plus conscient des limites des versions régulières. Je suis très excité par l’enthousiasme et l’esprit avec lequel la campagne « l’expérience utilisateur COMPTE » est reprise dans Gnome, il y a une réelle volonté d’offrir des changements révolutionnaires. Cela a commencé l’an dernier lors de la réunion au sommet de Gnome sur l’ergonomie, que j’ai apprécié et à laquelle ont participé quelques membres des équipes de Canonical en charge de l’ergonomie et du design, et les fruits de cette évolution des tendances se profilent dans des choses comme le nouvel environnement Activités.

Il est maintenant clair qu’un changement comme celui-ci représente une rupture définitive avec le passé et qu’il prendra plus qu’une version conçue en six mois pour arriver à maturité. Et plus important que tout, il s’agit d’une occasion de faire d’autres modifications significatives et rompant avec le passé. Une rupture avec le passé. Un geste audacieux. Et il y a donc eu une série de conversations sur la façon de « faire une 3.0 », en clair, comment rompre avec la tradition du changement progressif, afin de rendre cette vision possible.

Il me semble que les deux projets convergent vers un ensemble commun d’idées :

• Les versions rapides et prévisibles sont parfaites pour maintenir la motivation et faire évoluer le code de manière propre et efficace, elles évitent d’aller à l’échec, elles consolident les choses et permettent de laisser murir les bonnes et les mauvaises idées de manière coordonnée et gérée.
• Les grandes versions sont énergisantes. Elles sont motivantes, elles donnent aux gens le sentiment qu’il est possible de changer quelque chose, elles libèrent beaucoup d’énergie créative et génèrent de nombreuses et saines discussions. Mais elles peuvent être un peu brouillon, des choses peuvent se casser en route, et c’est une bonne chose.

De façon anecdotique, il y a d’autres histoires intéressantes qui se nourrissent de tout cela.

La communauté Python a récemment décidé que Python 3.0 aurait un cycle plus court que les versions habituelles de Python. La version 3.0 sert à secouer les idées et le code pour les versions 3.x, mais elles ne sera pas adoptée massivement ce qui fait que cela n’a pas vraiment de sens de faire beaucoup d’effort pour la maintenir – on la sort, avec un cycle court, et on investit ensuite dans la qualité durant le cycle suivant parce que la version 3.x sera beaucoup plus utilisée que la 3.0. Cela me rappelle beaucoup KDE 4.0.

Je suis donc intéressé par les opinions, les défis, les idées, les engagements, les hypothèses, etc. à propos de l’idée des méta-cycles et comment nous pourrions nous organiser pour en tirer avantage le plus possible. Je crois que nous pouvons définir une bonne pratique, qui inclut des versions régulières pour une amélioration continue suivant un calendrier prévisible, et AUSSI définir une bonne pratique pour savoir comment les version MAJEURES se situent dans cette cadence, de manière très structurée et gérable. Je pense que nous pouvons tirer profit des expériences de GNOME et KDE, et d’autres projets, pour construire cette réflexion.

C’est également important pour les distributions

Les principales distributions ont tendance à avoir des versions importantes, aussi bien que des versions fréquentes. RHEL a Fedora, Ubuntu fait des versions LTS, Debian suit le rythme de sa logique d’intégration continue à l’extrême avec Sid et Testing :-) .

Lorsque nous avons fait Ubuntu 6.06 LTS nous disions que nous en ferions une autre dans « 2 ou 3 ans ». Quand nous avons fait la 8.04 LTS nous disions que les bénéfices de la prédictibilité d’une LTS sont tels qu’il serait bien de dire à l’avance quand serait la prochaine LTS. Je disais que j’aimerais que ça soit la 10.04 LTS, un cycle majeur de 2 ans, à moins que nous ayons la possibilité de coordonner les versions majeures avec une ou deux autres des principales distributions – Debian, Suse ou Red Hat.

J’ai parlé avec des gens de chez Novell, et il ne semble pas qu’il y ait de possibilité de se synchroniser pour l’instant. En discutant avec Steve McIntyre, le leader du projet Debian, nous avons repéré une possibilité de collaboration intéressante. Debian vise un cycle de 18 mois, qui amènerait leur prochaine version en octobre 2010, ce qui correspondrait avec la sortie de la version Ubuntu 10.10. Nous pourrions donc retarder la LTS d’Ubuntu jusqu’en octobre 2010, en nous synchronisant et en collaborant avec le projet Debian pour avoir des versions très proches en termes de choix d’infrastructure. Cela faciliterait grandement le partage des correctifs, un plus pour tout le monde. Puisqu’il y aura beaucoup de gens d’Ubuntu à la Debconf, et espérons un grand nombre de développeurs Debian à l’UDS de Barcelone en mai, nous aurons des chances d’examiner cette possibilité en détail. Si cette idée reçoit un accueil favorable, plait et suscite beaucoup d’implication chez Debian, je serais prêt à promouvoir l’idée de faire passer la LTS de 10.04 en 10.10 LTS.

Questions et options

Alors, quelles pourraient être les « bonnes pratiques » d’un méta-cycle ? Quelles sortes de choses devraient être prises en compte dans la planification de ces méta-cycles ? Quels problèmes entraîneraient-t-elles, et comment ceux-ci seraient-ils le mieux traités ? Comment les cycles courts (3 mois, 6 mois) se situent-ils dans un méta-cycle plus large ? Poser ces questions à de nombreuses communautés aidera à tester les idées et à retenir les meilleures d’entre-elles.

Quel nom conviendrait bien à ce type de méta-cycle ? Méta-cycle fait … très méta.

Il est vrai que la “première version d’un cycle majeur” (KDE 4.0, Python 3.0) est mieux faite dans la mesure où un cycle court n’empiète pas sur l’attention à porter au long terme ? Y a-t-il des contre-exemples, ou de meilleurs exemples, de ceci ?

Quelle version dans un cycle majeur est-elle la plus indiquée pour le support à long terme ? Est-ce la dernière des versions avant que de nouveaux changements important surviennent (Python 2.6 ? GNOME 2.28 ?) ou est-ce le résultat de quelques itérations rapides sur la versions X.0 (KDE 4.2 ? GNOME 3.2 ?) Est-ce important ? Je crois qu’il y a avantage pour les projets en amont à supporter occasionnellement une version pendant une période plus longue que d’habitude, parce que c’est ce que les grandes sociétés souhaitent.

Est-ce qu’un cycle d’une année complète serait bénéfique ? Est-ce que par exemple 2 ans et demi serait une bonne idée ? Personnellement, je ne pense pas. Je pense que les conférences et les vacances ont tendance à se passer au même moment chaque année et c’est bien plus facile de raisonner en termes de cycles d’années complètes. Mais au cours de discussions informelles à ce propos, certains ont dit que 18 mois, d’autres que 30 mois (2 ans et demi), pourrait leur convenir. Je pense qu’ils sont diiiingues, qu’en pensez-vous ?

Si ce n’est pas 2 ou 3 ans, qu’est-ce qui vous conviendrait le mieux ? Du côté matériel les gens ont tendance à dire « 2 ans ! » pour bénéficier plus tôt des nouveaux matériels. Pour ce qui est du logiciel ils disent « 3 ans ! » pour avoir  moins de changements à gérer. Personnellement, je suis dans le camp des 2 ans, mais je pense qu’il est plus important de s’aligner sur le rythme de la communauté, et si GNOME, KDE ou le noyau voulaient 3 ans, je serais partant.

Comment les méta-cycles de différents projets cohabitent ? Cela a-t-il un sens d’avoir des choses de bas-niveau relatives au matériel sur un cycle différent que d’autres de haut-niveau visibles par l’utilisateur ? Ou bien cela a-t-il plus de sens d’avoir un rythme de vie commun de haut en bas ?

Cela aurait-il plus de sens d’étaler les versions à long terme en fonction de leur dépendance à une autre, comme GCC puis X et OpenOffice ? Ou bien cela aurait-il plus de sens de leur faire suivre à toutes le même méta-cycle, afin que nous ayons par moment des changements radicaux, et à d’autres beaucoup de stabilité ?

Y a-t-il des projets qui fonctionnent déjà comme cela ?

Y a-t-il des théories ou des pratiques établies dans ce domaine ?

Une discussion entre communautés

Si vous avez lu jusqu’ici, merci ! Veuillez commenter, et si vous êtes intéressé alors veuillez remonter ces questions dans les communautés dont vous vous occupez, et rapportez les résultats de ces discussions ici sous forme de commentaires. Je suis quasiment sûr que nous pouvons faire évoluer l’art du logiciel à un niveau supérieur si nous pouvons tirer parti du fait que nous ne sommes PAS propriétaires, et c’est une des clés pour y parvenir.

Source : Meta-cycles: 2-3 year major cycles for free software?

Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Details :

Il a été découvert que Tomcat ne validait pas correctement les noms de fichiers ou les chemins d’accès WAR lors du déploiement. Un attaquant distant pourrait envoyer un fichier WAR spécialement conçu pour être déployé et entraîner la création, l’écrasement ou la suppression de fichiers arbitraires.

Source : USN-899-1: Tomcat vulnerabilities

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre session pour apporter les modifications nécessaires.

Details :

Il a été découvert que gnome-screensaver ne gérait pas correctement le branchement à chaud de moniteur. Un attaquant ayant un accès physique pourrait faire planter gnome-screensaver et avoir accès à la session verrouillée.

Source : USN-898-1: gnome-screensaver vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Details :

Il a été découvert que MySQL pouvait être amené à  écraser les fichiers de tables existantes dans le répertoire de données. Un utilisateur authentifié pourrait éventuellement utiliser les options DATA DIRECTORY et INDEX DIRECTORY pour contourner les vérifications de privilèges. Cette mise à jour modifie le comportement de création de table en interdisant l’utilisation du répertoire de données de MySQL dans les options DATA DIRECTORY et INDEX DIRECTORY. Ce problème n’a affecté que Ubuntu 8.10. (CVE-2008-4098)

Il a été découvert que MySQL contenait une vulnérabilité aux attaques croisées entre sites dans le client en ligne de commande lorsque l’option –html était activée. Un attaquant pourrait placer un script Web ou du HTML arbitraire dans une cellule de base de données, qui serait ensuite placé dnas le document HTML produit par l’utilitaire en ligne de commande. Ce problème n’a affecté que Ubuntu 6.06 LTS, 8.04 LTS, 8.10 et 9.04. (CVE-2008-4456)

Il a été découvert que MySQL pouvait être amené à  écraser les fichiers de tables existantes se trouvant dans le répertoire de données. Un utilisateur authentifié pourrait utiliser des liens symboliques combinés avec les options DATA DIRECTORY et INDEX DIRECTORY pour contourner les vérifications de privilèges. Ce problème n’a affecté que Ubuntu 9.10. (CVE-2008-7247)

Il a été découvert que MySQL contenait plusieurs failles relatives aux chaînes de format dans l’enregistrement du suivi des créations et des suppressions de bases de données. Un utilisateur authentifié pourrait utiliser des noms de bases de données spécialement conçus pour faire planter MySQL, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 6.06 LTS, 8.04 LTS, 8.10 et 9.04. (CVE-2009-2446)

Il a été découvert que MySQL gérait de manière incorrecte les erreurs lors du traitement de certaines expressions SELECT et ne préserveait pas correctement les indicateurs d’état lors du traitement d’expressions utilisant la fonction GeomFromWKB. Un utilisateur authentifié pourrait exploiter ceci pour faire planter MySQL, entraînant un déni de service. (CVE-2009-4019)

Il a été découvert que MySQL ne vérifiait pas correctement les liens symboliques lors de l’utilisation des options DATA DIRECTORY et INDEX DIRECTORY. Un utilisateur local pourrait utiliser des liens symboliques pour créer des tables qui pointeraient vers des tables dont on sait qu’elles seraient créés ultérieurement, contournant les restrictions d’accès. (CVE-2009-4030)

Il a été découvert que MySQL contenait un dépassement de capacité lors de l’analyse des certificats SSL. Un attaquant distant pourrait envoyer des requêtes spécialement conçues et entraîner un déni de service ou éventuellement exécuter du code arbitraire. Ce problème n’a pas affecté Ubuntu 6.06 LTS et pour les versions affectées, les options par défaut du compilateur devraient réduire la vulnérabilité à un déni de service. Dans l’installation par défaut, les attaquants seraient également isolés par le profil MySQL de AppArmor. (CVE-2009-4484)

Source : USN-897-1: MySQL vulnerabilities

Si le disque virtuel est utilisé sous Windows il est vivement conseillé de procéder à sa défragmentation. Pour cela, vous pouvez utiliser l’utilitaire standard livré avec Windows ou bien d’autres utilitaires comme Defraggler, O&O Defrag ou l’excellent Diskeeper. Cette défragmentation permettra d’optimiser la phase de compactage en consolidant l’espace libre.

Pour que l’algorithme de compactage puisse réduire au maximum la taille du disque virtuel, son espace libre doit être rempli avec des zéros. Pour cette opération, vous devrez démarrer la machine virtuelle associée au disque virtuel à compacter et y suivre la procédure ci-dessous.

Sous Ubuntu

1. lancez un terminal ;
2. exécutez la commande cat /dev/zero > zeros ; sync ; rm zeros pour créer un fichier qui occupera tout l’espace libre en étant rempli de zéros et sera ensuite effacé.

Sous Windows

1. téléchargez l’utilitaire nullfile-1.02.exe et enregistrez-le sur votre système – par exemple sur c:\nullfile-1.02.exe ;
2. lancez une invite de commandes ;
3. exécutez la commande c:\nullfile-1.02.exe pour créer un fichier qui occupera tout l’espace libre en étant rempli de zéros et sera ensuite effacé.

Que votre machine virtuelle soit sous Ubuntu ou sous Windows, soyez patient car ce processus peut durer assez longtemps. Une fois le remplissage avec des zéros effectué, vous devrez arrêter la machine virtuelle pour pouvoir compacter le disque virtuel en suivant la procédure ci-dessous depuis la machine hôte.

Sous Ubuntu

1. lancez un terminal ;
2. exécutez une commande cd suivie du nom du répertoire contenant le disque virtuel à compacter – par exemple cd /home/bernard/.VirtualBox/HardDisks/ ;
3. exécutez la commande VBoxManage modifyhd hd.vdi --compact pour compacter le disque virtuel hd.vdi.

Sous Windows

1. lancez une invite de commandes ;
2. exécutez une commande cd suivie du nom de répertoire contenant le disque virtuel à compacter – par exemple cd "C:\Documents and Settings\Bernard\.VirtualBox\HardDisks" ;
3. exécutez la commande "C:\Program Files\Sun\xVM VirtualBox\VBoxManage" modifyhd hd.vdi --compact pour compacter le disque virtuel hd.vdi.

Là encore soyez patient car le processus peut être long, mais le résultat en vaut généralement la peine.

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre ordinateur pour apporter les modifications nécessaires.

ATTENTION : En raison d’un changement inévitable d’ABI (excepté pour Ubuntu 6.06) les mises à jour de noyau ont reçu un nouveau numéro de version qui vous oblige à recompiler et réinstaller tous les modules de noyau tiers que vous pourriez avoir installés. Si vous utilisez linux-restricted-modules, vous devrez mettre à jour ce paquet et obtenir les modules qui fonctionnent avec la nouvelle version du noyau. À moins que vous ayez désinstallé manuellement les méta paquets du noyau standard (ex. : linux-generic, linux-server, linux-powerpc), une mise à niveau standard du système le fera automatiquement.

Details :

Amerigo Wang et Eric Sesterhenn ont découvert que les systèmes de fichiers HFS et ext4 ne vérifiaient pas correctement certaines structures de disque. Si un utilisateur était amené à monter un système de fichier spécialement conçu, un attaquant distant pourrait faire planter le système ou obtenir les privilèges de root. (CVE-2009-4020, CVE-2009-4308)

Il a été découvert que FUSE ne vérifiait pas correctement certaines requêtes. Un attaquant local ayant accès aux montages FUSE pourrait exploiter ceci pour faire planter le système ou éventuellement obtenir les privilèges de root. Ubuntu 9.10 n’a pas été affecté. (CVE-2009-4021)

Il a été découvert que KVM ne décodait pas correctement certaines instructions de l’invité. Un attaquant local pourrait exploiter ceci pour déclencher un ordonnancement à forte latence dans l’hôte, entraînant un déni de service. Ubuntu 6.06 n’a pas été affecté. (CVE-2009-4031)

Il a été découvert que le pilote de périphérique fireware OHCI ne gérait pas correctement certains ioctls. Un attaquant local pourrait exploiter ceci pour faire planter le système ou éventuellement obtenir les privilèges de root. Ubuntu 6.06 n’a pas affecté. (CVE-2009-4138)

Tavis Ormandy a découvert que le noyau ne gérait pas correctement O_ASYNC sur les fichiers vérouillés.  Un attaquant local pourrait exploiter ceci pour obtenir les privilèges de root. Seules Ubuntu 9.04 et 9.10 ont été affectées. (CVE-2009-4141)

Neil Horman et Eugene Teo ont découvert que les pilotes de périphériques réseau e1000 et e1000e ne vérifiaient pas correctement la taille de trames Ethernet. Un attaquant sur le réseau local pourrait envoyer du trafic spécialement conçu pour contourner les filtres de paquets, faire planter le système, ou éventuellement obtenir les privilèges de root. (CVE-2009-4536, CVE-2009-4538)

Il a été découvert que les rapports de “print-fatal-signals” pouvaient montrer des contenus arbitraires de la mémoire du noyau. Un attaquant local pourrait exploiter ceci, entraînant une perte de confidentialité. Ceci est désactivé par défaut dans Ubuntu et n’a pas affecté Ubuntu 6.06. (CVE-2010-0003)

Olli Jarva et Tuomo Untinen ont découvert que IPv6 ne gérait pas correctement les trames Jumbo. Un attaquant pourrait exploiter ceci pour faire planter le système, entraînant un déni de service. Seules Ubuntu 9.04 et 9.10 ont été affectées. (CVE-2010-0006)

Florian Westphal a découvert que les règles de pont de Netfilter pouvaient être modifiées par des utilisateurs sans privilèges. Un attaquant local pourrait perturber le trafic réseau, entraînant un déni de service. (CVE-2010-0007)

Al Viro a découvert que certaines opérations de mremap pouvaient occasionner des fuites dans la mémoire du noyau. Un attaquant local pourrait exploiter ceci pour consommer toute la mémoire disponible, entraînant un déni de service. (CVE-2010-0291)

Source : USN-894-1: Linux kernel vulnerabilities

Malheureusement, je ne suis pas allé bien loin :-(

Dès la page d’accueil, je m’aperçois que le site SSiiMarket.com impose d’avoir installé Silverlight pour pouvoir être utilisé. Ayant lu la mention « Silverlight fonctionne sur Windows 2000, XP, Vista, 7 et Mac OS sur les navigateurs IE 6, 7, 8, Firefox, Safari … », je me dis qu’avec Firefox 3.5.7 sur Ubuntu 9.10 ça devrait pouvoir le faire en installant le greffon Moonlight 2.0, même si je ne suis pas un grand fan du projet Mono.

Une fois équipé, j’essaie à nouveau d’accéder au site SSiiMarket.com.

Un frisson de plaisir me parcours quand je vois débuter le chargement de la page d’accueil, mais c’est rapidement la douche froide. Le chargement de la page d’accueil reste bloqué à 99 %.

De son côté, Firefox mouline en consommant 100 % du processeur. Après quelques minutes, je me résous à arrêter Firefox en tuant sa tâche.

Lorsque je relance Firefox, celui m’explique qu’il est bien embarrassé car le site SSiiMarket.com lui pose de sérieux problèmes.

Après plusieurs tentatives, j’ai finalement abandonné l’idée de visiter SSiiMarket.com aujourd’hui et j’ai désinstallé le greffon Moonlight.

Dommage pour les utilisateurs de Linux qui ne pourront pas découvrir ce nouveau site, du moins tant que son éditeur n’aura pas fait le nécessaire pour leur en faciliter l’accès.

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Ronald Volgers a découvert que l’utilitaire mount.cifs, lorsqu’il était installé avec un programme setuid, souffrait d’une situation de compétition lorsqu’il vérifiait les permissions utilisateur. Un attaquant local pourrait amener Samba à monter des points de montage arbitraires, entraînant une élévation de privilège root.

Source : USN-893-1: Samba vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Ronald Volgers a découvert que FUSE ne vérifiait pas correctement les points de montage. Un attaquant local, ayant accès à FUSE, pourrait démonter des points de montage arbitraires, entraînant un déni de service.

Source : USN-892-1: FUSE vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Raphael Geissert a découvert que Lintian ne validait correctement certains noms de fichiers lors du traitement de ses données en entrée. Si un utilisateur ou un système automatisé était amené à exécuter Lintian sur un ensemble de fichiers spécialement conçus, un attaquant distant pourrait exécuter du code arbitraire avec les privilèges de l’utilisateur.

Source : USN-891-1: lintian vulnerabilities

Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les connexions réseaux DHCP qui utilisent dhclient3 pour apporter les modifications nécessaires.

Détails :

USN-803-1 a corrigé une vulnérabilité dans DHCP. À cause d’une erreur, le correctif destiné à corriger la vulnérabilité n’a pas été appliqué correctement à Ubuntu 8.10 et suivantes. Même avec le correctif incorrectement appliqué, les options par défaut du compilateur ont réduit la vulnérabilité à un déni de service. De plus, dans Ubuntu 9.04 et suivantes, les utilisateurs étaient aussi protégés par le profil dhcp3 de AppArmor. Cette mise à jour corrige le problème.

Détails de la notification initiale :

Il a été decouvert que le client DHCP tel qu’il est inclu dans dhcp3 ne vérifiait pas la longueur de certains champs d’option lors du traitement d’une réponse provenant d’une serveur dhcp IPv4. Si un utilisateur exécutant Ubuntu 6.06 LTS ou 8.04 LTS se connectait à un serveur dhcp malveillant, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire sous l’identité de l’utilisateur exécutant l’application, typiquement l’utilisateur ‘dhcp’. Pour les utilisateurs de Ubuntu 8.10 ou 9.04, un attaquant distant pourrait seulement causer un déni de service dans le client DHCP. Dans Ubuntu 9.04, les attaquants seraient également isolés par le profil dhclient3 de AppArmor.

Source : USN-803-2: Dhcp vulnerability

Ubuntu 6.06 LTS

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications qui utilisent le module PyXML pour apporter les modifications nécessaires.

Détails :

USN-890-1 a corrigé des vulnérabilités dans Expat. Cette mise à jour fournit les mises à jour correspondantes pour PyXML.

Détails de la notification initiale :

Jukka Taimisto, Tero Rontti et Rauli Kaksonen ont découvert que Expat ne traitait pas correctement le XML malformé. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-2625, CVE-2009-3720)

Il a été découvert que Expat ne traitait pas correctement les séquences UTF-8 malformées. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-3560)

Source : USN-890-4: PyXML vulnerabilities

Lors de l’établissement de la connexion ODBC, je constatais systématiquement un délai symptomatique de 5 secondes lors de l’exécution du code VBA ci-dessous :

Set adoConnexion = CreateObject( "ADODB.Connection" )
adoConnexion.ConnectionString = "DRIVER={MySQL ODBC 5.1 Driver};SERVER=...;DATABASE=...;USER=...;PASSWORD=...;OPTION=3;"
adoConnexion.Open

Après avoir cherché un bon moment pour comprendre ce qui pouvait bien engendrer un délai aussi rédibitoire, j’ai fini par découvrir que cela était du au mécanisme utilisé par le serveur MySQL pour identifier les connexions des nouveaux clients.

Pour faire court, lorsqu’un nouveau client se connecte à un serveur MySQL, ce dernier vérifie son identité en deux temps. Tout d’abord en faisant une première résolution pour obtenir son nom d’hôte à partir de son adresse IP, puis en faisant une deuxième résolution pour obtenir son adresse IP à partir du nom d’hôte récupéré. Ces résolutions font appels aux services de DNS et prennent un certain temps, qui peut s’avérer pénalisant si les résolutions échouent, si le service de DNS est lent ou surchargé, ou encore si le nombre de demande de connexions simultannées est très important.

Si comme moi vous n’avez pas besoin de spécifier des noms d’hôtes particuliers dans les tables de privilèges de votre serveur MySQL, ou bien si vous pouvez les remplacer par leurs adresses IP, alors vous pouvez désactiver le mécanisme d’identification qui cause ce ralentissement. Pour ce faire, il suffit d’ajouter l’option skip-name-resolve au fichier de configuration du serveur MySQL et de redémarrer le service mysql.

Voici la procédure pour Ubuntu :

1. lancez un terminal ;
2. éditez le fichier /etc/mysql/my.cnf en mode superutilisateur avec votre éditeur favori – en exécutant par exemple la commande sudo vi /etc/mysql/my.cnf ;
3. ajoutez l’option skip-name-resolve dans la section [mysqld] ;
4. enregistrez le fichier et fermez votre éditeur ;
5. exécutez la commande sudo /etc/init.d/mysql restart pour redémarrer votre serveur MySQL.

Vous devriez retrouver le sourire :-)

Source : How MySQL Uses DNS

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications Python 2.4 qui utilisent le module PyExpat pour apporter les modifications nécessaires.

Détails :

USN-890-1 a corrigé des vulnérabilités dans Expat. Cette mise à jour fournit les mises à jour correspondantes pour le module PyExpat de Python 2.4.

Détails de la notification initiale :

Jukka Taimisto, Tero Rontti et Rauli Kaksonen ont découvert que Expat ne traitait pas correctement le XML malformé. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-2625, CVE-2009-3720)

Il a été découvert que Expat ne traitait pas correctement les séquences UTF-8 malformées. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-3560)

Source : USN-890-3: Python 2.4 vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications Python qui utilisent le module PyExpat pour apporter les modifications nécessaires.

Détails :

USN-890-1 a corrigé des vulnérabilités dans Expat. Cette mise à jour fournit les mises à jour correspondantes pour le module PyExpat de Python 2.5.

Détails de la notification initiale :

Jukka Taimisto, Tero Rontti et Rauli Kaksonen ont découvert que Expat ne traitait pas correctement le XML malformé. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-2625, CVE-2009-3720)

Il a été découvert que Expat ne traitait pas correctement les séquences UTF-8 malformées. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-3560)

Source : USN-890-2: Python 2.5 vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications liées à Expat pour apporter les modifications nécessaires.

Détails :

Jukka Taimisto, Tero Rontti et Rauli Kaksonen ont découvert que Expat ne traitait pas correctement le XML malformé. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-2625, CVE-2009-3720)

Il a été découvert que Expat ne traitait pas correctement les séquences UTF-8 malformées. Si un utilisateur ou une application liée à Expat était amené à ouvrir un fichier XML spécialement conçu, un attaquant pourrait causer un déni de service via un plantage d’application. (CVE-2009-3560)

Source : USN-890-1: Expat vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que gzip ne gérait pas correctement certains fichiers compressés et malformés. Si un utilisateur ou un système automatisé était amené à ouvrir un fichier gzip spécialement conçu, un attaquant pourrait faire planter gzip ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-2624)

Aki Helin a découvert que gzip ne gérait pas correctement certains fichiers compressés avec l’algorithme Lempel–Ziv–Welch (LZW) et malformés. Si un utilisateur ou un système automatisé était amené à ouvrir un fichier gzip spécialement conçu, un attaquant pourrait faire planter gzip ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2010-0001)

Source : USN-889-1: gzip vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que Bind mettait en cache de manière incorrecte des réponses NXDOMAIN boguées. Lorsque la validation DNSSEC est utilisée, un attaquant distant pourrait exploiter ceci pour causer un déni de service, et éventuellement polluer les caches DNS. (CVE-2010-0097)

USN-865-1 a fourni des paquets mis à jour pour Bind pour corriger une vulnérabilité. Le correctif de sécurité en amont pour corriger CVE-2009-4022 était incomplet et CVE-2010-0290 a été assigné au problème. Cette mise à jour corrige le problème.

Détails de la notification initiale :

Michael Sinatra a découvert que Bind ne validait pas correctement certains enregistrements ajoutés à son cache. Lorsque la validation DNSSEC est utilisée, un attaquant distant pourrait exploiter ceci pour falsifier des entrées DNS et polluer les caches DNS. Entre autres choses, ceci pourrait induire de mauvaises redirections de courriel et de trafic Web.

Source : USN-888-1: Bind vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Tim Starling a découvert que LibThai ne gérait pas correctement les chaînes de caractères longues. Un attaquant distant pourrait utiliser des chaînes de caractères spécialement conçues pour exécuter du code arbitraire avec les privilèges de l’utilisateur.

Source : USN-887-1: LibThai vulnerability

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Pidgin pour apporter les modifications nécessaires.

Détails :

Il a été découvert que Pidgin ne gérait pas correctement certains messages de thème dans le gestionnaire de protocole IRC. Si un utilisateur était amené à se connecter à un serveur IRC malveillant, un attaquant pourrait faire planter Pidgin, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 8.04 LTS, Ubuntu 8.10 et Ubuntu 9.04. (CVE-2009-2703)

Il a été découvert que Pidgin n’appliquait pas correctement le paramètre “nécessite TLS/SSL” lors de la connexion à certains serveurs Jabber anciens. Si un attaquant distant avait la possibilité de faire une attaque de l’homme du milieu, cette faille pourrait être exploitée pour visualiser des informations sensibles. Ce problème n’a affecté que Ubuntu 8.04 LTS, Ubuntu 8.10 et Ubuntu 9.04. (CVE-2009-3026)

Il a été découvert que Pidgin ne gérait pas correctement certains messages d’invite SLP dans le gestionnaire de protocole MSN. Un attaquant distant pourrait envoyer un message d’invite spécialement conçu et faire planter Pidgin, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 8.04 LTS, Ubuntu 8.10 et Ubuntu 9.04. (CVE-2009-3083)

Il a été découvert que Pidgin ne gérait pas correctement certaines erreurs dans le gestionnaire de protocole XMPP. Un attaquant distant pourrait envoyer un message spécialement conçu et faire planter Pidgin, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 8.10 et Ubuntu 9.04. (CVE-2009-3085)

Il a été découvert que Pidgin ne gérait pas correctement les données de listes de contacts malformées dans le gestionnaire de protocole OSCAR. Un attaquant distant pourrait envoyer des données de listes de contacts spécialement conçues et faire planter Pidgin, entraînant un déni de service. (CVE-2009-3615)

Il a été découvert que Pidgin ne gérait pas correctement les requêtes d’émoticônes personnalisées dans le gestionnaire de protocole MSN. Un attaquant distant pourrait envoyer un nom de fichier spécialement conçu dans une requête d’émoticône personnalisée et récupérer des fichiers arbitraires via une attaque par chemin d’accès malveillant. Ce problème n’a affecté que Ubuntu 8.10, Ubuntu 9.04 et Ubuntu 9.10. (CVE-2010-0013)

Pidgin pour Ubuntu 8.04 LTS a également été mis à jour pour corriger des problèmes de connexion avec le protocole MSN. USN-675-1 et USN-781-1 ont fourni des paquets mis à jour pour Pidgin pour corriger plusieurs failles de sécurité dans Ubuntu 8.04 LTS. Les correctifs pour corriger CVE-2008-2955 et CVE-2009-1376 étaient incomplets. Cette mise à jour corrige le problème.

Détails de la notification initiale :

Il a été découvert que Pidgin ne gérait pas correctement les transferts de fichiers contenant un nom de fichier long et des caractères spéciaux dans le gestionnaire de protocole MSN. Un attaquant distant pourrait envoyer un nom de fichier spécialement conçu dans une requête de transfert de fichier et faire planter Pidgin, entraînant un déni de service. (CVE-2008-2955)

Il a été découvert que Pidgin ne gérait pas correctement certains messages malformés dans le gestionnaire de protocole MSN. Un attaquant distant pourrait envoyer un message spécialement conçu et potentiellement exécuter du code arbitraire avec les privilèges utilisateur. (CVE-2009-1376)

Source : USN-886-1: Pidgin vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Transmission pour apporter les modifications nécessaires.

Détails :

Il a été découvert que l’interface Web de Transmission était vulnérable aux attaques par falsifications de requêtes croisées entre sites (CSRF). Si un utilisateur était amené à ouvrir une page Web spécialement conçue dans un navigateur pendant que Transmission s’exécute, un attaquant pourrait déclencher des commandes dans Transmission. Ce problème a affecté Ubuntu 9.04. (CVE-2009-1757)

Dan Rosenberg a découvert que Transmission ne validait pas correctement ses données en entrée lors du traitement de fichiers torrent. Si un utilisateur était amené à ouvrir un fichier torrent spécialement conçu, un attaquant pourrait modifier des fichiers via une attaque par chemin d’accès malveillant. (CVE-2010-0012)

Source : USN-885-1: Transmission vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications qui utilisent OpenSSL, en particulier Apache, pour apporter les modifications nécessaires.

Détails :

Il a été découvert que dans certaines situations OpenSSL ne libérait pas correctement la mémoire inutilisée. Un attaquant distant pourrait déclencher ce problème dans des services qui utilisent SSL, pour qu’ils consomment toute la mémoire système disponible, entraînant un déni de service.

Source : USN-884-1: OpenSSL vulnerability

Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre session pour apporter les modifications nécessaires.

Détails :

Il a été découvert que NetworkManager ne garantissait pas la présence du fichier de certificat de la Certification Authority (CA) lors de l’utilisation de réseaux WPA Enterprise ou 802.1x. Un attaquant distant pourrait utiliser cette faille pour usurper l’identité d’un réseau sans fil et visualiser des informations sensibles. (CVE-2009-4144)

Il a été découvert que l’interface utilisateur graphique de l’éditeur de connexions exporterait des objets vers D-Bus de manière incorrecte. Un utilisateur local pourrait lire des signaux D-Bus pour visualiser les mots de passe et les clés pré-partagées de connexions réseaux d’autres utilisateurs. (CVE-2009-4145)

Source : USN-883-1: network-manager-applet vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Maksymilian Arciemowicz a découvert que PHP ne gérait pas correctement la fonction ini_restore. Un attaquant pourrait exploiter ce problème pour récupérer le contenu de zones mémoire ou pour faire planter le serveur PHP, entraînant un déni de service. (CVE-2009-2626)

Il a été découvert que la fonction htmlspecialchars ne gérait pas correctement certaines séquences de caractères, ce qui pourrait rendre les navigateurs vulnérables aux attaques croisées entre sites lors de la génération de contenu. Avec des vulnérabilités aux attaques croisées entre sites, si un utilisateur était amené à visualiser un contenu généré par un serveur traitant une requête spécialement conçue, un attaquant distant pourrait exploiter ceci pour modifier le contenu, ou dérober des informations confidentielles (telles que des mots de passe), dans le même domaine. (CVE-2009-4142)

Stefan Esser a découvert que PHP ne gérait pas correctement les données de session. Un attaquant pourrait exploiter ce problème pour contourner les restrictions safe_mode ou open_basedir. (CVE-2009-4143)

Source : USN-882-1: PHP vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que Kerberos ne gérait pas correctement les blocs AES incorrects. Un attaquant distant non authentifié pourrait envoyer du trafic spécialement conçu qui ferait planter le service KDC, entraînant un déni de service, ou éventuellement exécuter du code arbitraire avec les privilèges de root.

Source : USN-881-1: Kerberos vulnerability

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

USN-874-1 a corrigé des vulnérabilités dans Firefox et Xulrunner. La modification effectuée en amont a introduit une régression lors de l’utilisation de l’authentification NTLM. Cette mise à jour corrige le problème et apporte des correctifs supplémentaires relatifs à la stabilité.

Veuillez nous excuser pour le désagrément.

Détails de la notification initiale :

Jesse Ruderman, Josh Soref, Martijn Wargers, Jose Angel, Olli Pettay et David James ont découvert plusieurs failles dans les moteurs du navigateur et de JavaScript de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3979, CVE-2009-3980, CVE-2009-3982, CVE-2009-3986)

Takehiro Takahashi a découvert des failles dans l’implémentation de NTLM de Firefox. Si un utilisateur authentifié par NTLM visitait un site Web malveillant, un attaquant distant pourrait envoyer des requêtes à d’autres applications, en étant authentifié comme l’utilisateur. (CVE-2009-3983)

Jonathan Morgan a découvert que Firefox n’affichait pas correctement les indicateurs SSL dans certaines circonstances. Ceci pourrait être utilisé par un attaquant pour falsifier une page chiffrée, comme dans une attaque par hameçonnage. (CVE-2009-3984)

Jordi Chancel a découvert que Firefox n’affichait pas correctement les URLs incorrectes pour une page vide. Si un utilisateur était amené à accéder à un site Web malveillant, un attaquant pourrait exploiter ceci pour falsifier la barre d’adresse, comme dans une attaque par hameçonnage. (CVE-2009-3985)

David Keeler, Bob Clary et Dan Kaminsky ont découvert plusieurs failles dans des librairies de media tierces. Si un utilisateur était amené à ouvrir un fichier de media spécialement conçu, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3388, CVE-2009-3389)

Source : USN-878-1: Firefox 3.5 and Xulrunner 1.9.1 regression

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

USN-873-1 a corrigé des vulnérabilités dans Firefox et Xulrunner. La modification effectuée en amont a introduit une régression lors de l’utilisation de l’authentification NTLM. Cette mise à jour corrige le problème et apporte des correctifs supplémentaires relatifs à la stabilité.

Veuillez nous excuser pour le désagrément.

Détails de la notification initiale :

Jesse Ruderman, Josh Soref, Martijn Wargers, Jose Angel, Olli Pettay et David James ont découvert plusieurs failles dans les moteurs du navigateur et de JavaScript de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3979, CVE-2009-3981, CVE-2009-3986)

Takehiro Takahashi a découvert des failles dans l’implémentation de NTLM de Firefox. Si un utilisateur authentifié par NTLM visitait un site Web malveillant, un attaquant distant pourrait envoyer des requêtes à d’autres applications, en étant authentifié comme l’utilisateur. (CVE-2009-3983)

Jonathan Morgan a découvert que Firefox n’affichait pas correctement les indicateurs SSL dans certaines circonstances. Ceci pourrait être utilisé par un attaquant pour falsifier une page chiffrée, comme dans une attaque par hameçonnage. (CVE-2009-3984)

Jordi Chancel a découvert que Firefox n’affichait pas correctement les URLs incorrectes pour une page vide. Si un utilisateur était amené à accéder à un site Web malveillant, un attaquant pourrait exploiter ceci pour falsifier la barre d’adresse, comme dans une attaque par hameçonnage. (CVE-2009-3985)

Source : USN-877-1: Firefox 3.0 and Xulrunner 1.9 regression

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Stefan Cornelius a découvert que GIMP ne gérait pas correctement certains fichiers BMP malformés. Si un utilisateur était amené à ouvrir un fichier BMP spécialement conçu, un attaquant pourrait exécuter du code arbitraire avec les privilèges de l’utilisateur. (CVE-2009-1570)

Stefan Cornelius a découvert que GIMP ne gérait pas correctement certains fichiers PSD malformés. Si un utilisateur était amené à ouvrir un fichier PSD spécialement conçu, un attaquant pourrait exécuter du code arbitraire avec les privilèges de l’utilisateur. Ce problème n’a affecté que Ubuntu 8.10, 9.04 et 9.10. (CVE-2009-3909)

Source : USN-880-1: GIMP vulnerabilities

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Jeff Blaine, Radoslav Bodo, Jakob Haufe et Jorgen Wahlsten ont découvert que le service « Key Distribution Center » de Kerberos ne vérifiait pas correctement certains trafic réseau. Un attaquant distant authentifié pourrait envoyer un requête spécialement conçue qui causerait le plantage du KDC, entraînant un déni de service.

Source : USN-879-1: Kerberos vulnerability

Ce message indiquait que MySQL Workbench ne trouvait pas la librairie libmysqlclient_r.so.

Si vous rencontrez ce problème, voici la procédure à suivre pour corriger ce dysfonctionnement :

1. lancez un terminal ;
2. exécutez la commande cd /usr/lib pour vous placer dans le répertoire contenant la librairie libmysqlclient_r.so.15 ;
3. exécutez la commande sudo ln -s libmysqlclient_r.so.15 libmysqlclient_r.so pour créer un lien symbolique libmysqlclient_r.so vers la librairie libmysqlclient_r.so.15.

MySQL Workbench devrait maintenant pouvoir trouver la librairie qui lui manquait et vous permettre d’établir une nouvelle connexion.

Source : MySQL Bug #47238: Can’t add a DB connection – couldn’t load library libmysqlclient_r.so

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que PostgreSQL ne gérait pas correctement les certificats ayant des caractères NULL dans le champ « Subject Alternative Name » des certificats X.509. Un attaquant pourrait exploiter ceci pour faire une attaque de l’homme du milieu pour visualer des informations sensibles ou altérer des communications chiffrées. (CVE-2009-4034)

Il a été découvert que PostgreSQL ne gérait pas correctement l’état de session-local. Un utilisateur distant authentifié pourrait exploiter ceci pour augmenter ses privilèges dans PostgreSQL. (CVE-2009-4136)

Source : USN-876-1: PostgreSQL vulnerabilities

Grâce aux efforts concertés de Martin Pitt, Sébastien Bacher et plusieurs autres, notify-osd et d’autres composants liés sont arrivés dans Jaunty la semaine dernière. Merci beaucoup à tous ceux qui ont participé ! Et merci à David Barth, Mirco Muller et Ted Gould qui ont encadré le développement de notify-osd et de l’indicateur de messagerie associé.

Notify-OSD prend en charge les notifications des applications et de touches spéciales du clavier comme la luminosité et le volume.

MPT a publié une présentation du framework conceptuel pour la “gestion de l’attention” sur https://wiki.ubuntu.com/NotificationDesignGuidelines, qui place la notification éphémère dans le même contexte que les différents outils que les applications peuvent utiliser lorsqu’elle n’ont pas le focus mais doivent indiquer quelque chose à l’utilisateur. C’est une ébauche, et lorsqu’elle sera en 1.0 nous la déplacerons sur un nouveau site qui hébergera les modèles de conception sur Canonical.com.

Il y a aussi une spécification détaillée de notre implémentation de l’agent d’affichage de notifications, notify-osd, qui est visible sur https://wiki.ubuntu.com/NotifyOSD et qui décrit non seulement le comportement de notify-osd mais aussi toutes les mises à jours relatives que nous devons apporter aux paquets de main et universe pour faire que ces applications utilisent la notification et les autres techniques de façon consistante.

Il y a au moins 35 applications qui ont besoin de modifications, et peut-être même d’autres ! Si vous trouvez une application que n’utilise pas les notifications élégamment, veuillez l’ajouter à la page des lignes directrices pour la conception de notifications, et si vous soumettez une bogue sur le paquet, veuillez l’étiqueter “notifications” afin que nous tracions ces problèmes de manière unique et homogène.

Avec notify-osd, nous avons téléversé un nouvel indicateur pour le tableau de bord qui est utilisé pour fournir un moyen de répondre aux évènements de messagerie, tels que le courriel et les pings IRC. Si quelqu’un vous contacte par messagerie instantanée, vous verrez une notification éphémère, et l’indicateur de messagerie vous permettra de répondre immédiatement. Même chose pour le courriel. Pidgin et Evolution sont les premiers à bénéficier de ce travail, avec le temps nous l’étendrons aux autres applications de messagerie instantanée et de courriel de l’archive – les correctifs sont les bienvenus :-)

Il y aura des correctifs grossiers. Les applications qui ne se conforment pas à la spécification de FreeDesktop.org et qui implémentent des actions sur des notifications même lorsque l’agent d’affichage indique qu’il ne les prend pas en charge, verront leurs notifications transformées en alertes. C’est le principal objet de notre effort actuel, l’identification et la correction de ces applications. Nous savons aussi qu’il y a plusieurs cas où un framework de réponse persistante est nécessaire. L’indicateur de messagerie en gère une grande partie, en octobre nous mettrons en place d’autres outils dans Karmic pour prendre en charge la persistance.

Source : New notification work lands in Jaunty

Comme cela a été largement commenté, la Russie a fermé l’accès public aux vols spatiaux commerciaux à bord de Soyuz prévus après la mise en retraite de la navette spatiale américaine.

Maintenant que l’ISS peut recevoir une équipe permanente plus importante, les places seront plutôt réservées aux rotations de longue durée des équipes de l’ISS qu’aux petites visites sur l’ISS, qu’il s’agisse de visites concernent des astronautes professionnels européens ou américains ou bien des personnes effectuant un vol privé. Je crois que les raisons économiques liées aux places Russes soient les mêmes dans les deux cas – les européens et les américains doivent payer pour le vol comme nous autres passagers ordinaires.

Il y a plusieurs points intéressants dans cette histoire.

Le premier est que, lorsque la navette sera à la retraite, les Russes disposeront du seul moyen d’accès au vol orbital habité au sein du partenariat ISS. La Russie et la Chine seront les seules nations pouvant effectuer des vols orbitaux habités, et les États-Unis refusent avec dédain d’accueillir la Chine dans le club ISS. Il faut s’attendre à ce que le prix d’une place augmente substantiellement tant que ce sera le cas.

Un autre est le projet européen de transformer leur vaisseau cargo autonome (ATV) en appareil habité, c’est à mon avis une chose tout à fait réalisable et sensée.

Et un troisième point est que les russes sont depuis longtemps ouverts aux offres commerciales pour des vols de longue durée (rotation de six mois d’équipe ISS). Cela nécessiterait davantage d’entraînement (12 à 18 mois selon à qui vous posez la question) mais impliquerait certainement que le vol Soyuz fasse l’aller-retour.

Source : Commercial access to space on hold

Parlons des notications ! Comme l’a mentionné Ryan Lortie, il a eu beaucoup de discussions entre les communautés Ubuntu, Kubuntu, GNOME, KDE et Mozilla qui étaient représentées à l’UDS au sujet des propositions faites pour Ubuntu 9.04 par les équipes de Canonical en charge de la conception de l’interface utilisateur de l’ingénierie du poste de travail.

Voir la vidéo de présentation au format Flash.

Il y a quelques idées assez audacieuses (lire : controversées) que nous avions envie d’explorer, c’était fantastique d’avoir la possibilité d’en discuter avec un large échantillon de la communauté. Il y avait plusieurs points délicats et des pièges qu’à mon avis nous avons réussi à éviter dans un premier temps, grâce à tous ceux qui ont participé. Certaines des choses sur lesquelles nous travaillons dans ces équipes sont faites en direct avec des partenaires pour leurs appareils, ce qui fait qu’ils ne voient pas ce niveau de discussion avant de livrer, mais c’est formidable quand nous avons l’opportunité de le faire.

Certaines de ces idées ne sont pas prouvées, elles se résument à des questions de point de vue, mais puisque notre engagement à leur égard se fonde sur le désir d’en savoir plus je les vois comme des expériences constructives. Les expériences ne sont que ça – des expériences. Elles peuvent être des succès ou des échecs. Nous devrions les juger avec précaution, une fois que nous avons les informations en main. Nous apportons de nouvelles idées pour le poste de travail Libre, sans égo. Nous savons que ces idées pourraient être meilleures ou pires que des travaux similaires faits dans d’autres communautés, et nous voulons recueillir les impressions de vrais utilisateurs pour tenter de trouver le meilleur compromis pour tout le monde. Les meilleures idées, et le meilleur code, formeront au final une partie des communs numériques du Logiciel Libre et seront partagés par GNOME, KDE et chaque distribution. Donc, à ceux qui sont ennuyés par le fait que nous puissions livrer autre chose que GNOME ou KDE par défaut, je voudrais leur demander d’être patient et de nous soutenir – nous voulons contribuer par de nouvelles idées et du code neuf, et cela implique quelques différences qui pourront servir de base à des discussions au sujet des orientations futures des projets en amont. Par le passé, nous avions peu de différences de ce type dans Ubuntu. Certaines, comme la disposition actuelle du poste de travail, ont été largement adoptées. D’autres, comme l’infâme “mode spatial Ubuntu”, ne l’ont pas été. C’est la vie, et nous bénéficions tous de l’évolution.

Les expériences sont aussi des choses que nous ne devrons pas faire à la légère. Le poste de travail sous Ubuntu est une chose qui me tient à cœur ; je me sens personnellement responsable de la productivité et de la satisfaction de chaque utilisateur de Ubuntu, donc lorsque nous proposons de nouvelles idées et du code pour le poste de travail je pense que nous devons faire tout ce que nous pouvons pour être sûr de réussir du premier coup. Nous ne devons pas infliger de mauvaises idées à nos utilisateurs juste parce que nous sommes curieux, arrogants, butés ou fiers. En dépit du fait que nous puissions occasionnellement être curieux, arrogants, butés et fiers :-)

Alors, que proposons-nous ?

Tout d’abord, nous portons de l’attention aux notifications sur le poste de travail dans le cadre d’une étude plus large sur “l’espace entre les applications”.

Je pense que la meilleure aide que Canonical et Ubuntu puissent apporter à la cause du Logiciel Libre sera de s’investir sur les points de frictions qui existent entre les principaux composants du poste de travail. En d’autres termes, bien qu’il y ait déjà de grandes communautés en amont sur des applications individuelles pour le poste de travail du Logiciel Libre (Novell pour Evolution, Sun pour OpenOffice, Mozilla pour Firefox, Red Hat pourNetworkManager), nous pensons qu’il a beaucoup de travail productif et utile à faire sur ce qu’il manque entre elles. Les notifications sont des choses que font de nombreuses applications, et si nous apportons de nouvelles idées dans ce domaine alors nous aiderons à améliorer l’interface utilisateur de toutes ces applications. C’est un beau démultiplicateur de force – nous espérons faire un travail qui rende celui des autres communautés encore plus précieux.

Quoi qu’il en soit, attendez-vous à des heurts. Les idées que nous explorons peuvent entrer, pourront entrer et entrent déjà en conflit avec des concepts présents dans différentes applications. Nous pouvons nous occuper du code correspondant dans les paquets de « main », mais je suis plus préoccupé par la gestion d’une perturbation sociale potentielle que le conflit pourrait créer, et c’est plus une question de dialogue que de programmation.

Les notifications sont intéressantes, subtiles et complexes. Il y a beaucoup d’approches différentes sur de nombreuses plateformes différentes. Il y a beaucoup de scénarios d’utilisation. Nous essayons de réduire et d’éliminer la complexité, tout en permettant de traiter les scénarios d’utilisation que nous connaissons.

Il y a eu du bon travail de fait sur les notifications dans la communauté freedesktop.org, et même une spécification qui est *presque* en 1.0 dans cette communauté, avec des implémentations Open Source. Nos suggestions sont basées sur cette spécification, mais elles déprécient certaines de ses fonctions. Nous serons probablement compatibles avec l’interface de programmation applicative actuelle pour l’envoi des notifications, mais nous n’afficherons probablement pas toutes les notifications qui pourront être envoyées, si elles requièrent l’emploi de fonctions que nous déprécions. Si cette expérience se passe bien, nous espérons aider cette spécification de FD.o à passer en 1.0, avec ou sans nos modifications.

Les principales suggestions que nous faisons sont les suivantes :

• Il ne devrait y avoir aucune action sur les notifications.
• Les notifications ne devraient pas être affichées de manière synchrone, mais devraient pouvoir être placées en file d’attente. Notre implémentation de l’agent d’affichage des notifications n’affichera qu’une notification à un moment donné, d’autres pourrons procéder différemment.

C’est à peu près tout. Il y a des subtilités et des variations, mais ce sont les suggestions fondamentales que nous faisons, et que nous explorerons dans un netbook avec un partenaire, de même que dans la version générique de Ubuntu 9.04, à la grâce de Dieu.

Ce travail débouchera sur un nouvel agent d’affichage des notifications, et non sur une branche ou une modification de l’agent de notification actuel de GNOME. Nous ne pensons pas que l’interface de programmation applicative cliente – libnotify – ait besoin d’être modifiée pour cette expérience, bien que nous puissions ne pas afficher des notifications envoyées via cette interface de programmation applicative qui utilise des fonctions que nous suggérons de déprécier. Nous essaierons de faire en sorte que les paquets dans « main » soient modifiés de manière appropriée, et nous espérons que le MOTU aidera à l’identification et à la mise à jour des paquets requis dans « universe ».

Pourquoi un nouvel agent d’affichage des notifications ? Nous le concevons pour être développé avec Qt sur KDE et Gtk sur GNOME. L’idée est d’avoir le plus de code possible en commun, mais de pouvoir néanmoins tirer parti de l’environnement d’affichage de texte approprié sur Ubuntu et Kunbuntu. Nous espérons livrer les deux simultanément, et nous en avons parlé avec des membres des deux communautés Ubuntu et Kubuntu. Pour l’instant, il y a quelques désaccords entre GNOME et KDE à propos du statut de la spécification de FD.o, et nous espérons que nos efforts aiderons à établir un pont entre les deux communautés. Dans Ubuntu 9.04, nous souhaitons continuer à maintenir et à publier les paquets de l’agent de notification existant en complément, pour offrir les deux options aux utilisateurs qui ont une préférence particulière. En général, là où nous investissons dans des travaux expérimentaux, nous prévoyons de continuer à offrir un composant ou un paquet standard de GNOME ou de KDE dans l’archive de sorte que chacun puisse en profiter à sa guise.

Le point le plus controversé de cette proposition est l’idée que les notifications ne doivent pas être associées à des actions. Autrement dit, pas de boutons, d’ascenseurs, de liens ou même d’annulation [x]. Lorsqu’une notification arrivera, vous ne pourrez pas cliquer dessus, vous ne pourrez pas la faire disparaître, vous ne pourrez pas continuer vers une autre fenêtre ou une page Web. Vous aimez cette liberté ? Hmmm ? Aliénation, à première vue, mais il y a de la méthode dans cette aliénation.

Notre hypothèse est que l’existence de N’IMPORTE QUELLE action crée une obligation pressante d’agir, ou de PENSER À AGIR. Cela fait passer les notifications du statut de jeu à celui de travail. Cela leur donne de lourdes responsabilités. Cela en fait des interruptions, non des notifications. Et les interruptions sont ennuyeuses lorsque vous avez des choses à faire.

Nous avons donc à nous battre sur trois fronts.

1. Nous voulons rendre les notifications vraiment éphémères. Elles sont ici, et puis elles sont parties, et c’est la vie. Si vous êtes devant votre poste de travail lorsqu’une notification arrive, vous la percevrez, et si vous voulez vous pourrez la REGARDER, et elle sera belle, claire et simple à comprendre. Si vous voulez l’ignorer, vous pourrez le faire sans crainte et elle partira chaque fois sans que n’ayez à l’annuler, c’est OK. Les notifications concernent uniquement des choses que vous pouvez ignorer ou manquer. Si vous êtes sorti prendre un café et qu’une notification arrive, vous ne vous en porterez pas plus mal. Elles ne s’empilent pas comme le courriel, il n’y a pas de journal de celles que vous avez raté, vous ne pouvez pas faire défiler l’écran en arrière et les voir à nouveau, et d’ailleurs vous n’avez pas d’obligation de le faire – elles ne peuvent pas devenir un travail alors que vous êtes déjà occupé à quelque chose d’autre. Elles sont parties comme une fille mystérieuse dans le bus que vous n’avez pas pris, et elles enrichissent votre vie exactement de la même manière !
2. Nous pensons qu’il devrait y avoir des indicateurs persistants pour les choses que vous devez réellement savoir, même si vous avez raté la notification parce que vous avez eu un besoin urgent d’un café. Nous sommes donc en train de faire une liste de ces choses, et nous prévoyons de les implémenter.
3. Tout le reste devrait être traité via une fenêtre qui attire l’attention, située en arrière-plan, à moins que ce soit vraiment important auquel cas la fenêtre pourrait passer en avant-plan.

Comme il s’agit clairement d’un travail sur plusieurs versions, nous pourrons identifier des problèmes et des inconsistances en chemin notamment à l’occasion des points de contrôles. J’espère que non, mais ce n’est pas improbable, en particulier lors de la première itération. Ces idées pourraient également se révéler sans intérêt, et nous devrions être prêts à changer de direction en fonction des retours une fois que nous aurons une implémentation dans la nature.

Nous avons eu un superbe « sprint » UXD et DEE (équipe conception de l’interface utilisateur et équipe ingénierie du poste de travail) à San Francisco la semaine précédent l’UDS. Merci à tous ceux qui y ont participé, en particulier ceux qui venaient d’autres équipes. Ce travail sur les notifications pourrait bien n’être que la partie visible de l’iceberg, mais c’est un joli petit morceau :-)

Un ou plusieurs de nos partenaires OEM proches (sociétés avec lesquelles nous travaillons sur les nouvelles fonctions du poste de travail) proposeront probablement ces fonctionnalités via un netbook au cours du cycle 9.04. À ce stade, nous déposerons également le code dans un PPA pour effectuer des tests avec un plus grand nombre d’applications. Il y a des discussions actives concernant la révision de la spécification de freedesktop.org en se basant sur ce travail. Je pense que nous devrons être prudents, et que nous devrons collecter les impressions de vrais testeurs ainsi que des données solides, mais si tout ce passe bien nous pourrons proposer une simplification de la spécification, et nous soumettrons notre agent d’affichage de notifications à FreeDesktop.org. Une collaboration à long terme autour du code aura lieu sur Launchpad.

Source : Notifications, indicators and alerts

L’équipe interface utilisateur et design de Canonical compte quelques personnes dédiées à la technologie Web. À l’heure actuelle, un effort important est fait pour remodeler l’interface utilisateur de Launchpad maintenant que le noyau des fonctionnalités pour le suivi des bogues entre projets, la publication de code et la traduction est en place. Nous voulons clarifier la réalisation de tâches – en particulier pour les nouveaux utilisateurs – et nous voulons que lorsque vous apportez de petites modifications à votre projet, cela soit intuitif et réactif.

Au cours des discussions sur le design, nous avons passé beaucoup de temps à travailler sur une nouvelle approche des “boîtes de dialogues, assistants et flux de travaux”, en essayant de solutionner un problème épineux dans l’interaction avec l’utilisateur : comment simplifier quelque chose qui est complexe à réaliser ? Il y a de nombreuses situations dans Launchpad où vous devez être très bien organisé avant de pouvoir faire quelque chose. Par exemple, vous pourriez avoir besoin de vous assurer qu’il y a une équipe incluant des personnes spécifiques avant d’abonner cette équipe à une bogue. Vous pourriez aussi avoir besoin de créer une nouvelle version pendant que vous faites du triage et de la planification de travail à faire sur des bogues dans votre projet.

Actuellement, cela implique que vous alliez dans différents endroits de Launchpad avec une aisance qui suppose que vous savez exactement comment toutes les parties fonctionnent. Vous devez aller dans un endroit pour enregistrer une équipe et dans un endroit complètement différent pour créer une version. Cela fait que de nombreuses personnes n’utilisent pas certaines fonctionnalités de Launchpad, car elles doivent comprendre le système dans son ensemble avant de pouvoir faire la moindre chose. Chaque fois que quelqu’un se casse la tête là-dessus, nous échouons ! Et c’est le problème que nous avons cherché à résoudre.

Nous sommes arrivés à une solution astucieuse, que nous avons appelé formulaires dynamiques (« morphing dialogs »), qui assure que l’utilisateur a toujours un nombre minimum de choix à faire, et qui autorise néanmoins des variations complexes au cours d’un processus tout en restant assez naturelle aux utilisateurs.

Les idées clés sur lesquelles reposent les formulaires dynamiques sont :

• Ne requérir qu’une seule décision importante à la fois, et faire en sorte qu’elle soit explicite. Il y a parfois plusieurs façons de faire quelque chose, mais il y a en général un seul chemin normal que les utilisateurs peuvent suivre, et nous voulons toujours que les utilisateurs puissent faire facilement les choses simples.
• Donner aux utilisateurs une idée de l’avancement du processus, sans être trop dogmatique, car la réalisation d’une étape implique souvent qu’il faille faire d’autres choses en parallèle et que ces détours peuvent également nécessiter plusieurs étapes.

Voici une vidéo d’exemple, qui montre une personne liant un schéma directeur à une bogue. Il doit chercher le schéma directeur adapté, ce qu’il peut faire sur plusieurs projets simultanément. Dans le cas présent, il ajoute GNOME à la liste des projets dans lesquels il recherche un schéma directeur, et lorsqu’il ne peut pas le trouver, il va enregistrer un nouveau schéma directeur correspondant à ce qu’il veut. À la fin, il décide de revenir en arrière et d’en choisir un dans les résultats d’une recherche. Rien de tout cela n’a induit le chargement d’une page, et les allers-retours avec le serveur sont moins coûteux que le chargement de pages complètes, puisque nous pouvons obtenir ce dont nous avons besoin de manière très optimisée.

Vous pouvez voir quelques idées clés se dégager de la vidéo.

Notez que la “barre de progression” – la ligne verte – n’est pas particulièrement grande ou envahissante. Ce n’est pas non plus évident qu’il s’agit d’une barre de progression, jusqu’à ce qu’on ait terminé quelques processus multi-étapes. Notez également que vous pouvez faire des détours ; vous pouvez faire quelque chose en parallèle, comme enregistrer une équipe ou enregistrer un schéma directeur, et ces détours ont leur propre indicateur de progression qui est distinct du principal.

Nous avons récemment fait un « sprint » important qui a réunit toute l’équipe de Launchpad pendant deux semaines au cours desquelles nous nous sommes profondément immergés dans JavaScript et Ajax. Nous avons choisi YUI 3, la prochaine version de la librairie d’interface utilisateur pour le Web de Yahoo, comme fondation pour ce travail avec Ajax, et nous voulions que tout le monde soit opérationnel pour accélérer les processus de conception, de réalisation et de test d’applications clientes Web. Ce fut très plaisant.

Nous voulions, en particulier, unifier l’interface de programmation applicative pour services Web que nous avions déjà publié avec ce travail sur Ajax, pour qu’il soit facile d’écrire du code pour navigateur qui puisse communiquer avec l’interface de programmation applicative telle que nous l’avons mise à disposition des développeurs qui intègrent Launchpad. C’est maintenant possible, ce qui signifie que toute interface de programmation applicative que nous utilisons pour travailler avec Ajax pourra aussi être utilisée par les développeurs qui écrivent leurs propres outils pour accéder à Launchpad directement au travers de services Web.

Grâce aux atouts de YUI 3, l’équipe travaille maintenant d’arrache-pied pour faire passer ces idées du rêve à la réalité. Étant donné que YUI 3 est un projet d’avant-garde (certains diraient à l’avant garde !) nous nous concentrons sur les parties qui ne dépendent pas de widgets complexes – celles-ci commenceront à être en place l’année prochaine lorsque YUI 3 sortira de sa phase de développement.

Au cours des deux prochains mois vous verrez arriver des pièces de ce puzzle dans les versions mensuelles successives de Launchpad (ou quotidiennement, si vous êtes sur edge.launchpad.net et bêta testeur). Dans un premier temps, l’effet Ajax permettra juste l’édition en ligne. Dans six à neuf mois, les parties les plus complexes devraient être en place. Et d’ici là l’interface Web frontale de Launchpad sera aussi Open Source.

Source : Morphing dialogs and the AJAX roadmap for Launchpad

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Plusieurs vulnérabilités dans la gestion des fichiers temporaires ont été découvertes dans Red Hat Cluster. Un attaquant local pourrait exploiter ceci pour modifier des fichiers locaux via des liens symboliques. (CVE-2008-4192, CVE-2008-4579, CVE-2008-4580, CVE-2008-6552)

Il a été découvert que CMAN ne gérait pas correctement les fichiers de configuration malformés. Un attaquant pourrait causer un déni de service (via consommation du CPU et corruption de mémoire) dans un noeud si l’attaquant pouvait modifier la configuration du cluster pour le noeud. (CVE-2008-6560)

Source : USN-875-1: Red Hat Cluster Suite vulnerabilities

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

Jesse Ruderman, Josh Soref, Martijn Wargers, Jose Angel, Olli Pettay et David James ont découvert plusieurs failles dans les moteurs du navigateur et de JavaScript de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3979, CVE-2009-3980, CVE-2009-3982, CVE-2009-3986)

Takehiro Takahashi a découvert des failles dans l’implémentation de NTLM de Firefox. Si un utilisateur authentifié par NTLM visitait un site Web malveillant, un attaquant distant pourrait envoyer des requêtes à d’autres applications, en étant authentifié comme l’utilisateur. (CVE-2009-3983)

Jonathan Morgan a découvert que Firefox n’affichait pas correctement les indicateurs SSL dans certaines circonstances. Ceci pourrait être utilisé par un attaquant pour falsifier une page chiffrée, comme dans une attaque par hameçonnage. (CVE-2009-3984)

Jordi Chancel a découvert que Firefox n’affichait pas correctement les URLs incorrectes pour une page vide. Si un utilisateur était amené à accéder à un site Web malveillant, un attaquant pourrait exploiter ceci pour falsifier la barre d’adresse, comme dans une attaque par hameçonnage. (CVE-2009-3985)

David Keeler, Bob Clary et Dan Kaminsky ont découvert plusieurs failles dans des librairies de media tierces. Si un utilisateur était amené à ouvrir un fichier de media spécialement conçu, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3388, CVE-2009-3389)

Source : USN-874-1: Firefox 3.5 and Xulrunner 1.9.1 vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

Jesse Ruderman, Josh Soref, Martijn Wargers, Jose Angel, Olli Pettay et David James ont découvert plusieurs failles dans les moteurs du navigateur et de JavaScript de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3979, CVE-2009-3981, CVE-2009-3986)

Takehiro Takahashi a découvert des failles dans l’implémentation de NTLM de Firefox. Si un utilisateur authentifié par NTLM visitait un site Web malveillant, un attaquant distant pourrait envoyer des requêtes à d’autres applications, en étant authentifié comme l’utilisateur. (CVE-2009-3983)

Jonathan Morgan a découvert que Firefox n’affichait pas correctement les indicateurs SSL dans certaines circonstances. Ceci pourrait être utilisé par un attaquant pour falsifier une page chiffrée, comme dans une attaque par hameçonnage. (CVE-2009-3984)

Jordi Chancel a découvert que Firefox n’affichait pas correctement les URLs incorrectes pour une page vide. Si un utilisateur était amené à accéder à un site Web malveillant, un attaquant pourrait exploiter ceci pour falsifier la barre d’adresse, comme dans une attaque par hameçonnage. (CVE-2009-3985)

Source : USN-873-1: Firefox 3.0 and Xulrunner 1.9 vulnerabilities

Comme j’ai passé un bon moment à chercher cette application avant de la trouver, je vous livre son URL de téléchargement.

Mise à jour du HTC Dream vers la version 1.86.73.4 (74,2 Mo)
http://animation.orange.fr/maj_mobile/RUU_Dream_Orange_FR_1.86.73.4_release_signed_WithDriver.exe

Même si cette mise à jour est simple et rapide à installer, je vous invite néanmoins à suivre scrupuleusement les indications fournies par le programme d’installation : désactiver l’économiseur d’écran de Windows, charger la batterie du HTC Dream au moins à 30 %, etc.

Un problème de sécurité affecte les versions suivantes de Ubuntu :

Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre session pour apporter les modifications nécessaires.

Détails :

Il a été découvert que le sous-système KIO de KDE ne validait pas correctement ses données en entrée lors du traitement d’URIs help://. Si un utilisateur ou une application KIO traitait une URI help:// spécialement conçue, un attaquant pourrait déclencher l’exécution de JavaScript ou accéder à des fichiers via une attaque par chemin d’accès malveillant.

Source : USN-872-1: KDE 4 Runtime vulnerabilities

Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre session pour apporter les modifications nécessaires.

Détails :

USN-871-1 a corrigé des vulnérabilités dans KDE. Cette mise à jour fournit les mises à jour correspondantes pour KDE 4.

Cette mise à jour corrige aussi une faille aux attaques par chemin d’accès malveillant dans KDE lors du traitement d’URLs help://. Ce problème n’a affecté que Ubuntu 8.10.

Détails de la notification initiale :

Il a été découvert que les librairies KDE pouvaient utiliser KHTML pour traiter un type MIME inconnu. Si un utilisateur ou une application liée à kdelibs était amené à ouvrir un fichier spécialement conçu, un attaquant pourrait potentiellement déclencher des XMLHTTPRequests vers des sites distants.

Source : USN-871-2: KDE 4 vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre session pour apporter les modifications nécessaires.

Détails :

Un débordement de mémoire tampon a été trouvé dans les librairies KDE lors de la conversion d’une chaîne de caractères en nombre à virgule flottante. Si un utilisateur ou une application liée à kdelibs était amené à traiter une entrée spécialement conçue, un attaquant pourrait causer un déni de service (via un plantage d’application) ou éventuellement exécuter du code avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-0689)

Il a été découvert que les librairies KDE pouvaient utiliser KHTML pour traiter un type MIME inconnu. Si un utilisateur ou une application liée à kdelibs était amené à ouvrir un fichier spécialement conçu, un attaquant pourrait potentiellement déclencher des XMLHTTPRequests vers des sites distants.

Source : USN-871-1: KDE vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Steffen Joeris a découvert que PyGreSQL 3.8 n’utilisait pas les fonctions « safe string » et bytea de PostgreSQL dans ses propres fonctions d’échappement. Il en résulte que les applications écrites pour utiliser les fonctions d’échappement de PyGreSQL sont vulnérables aux injections SQL lorsqu’elles traitent des séquences de caractères multi-octets. Puisque les fonctions « safe » requièrent une connexion à une base de données, pg.escape_string() et pg.escape_bytea() sont toujours disponibles pour maintenir la rétrocompatibilité, mais les applications devront être modifiées pour utiliser les nouvelles fonctions pyobj.escape_string() et pyobj.escape_bytea(). Par exemple, du code contenant :

import pg
connection = pg.connect(…)
escaped = pg.escape_string(untrusted_input)

devrait être modifié pour utiliser :

import pg
connection = pg.connect(…)
escaped = connection.escape_string(untrusted_input)

Source : USN-870-1: PyGreSQL vulnerability

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre ordinateur pour apporter les modifications nécessaires.

Détails :

David Ford a découvert que la routine de défragmentation IPv4 ne gérait pas correctement les paquets surdimensionnés. Un attaquant distant pourrait envoyer du trafic spécialement conçu susceptible de faire planter un système, entraînant un déni de service. (Le correctif a été inclu les précédents noyaux depuis USN-864-1.) (CVE-2009-1298)

Akira Fujita a découvert que l’ioctl « move extents » de Ext4 ne vérifiait pas correctement les permissions. Un attaquant local pourrait exploiter ceci pour modifier des fichiers arbitraires sur le système, conduisant à l’obtention des privilèges de root. (CVE-2009-4131)

Source : USN-869-1: Linux kernel vulnerabilities

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Les utilisateurs qui ont procédé à la mise à jour de GRUB Legacy vers GRUB 2 et qui n’ont pas exécuté ‘upgrade-from-grub-legacy’ (ie ceux qui utilisent toujours Grub Legacy via GRUB 2) devront exécuter la commande suivante (en ajustant éventuellement ‘hd0′) pour mettre à jour l’image principale de GRUB 2 sur le disque :

$ sudo grub-install –no-floppy –grub-setup=/bin/true “(hd0)”

Détails :

Il a été découvert que GRUB 2 ne validait pas correctement les mots de passe. Un attaquant avec un accès physique pourrait faire une attaque par force brute et contourner l’authentification en envoyant un mot de passe de 1 caractère.

Source : USN-868-1: GRUB 2 vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Robin Park et Dmitri Vinokurov ont découvert une erreur de logique dans ntpd. Un attaquant distant pourrait envoyer un paquet NTP de type mode 7 contenant l’adresse IP usurpée d’un serveur affecté et causer un déni de service via l’utilisation des ressources CPU et disque.

Source : USN-867-1: Ntp vulnerability

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre session pour apporter les modifications nécessaires.

Détails :

Il a été découvert que gnome-screensaver ne se réactivait pas toujours après que des applications lui aient demandé d’ignorer les indicateurs d’inactivité. Ceci peut faire que l’écran ne soit pas automatiquement vérouillé lorsque qu’une période d’inactivité est détectée, permettant ainsi à un attaquant avec un accès physique d’accéder à une session non vérouillée.

Source : USN-866-1: gnome-screensaver vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Michael Sinatra a découvert que Bind ne validait pas correctement certains enregistrements ajoutés à son cache. Lorsque la validation DNSSEC est utilisée, un attaquant distant pourrait exploiter ceci pour falsifier des entrées DNS et polluer les caches DNS. Entre autres choses, ceci pourrait induire de mauvaises redirections de courriel et de trafic Web.

Source : USN-865-1: Bind vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre ordinateur pour apporter les modifications nécessaires.

ATTENTION : En raison d’un changement inévitable d’ABI (excepté pour Ubuntu 6.06) les mises à jour de noyau ont reçu un nouveau numéro de version qui vous oblige à recompiler et réinstaller tous les modules de noyau tiers que vous pourriez avoir installés. Si vous utilisez linux-restricted-modules, vous devrez mettre à jour ce paquet et obtenir les modules qui fonctionnent avec la nouvelle version du noyau. À moins que vous ayez désinstallé manuellement les méta paquets du noyau standard (ex. : linux-generic, linux-server, linux-powerpc), une mise à niveau standard du système le fera automatiquement.

Détails :

Il a été découvert que le sous-système réseau AX.25 ne vérifiait pas correctement le signe des nombres entiers dans certains appels setsockopt. Un attaquant local pourrait exploiter ceci pour faire planter le système, entraînant un déni de service. Ubuntu 9.10 n’a pas été affectée. (CVE-2009-2909)

Jan Beulich a découvert que le noyau pourrait exposer le contenu de registres aux processus 32 bits qui sont passés en mode 64 bits. Un attaquant local pourrait exécuter un binaire spécialement conçu pour lire les valeurs de registres d’un processus précédent, entraînant une perte de confidentialité. (CVE-2009-2910)

Dave Jones a découvert que le gestionnaire de périphérique SCSI gdth ne validait pas correctement les index de matrice dans certains appels ioctl. Un attaquant local pourrait exploiter ceci pour faire planter le système ou obtenir des privilèges élevés. (CVE-2009-3080)

Eric Dumazet et Jiri Pirko ont découvert que les sous-systèmes TC et CLS exposeraient la mémoire système via des membres de structure non initialisés. Un attaquant local pourrait exploiter ceci pour lire plusieurs octets de la mémoire du noyau, entraînant une perte de confidentialité. (CVE-2009-3228, CVE-2009-3612)

Earl Chew a découvert des situations de concurrence dans la gestion de tube. Un attaquant local pourrait exploiter des tubes anonymes via /proc/*/fd/ et faire planter le système ou obtenir les privilèges de root. (CVE-2009-3547)

Dave Jones et Francois Romieu ont découvert que le gestionnaire de périphérique réseau r8169 pourrait être amené à exposer de la mémoire du noyau. Un attaquant local pourrait envoyer un grand nombre de trames Jumbo jusqu’à ce que la mémoire système soit épuisée. Ubuntu 9.10 n’a pas été affectée. (CVE-2009-3613)

Ben Hutchings a découvert que le gestionnaire de périphérique ATI Rage 128 ne validait pas correctement les états d’initialisation. Un attaquant local pourrait faire des appels ioctl spécialement conçus pour faire planter le système ou obtenir les privilèges de root. (CVE-2009-3620)

Tomoki Sekiyama a découvert que les sockets UNIX ne vérifiaient pas correctement les espaces de nom. Un attaquant local pourrait exploiter ceci pour causer un blocage du système, entraînant un déni de service. (CVE-2009-3621)

J. Bruce Fields a découvert que NFSv4 n’utilisait pas correctement le cache d’accréditation. Un attaquant local utilisant un montage avec une authentification AUTH_NULL pourrait exploiter ceci pour faire planter le système ou obtenir les privilèges de root. Seule Ubuntu 9.10 a été affectée. (CVE-2009-3623)

Alexander Zangerl a découvert que le porte-clé du noyau ne comptait pas correctement les références. Un attaquant local pourrait émettre une série d’appels spécialement conçus au porte-clé pour faire planter le système ou obtenir les privilèges de root. Seule Ubuntu 9.10 a été affectée. (CVE-2009-3624)

David Wagner a découvert que KVM ne vérifiait pas correctement les limites des entrées CPUID. Un attaquant local pourrait exploiter ceci pour faire planter le système ou éventuellement obtenir des privilèges élevés. Ubuntu 6.06 et 9.10 n’ont pas été affectées. (CVE-2009-3638)

Avi Kivity a découvert que KVM ne vérifiait pas correctement les privilèges lors de l’accès aux registres de débogage. Un attaquant local pourrait exploiter ceci pour faire planter le système hôte depuis un système client, entraînant un déni de service. Ubuntu 6.06 et 9.10 n’ont pas été affectées. (CVE-2009-3722)

Philip Reisner a découvert que l’interface de connexion de uvesafb, pohmelfs, dst, et dm ne vérifiait pas correctement les fonctionnalités. Un attaquant local pourrait exploiter ceci pour faire planter le système ou obtenir des privilèges élevés. Ubuntu 6.06 n’a pas été affecté. (CVE-2009-3725)

Trond Myklebust a découvert que les clients NFSv4 ne vérifiaient pas suffisamment les attributs. Un serveur NFSv4 distant et malveillant pourrait exploiter ceci pour faire planter un client ou obtenir les privilèges de root. Ubuntu 9.10 n’a pas été affectée. (CVE-2009-3726)

Robin Getz a découvert que les systèmes NOMMU ne validaient pas correctement les pointeurs NULL dans les appels do_mmap_pgoff. Un attaquant local pourrait tenter d’allouer de grandes quantités de mémoire pour faire planter le système, entraînant un déni de service. Seules Ubuntu 6.06 et 9.10 ont été affectées. (CVE-2009-3888)

Joseph Malicki a découvert que le gestionnaire de périphérique MegaRAID SAS avait des fichiers d’option modifiables par tout le monde. Un attaquant local pourrait exploiter ceux-ci pour perturber le comportement du contrôleur, entraînant un déni de service. (CVE-2009-3889, CVE-2009-3939)

Roel Kluin a découvert que le gestionnaire de périphérique Hisax ISDN ne vérifiait pas correctement la taille des paquets. Un attaquant distant pourrait envoyer des paquets spécialement conçus pour faire planter le système, entraînant un déni de service. (CVE-2009-4005)

Lennert Buytenhek a découvert que certains états 802.11 n’étaient pas gérés correctement. Un attaquant distant physiquement à proximité pourrait envoyer du trafic sans-fil spécialement conçu qui ferait planter le système, entraînant un déni de service. Seule Ubuntu 9.10 a été affectée. (CVE-2009-4026, CVE-2009-4027)

Source : USN-864-1: Linux kernel vulnerabilities

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les machines QEMU pour apporter les modifications nécessaires.

Détails :

Il a été découvert que QEMU n’installait pas correctement les fonctionnalités de mise en réseau virtio de ses machines. Un attaquant distant pourrait exploiter ceci pour faire planter les machines QEMU qui utilisent la mise en réseau virtio sur des noyaux Linux antérieurs à la version 2.6.26.

Source : USN-863-1: QEMU vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Maksymilian Arciemowicz a découvert que PHP ne validait pas correctement les arguments de la fonction dba_replace. Si un script passait des données non fiables à la fonction dba_replace, un attaquant pourrait tronquer la base de données. Ce problème n’a affecté que Ubuntu 6.06 LTS, 8.04 LTS et 8.10. (CVE-2008-7068)

Il a été découvert que la fonction php_openssl_apply_verification_policy de PHP ne gérait pas correctement les certificats SSL avec des octets à zéro dans le Common Name. Un attaquant distant pourrait exploiter ceci pour faire une attaque de l’homme du milieu pour visualiser des informations sensibles ou altérer des communications chiffrées. (CVE-2009-3291)

Il a été découvert que PHP ne gérait pas correctement certaines images malformées lorsqu’elles étaient traitées par le module Exif. Un attaquant distant pourrait exploiter cette faille et faire planter le serveur PHP, entraînant un déni de service. (CVE-2009-3292)

Grzegorz Stachowiak a découvert que PHP n’appliquait pas correctement les restrictions dans la fonction tempnam. Un attaquant pourrait exploiter ce problème pour contourner les restrictions safe_mode. (CVE-2009-3557)

Grzegorz Stachowiak a découvert que PHP n’appliquait pas correctement les restrictions dans la fonction posix_mkfifo. Un attaquant pourrait exploiter ce problème pour contourner les restrictions open_basedir. (CVE-2009-3558)

Bogdan Calin a découvert que PHP ne limitait pas le nombre de fichiers temporaires créés lors du traitement de requêtes multipart/form-data POST. Un attaquant pourrait exploiter cette faille pour forcer le serveur PHP à consommer toutes les ressources disponibles, entraînant un déni de service. (CVE-2009-4017)

ATTENTION : Cette mise à jour modifie l’ancien comportement de PHP en limitant à 50 le nombre de fichiers dans une requête POST. Ce nombre peut être augmenté en ajoutant une directive « max_file_uploads » dans le fichier de configuration php.ini.

Il a été découvert que PHP n’appliquait pas correctement les restrictions dans la fonction proc_open. Un attaquant pourrait exploiter ce problème pour contourner les restrictions safe_mode_protected_env_vars et éventuellement exécuter du code arbitraire avec les privilèges d’application. (CVE-2009-4018)

Source : USN-862-1: PHP vulnerabilities

Note: If you prefer French to English, you can read the article “Python : ce qu’en pense un développeur de Canonical” based on the original questions and answers translated from English to French.

Adopting Python

1) Python has some dynamic programming languages competitors like Perl, PHP and Ruby. What are the key features that have made you choose Python?

Over Perl: mainly mantainability… Python is not only easy to write, but also very easy to read after you left the code one month alone, and also it’s very straightforward to understand code written by somebody else.

PHP lacks of a lot of features to be considered a serious language for non-web development.

Regarding Ruby… when I started with Python it didn’t exist. I checked it out, but the good stuff in Ruby it’s also in Python, and it has a lot of things I don’t like (for example, that you can do one thing in a zillion different ways, and that is encouraged!).

2) Python has a huge number of specialized libraries. Is that a major asset that could be sufficient to convince a developer to adopt Python?

No, but it’s a very important one,  ;)

3) Python is known for it’s short learning curve. Do you think that this could lead to a situation favoring the use of Python while lowering the grade of programming knowledge required for Python developers?

Yes. A lot of people that is starting to program likes to do it in Python, because it’s easiest to learn.

Of course, you will need time and effort to master Python, and you can not a production system with a thousand clients two days after you started programming, but at least you can have good results doing small stuff without being a wizard.

Coding with Python

4) Python is now your main programming language but you’re not a newbie. What are the programming languages that you stopped using after switching to Python, and those that you still use in parallel?

I do some C, but very very little, more to experiment than anything else. I passed through a lot of programming
languages (Perl, COBOL, Java, C, Clipper, even BASIC!). I only do Python now, the rest is not fun!

5) Python applications are said to be higly maintainable on the long term. Could you confirm this, and illustrate by a real-world convincing scenario?

No, how that can be proved beyond day to day usage?  That assertion is more based on my experience and everybody else’s. Every person that do Python will tell you how much they love it being maintainable.

6) Python source code is not intended to produce binary executable file that can hide implementation details. This is not a concern for open source software, but what about proprietary software development?

All programming languages that provide binaries can be reversed engineered. You should never rely on that the bin is
difficult to transform into source for your commercial strategy, being it open or closed.

7) Python has some syntactic and usage particularities. What software tools could you suggest to Python developers for improving their daily development process?

Use a decent editor (gVim, Emacs, Eclipse, etc), but don’t think you need a full IDE. Maybe a checker like pylint, or pychecker. Nothing else, really.

Side effects of Python

8) Python is a scripting language with lower performances than compiled languages like C or C++. Don’t you think that big applications like Bazaar will suffer from that?

Not in the long term. You can use libraries that are written in C for the speed critical sections of your code, or write yourself the extensions.

Speed should never be a problem in the long term.

The trick is that you can write a complex application now and then profile it. If you’ll start something big and complex in C, the time you need to finish it is longer that writing it in Python and maybe (maybe, as programmers can not predict profiling results) optimizing it later.

9) Python tends to be used more and more for Desktop applications development. What could be the impact on the user experience?
A good desktop application does not depends of the language, you can have good and bad experiences with Python, or C, or Mono, or Java, etc.

The advantage of it being Python, is that is straightforward to see the working code when you have the applications installed, and even change it on the fly, run it again and see your changes work.

Of course, this allows you to fix issues, but also is a very good way for people to *learn* how to program.

The future with Python

10) Python 3.0 will break compatibility in many places. What are your plans to deal with that part of Python evolution?

The same as everybody, wait to migrate until you have the libraries migrated, and you’re ready to make the jump.

This is a classic advice in the Py3k migration path, you surely can find it more detailed out there.

Remarque : si vous préférez l’anglais au français, vous pouvez lire l’article « Python: what a Canonical developer thinks of it » écrit à partir des questions et des réponses originales en anglais.

Choisir Python

1) Parmi les langages de programmation dynamique, Python a des concurrents tels que Perl, PHP et Ruby. Quelles sont les fonctionnalités clés qui ont motivé votre choix Python ?

Par rapport à Perl : principalement la maintenabilité… Python est non seulement facile à écrire, mais aussi très facile à lire lorsque l’on revient un mois après sur du code, il est aussi très facile de comprendre le code écrit par quelqu’un d’autre.

PHP manque de trop nombreuses fonctionnalités pour qu’il puisse être considéré comme une langue utilisable pour le développement en dehors du Web.

Concernant Ruby… Quand j’ai commencé avec Python il n’existait pas. Je l’ai testé, mais les bonnes choses en Ruby sont aussi dans Python, et il a beaucoup de choses que je n’aime pas (par exemple, vous pouvez faire une chose de plein de manières différentes, et c’est encouragé !) .

2) Python a un très grand nombre de bibliothèques spécialisées. Est-ce un atout majeur qui pourrait être suffisant pour convaincre un développeur d’adopter Python ?

Non, mais il est très important, ;)

3) Python est connu pour sa courbe d’apprentissage courte. Pensez-vous que cela pourrait conduire à une situation favorisant l’utilisation de Python tout en abaissant le degré de connaissance en programmation requis pour les développeurs Python ?

Oui. Beaucoup de gens qui commencent à programmer aime à le faire en Python, parce que c’est plus facile à apprendre.

Bien sûr, vous aurez besoin de temps et d’efforts pour maîtriser Python, et vous ne pourrez pas développer un système destiné à être mis en production avec un millier de clients deux jours après avoir commencé la programmation, mais vous pourrez au moins obtenir de bons résultats en développant de petites choses sans être un génie.

Coder avec Python

4) Python est maintenant votre langage de programmation principal mais vous n’êtes pas un novice. Quels sont les langages de programmation que vous avez arrêté d’utiliser après être passé à Python, et ceux que vous utilisez encore en parallèle ?

Je fais du C, mais très très peu, plus pour expérimenter qu’autre chose. Je suis passé par beaucoup de langages de programmation (Perl, COBOL, Java, C, Clipper, même BASIC !). Je ne fais que du Python maintenant, le reste n’est pas drôle !

5) Ont dit que les applications Python sont hautement maintenables sur le long terme. Pourriez-vous confirmer cela, et illustrer par un scénario réel convaincant ?

Non, comment cela pourrait-il être prouvé en dehors de l’utilisation quotidienne ? Cette affirmation est plus basée sur mon expérience et celle des autres. Toute personne qui utilise Python vous dira combien elle apprécie sa maintenabilité.

6) Le code source Python n’est pas destiné à produire de fichier binaire exécutable qui peut cacher des détails d’implémentation. Ce n’est pas une préoccupation pour les logiciels ouverts, mais qu’en est-il pour le développement de logiciels propriétaires ?

Tous les langages de programmation qui fournissent des binaires peuvent faire l’objet d’ingénierie inverse. Vous ne devez pas prendre en compte le fait que le binaire soit difficile à transformer en source dans votre stratégie commerciale, qu’elle soit ouverte ou fermée.

7) Python a des particularités syntaxiques et d’utilisation. Quels outils logiciels pourriez-vous suggérer aux développeurs Python pour améliorer leur processus de développement de tous les jours ?

Utilisez un éditeur décent (gVim, Emacs, Eclipse, etc), mais ne pensez pas que vous avez besoin d’un EDI complet. Peut-être un vérificateur comme pylint ou pychecker. Rien d’autre, vraiment.

Effets de bord de Python

8) Python est un langage de script avec des performances plus basses que celles de langages compilés comme le C ou C++. Ne pensez-vous pas que de grosses applications comme Bazaar vont en souffrir ?

Pas dans le long terme. Vous pouvez utiliser les bibliothèques qui sont écrites en C pour les parties de votre code où la vitesse est critique, ou écrire vous-même les extensions.

La vitesse ne devrait jamais être un problème dans le long terme.

L’astuce est que vous pouvez écrire une application complexe maintenant et analyser ses performances ensuite. Si vous commencez quelque chose d’important et de complexe en C, le temps nécessaire pour le finir est plus long que s’il est écrit en Python et peut-être (peut-être, car les programmeurs ne peuvent pas prédire les résultats des analyses de performance) l’optimiser plus tard.

9) Python tend à être utilisé de plus en plus pour le développement des applications de bureau. Quelles pourraient être les conséquences sur l’expérience utilisateur ?

Une bonne application de bureau ne dépend pas du langage, vous pouvez avoir de bonnes et de mauvaises expériences avec Python,  C, Mono ou Java, etc.

L’avantage qu’elle soit en Python, est qu’il est facile de voir le code qui tourne lorsque vous avez installé les applications, et même le modifier à la volée, le relancer et voir le résultat de vos modifications.

Bien sûr, ceci vous permet de corriger les problèmes, mais c’est aussi un très bon moyen d’apprendre à programmer.

Le futur avec Python

10) Python 3.0 va rompre la compatibilité dans de nombreux endroits. Quels sont vos plans pour faire face à cette aspect de l’évolution Python ?

Comme tout le monde, attendez de disposer des librairies mises à jour pour migrer, et vous serez prêt à faire le saut.

C’est un conseil classique pour la migration vers Py3k, vous le trouverez sûrement beaucoup plus détaillé ailleurs.

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications qui utilisent libvorbis, telles que Totem et gtkpod, pour apporter les modifications nécessaires.

Détails :

Il a été découvert que libvorbis ne gérait pas correctement les fichiers ogg ayant des arbres Huffman incomplets. Si un utilisateur était amené à ouvrir un fichier ogg spécialement conçu avec une application qui utilise libvorbis, un attaquant pourrait causer un déni de service. (CVE-2008-2009)

Il a été découvert que libvorbis ne gérait pas correctement certains fichiers ogg malformés. Si un utilisateur était amené à ouvrir un fichier ogg spécialement conçu avec une application qui utilise libvorbis, un attaquant pourrait causer un déni de service ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur. (CVE-2009-3379)

Source : USN-861-1: libvorbis vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Marsh Ray et Steve Dispensa ont découvert une faille dans les protocoles TLS et SSLv3. Si un attaquant pouvait faire une attaque de l’homme du milieu au démarrage d’une connexion TLS, il pourrait injecter un contenu arbitraire au début de la session utilisateur. La faille concerne la renégotiation TLS et affecte potentiellement tout logiciel prenant cette fonctionnalité en charge. Les attaques contre le protocole HTTPS sont connues, et l’importance du problème dépend des mesures de prévention utilisées dans l’application Web. Jusqu’à ce que le protocole TLS et les librairies sous-jacentes soient corrigées pour protéger contre cette vulnérabilité, une solution partielle et temporaire a été mise en place dans Apache pour désactiver la renégotiation TLS initiée par le client. Cette mise à jour ne protège pas contre le renégotiation TLS initiée par le serveur lors de l’utilisation de SSLVerifyClient et de SSLCipherSuite à partir d’un répertoire ou d’un emplacement donné. Les utilisateurs peuvent se défendre contre une renégatiation TLS initiée par le serveur en ajustant leur configuration Apache pour utiliser SSLVerifyClient et SSLCipherSuite au niveau du serveur ou d’un hôte virtuel. (CVE-2009-3555)

Il a été découvert que mod_proxy_ftp dans Apache ne nettoyait pas correctement son flux d’entrée lors du traitement de réponses à des commandes EPASV et PASV. Un attaquant pourrait utiliser ceci pour causer un déni de service dans le processus fils de Apache. (CVE-2009-3094)

Une autre faille a été découverte dans mod_proxy_ftp. Si Apache est configuré en tant que serveur mandataire inverse, un attaquant pourrait envoyer un en-tête HTTP pour contourner les contrôles d’accès et envoyer des commandes arbitraires au serveur FTP. (CVE-2009-3095)

Source : USN-860-1: Apache vulnerabilities

Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer toutes les applications Java pour apporter les modifications nécessaires.

Détails :

Dan Kaminsky a découvert que les certificats SSL signés avec MD2 pouvaient être falsifiés si l’on disposait d’assez de temps. En conséquence, un attaquant pourrait potentiellement créer un certificat de confiance malveillant pour usurper un autre site. Cette mise à jour résout ce problème en désactivant complètement MD2 pour la validation de certicat dans OpenJDK. (CVE-2009-2409)

Il a été découvert que les profils ICC pouvaient être identifiés avec des chemin d’accès “..”. Si un utilisateur était amené à exécuter une applet spécialement conçue, un attaquant distant pourrait obtenir des informations sur le système local. (CVE-2009-3728)

Peter Vreugdenhil a découvert de nombreuses failles dans les traitements graphiques de la librairie AWT. Si un utilisateur était amené à ouvrir une image spécialement conçue, un attaquant distant pourrait faire planter l’application ou exécuter du code arbitraire avec les privilèges de l’utilisateur. (CVE-2009-3869, CVE-2009-3871)

Plusieurs failles ont été découvertes dans le traitement des images JPEG et BMP. Si un utilisateur était amené à ouvrir une image spécialement conçue, un attaquant distant pourrait faire planter l’application ou exécuter du code arbitraire avec les privilèges de l’utilisateur. (CVE-2009-3873, CVE-2009-3874, CVE-2009-3885)

Coda Hale a découvert que les signatures basées sur HMAC n’étaient pas correctement validées. Des attaquants distants pourraient contourner certaines formes d’authentification, obtenant ainsi des privilèges inattendus. (CVE-2009-3875)

Plusieurs failles ont été découvertes dans l’analyse ASN.1. Un attaquant distant pourrait envoyer un flux HTTP spécialement conçu qui consommerait la mémoire système et entrainerait un déni de service. (CVE-2009-3876, CVE-2009-3877)

Il a été découvert que le sous-système de configuration graphique ne gérait pas correctement des tableaux. Si un utilisateur était amené à exécuter une applet spécialement conçue, un attaquant distant pourrait exploiter ceci pour faire planter l’application ou exécuter du code arbitraire avec les privilèges de l’utilisateur. (CVE-2009-3879)

Il a été découvert que les enregistreurs et Swing ne géraient pas correctement certains objets sensibles. Si un utilisateur était amené à exécuter une applet spécialement conçue, des informations privées pourraient être consultées par un attaquant distant, entrainant une perte de confidentialité. (CVE-2009-3880, CVE-2009-3882, CVE-2009-3883)

Il a été découvert que le ClassLoader ne gérait pas correctment certaines options. Si un utilisateur était amené à exécuter une applet spécialement conçue, un attaquant distant pourrait exécuter du code arbitraire avec les privilèges de l’utilisateur. (CVE-2009-3881)

Il a été découvert que le chargement du fichier des fuseaux horaires pouvait être utilisé pour déterminer l’existence de fichiers sur le système local. Si un utilisateur était amené à exécuter une applet spécialement conçue, des informations privées pourraient être consultées par un attaquant distant, entrainant une perte de confidentialité. (CVE-2009-3884)

Source : USN-859-1: OpenJDK vulnerabilities

Ubuntu 6.06 LTS

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Il a été découvert que Wget ne gérait pas correctement les certificats SSL avec des octets à zéro dans le Common Name. Un attaquant distant pourrait exploiter ceci pour faire une attaque de l’homme du milieu pour visualiser des informations sensibles ou altérer des communications chiffrées.

Source : USN-858-1: OpenLDAP vulnerability

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner pour apporter les modifications nécessaires.

Détails :

USN-853-1 a corrigé des vulnérabilités dans Firefox et Xulrunner. Les modifications en amont ont introduit des régressions qui pourraient entrainer des plantages lors du traitement de certaines images GIF, fontes et pages Web malformées.Cette mise à jour corrige le problème.

Veuillez nous excuser pour le désagrément.

Détails de la notification initiale :

Alin Rad Pop a découvert un débordement de mémoire dans le tas de Firefox lorsqu’il convertissait des chaînes de caractères en nombres à virgule flottante. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1563)

Jeremy Brown a découvert que le gestionnaire de téléchargement de Firefox était vulnérable aux attaques par lien symbolique. Un attaquant local pourrait exploiter ceci pour créer ou modifier des fichiers avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3274)

Paul Stone a découvert une faille dans le formulaire de l’historique de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait accéder à ces données pour dérober des informations confidentielles. (CVE-2009-3370)

Orlando Berrera a découvert que Firefox ne libérait pas correctement la mémoire lorsqu’il utilisait des « web-workers ». Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. Ce problème n’a affecté que Ubuntu 9.10. (CVE-2009-3371)

Une faille a été découverte dans le processus employé par Firefox pour traiter les fichiers de configuration automatique de serveur mandataire (PAC). Si un utilisateur configurait son navigateur pour utiliser des fichiers PAC contenant certaines expressions régulières, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3372)

Un débordement de mémoire tampon dans le tas a été découvert dans l’analyseur d’image GIF de Mozilla. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3373)

Une faille a été découverte dans le moteur JavaScript de Firefox. Un attaquant pourrait exploiter ceci pour exécuter des scripts contenus dans un page avec les privilèges de Chrome. (CVE-2009-3374)

Gregory Fleischer a découvert que la vérification de même origine dans Firefox pourrait être contournée en utilisant la fonction document.getSelection. Un attaquant pourrait exploiter ceci pour lire des données provenant d’autres domaines. (CVE-2009-3375)

Jesse Ruderman et Sid Stamm ont découvert que Firefox n’affichait pas correctement les noms de fichiers contenant des caractères RTL. Si un utilisateur était amené à télécharger un fichier malveillant avec une nom spécialement conçu, un attaquant distant pourrait exploiter ceci pour amener l’utilisateur à ouvrir un fichier différent de celui auquel l’utilisateur s’attendait. (CVE-2009-3376)

Plusieurs failles ont été découvertes dans des bibliothèques de gestion de media. Si un utilisateur était amené à ouvrir un fichier de media spécialement conçu, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. Ce problème n’a affecté que Ubuntu 9.10. (CVE-2009-3377)

Vladimir Vukicevic, Jesse Ruderman, Martijn Wargers, Daniel Banchero, David Keeler, Boris Zbarsky, Thomas Frederiksen, Marcia Knous, Carsten Book, Kevin Brosnan, David Anderson et Jeff Walden ont découvert diverses failles dans les moteurs du navigateur et de JavaScript de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3380, CVE-2009-3381, CVE-2009-3382, CVE-2009-3383)

Source : USN-853-2: Firefox and Xulrunner regression

Ubuntu 8.10

Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer votre session pour apporter les modifications nécessaires.

Détails :

Il a été découvert que QtWebKit ne gérait pas correctement certaines structures de données SVGPathList. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait exploiter ceci pour exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-0945)

Plusieurs failles ont été découvertes dans les moteurs du navigateur QtWebKit et de JavaScript. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou éventuellement exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1687, CVE-2009-1690, CVE-2009-1698, CVE-2009-1711, CVE-2009-1725)

Il a été découvert que QtWebKit ne gérait pas correctement certaines feuilles de style XSL. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait exploiter ceci pour lire des fichiers locaux arbitraires, et éventuellement des fichiers provenant d’autres zones sécurisées.(CVE-2009-1699, CVE-2009-1713)

Il a été découvert que QtWebKit n’empêchait pas le chargement d’applets Java locales. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait exploiter ceci pour exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1712)

Source : USN-857-1: Qt vulnerabilities

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Aaron Sigel a découvert que l’interface Web de CUPS protégeait incorrectement contre les attaques croisées entre sites (XSS) et les falsifications de requêtes croisées entre sites (CSRF). Si un utilisateur authentifié était amené à visiter un site Web malveillant pendant qu’il est connecté à CUPS, un attaquant distant pourrait modifier la configuration de CUPS et potentiellement dérober des données confidentielles.

Source : USN-856-1: CUPS vulnerability

En ajoutant le dépôt de GetDeb à votre système Linux, vous aurez accès aux paquets .deb dès qu’ils seront disponibles sur le site Web de GedDeb. Cela veut dire que des applications comme GIMP ou Songbird qui peuvent faire l’objet d’une version majeure entre deux versions de Ubuntu seront à votre portée, comme si vous saviez compiler le dernier code source.

Le dépôt de GetDeb, gratuit à installer et à utiliser, ne prend toutefois en charge Ubuntu qu’à partir de la version 9.04, l’ancien site restant accessible aux systèmes plus anciens.

Ci-dessous, une copie d’écran montre que des mises à jours en provenance de GetDeb sont disponibles dans le « Gestionnaire de mises à jour » de Ubuntu.

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Mark Martinec a découvert que HTML::Parser ne gérait pas correctement les chaînes de caractères contenant des entités incomplètes. Un attaquant pourrait envoyer des données spécialement conçues à des applications qui utilisent HTML::Parser et causer un déni de service.

Source : USN-855-1: libhtml-parser-perl vulnerability

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

Tomas Hoger a découvert que la librairie GD ne gérait pas correctement le nombre de couleurs dans certaines images GD malformées. Si un utilisateur ou un système automatisé était amené à traiter une image GD spécialement conçue, un attaquant pourrait causer un déni de service ou éventuellement exécuter du code arbitraire. (CVE-2009-3546)

Il a été découvert que la librairie GD ne gérait pas correctement les index de couleur incorrects. Un attaquant pourrait envoyer des données spécialement conçues a des applications liées à libgd2 et causer un  déni de service ou éventuellement exécuter du code arbitraire. Ce problème a affecté uniquement Ubuntu 6.06 LTS. (CVE-2009-3293)

Il a été découvert que la librairie GD ne gérait pas correctement certaines images GD malformées. Si un utilisateur ou un système automatisé était amené à traiter une image GIF spécialement conçue, un attaquant pourrait causer un déni de service. Ce problème a affecté uniquement Ubuntu 6.06 LTS. (CVE-2007-3475, CVE-2007-3476)

Il a été découvert que la librairie GD ne gérait pas correctement les valeurs de degré d’angle importantes. Un attaquant pourrait envoyer des données spécialement conçues a des applications liées à libgd2 et causer un  déni de service. Ce problème a affecté uniquement Ubuntu 6.06 LTS. (CVE-2007-3477)

Source : USN-854-1: GD library vulnerabilities

Pour faire cet essai je télécharge le client VERDE (242 Ko) que j’installe très facilement grâce à GDebi. Ensuite je n’ai qu’à cliquer sur « Applications > Internet > Virtual Bridges VERDE Client » pour lancer l’application et voir apparaître le panneau ci-dessous.

Après avoir renseigné les champs « Server » et « User Name » et je clique sur le bouton « Connect ». Je patiente ensuite quelques secondes le temps de l’établissement de la connexion avec le serveur de Virtual Bridges.

Une fois que la connexion est établie, le client ouvre une fenêtre dans laquelle va s’afficher le bureau distant. Je renseigne maintenant le champ « Password » et je clique sur « Login ».

La fenêtre s’anime alors  pendant que la machine virtuelle distante démarre, avec le son.

Une petite vingtaine de secondes plus tard je vois apparaître le bureau de Windows XP. Je clique alors sur l’icône de « IBM Lotus Symphony » puis sur « Create a new Document ». Je suis maintenant prêt à éditer un texte.

Pour information, environ quarante secondes se sont écoulées entre le premier clic pour lancer le client VERDE et l’affichage du traitement de texte de Symphony. Je trouve que c’est assez remarquable pour être signalé.

Il ne me reste plus qu’a terminer cet essai en cliquant sur « start > Turn Off Compter ».

Ce premier contact avec le client VERDE me laisse une très bonne impression générale.

Après avoir réalisé le même essai sur un PC de bureau et sur un netbook, j’ai noté des temps de réponse très proches. Ce résultat encourageant semble valider l’utilisation de ce type de solution sur des machines peu puissantes.

L’accès au serveur est rapide et correctement sécurisé par un chiffrement sur 128 bits, mais surtout, le travail avec la machine distante est agréable.

Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

USN-850-1 a corrigé des vulnérabilités dans poppler. Cette mise à jour fournit les mises à jours correspondantes pour Ubuntu 9.10.

Détails de la notification initiale :

Il a été découvert que poppler avait plusieurs problèmes de sécurité lorsqu’il traitait des documents PDF malformés. Si un utilisateur ou un système automatisé était amené à ouvrir un fichier PDF spécialement conçu, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application.

Source : USN-850-3: poppler vulnerabilities

Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

Après une mise à niveau standard du système vous devrez redémarrer Firefox et toutes les applications qui utilisent Xulrunner, telles que Epiphany, pour apporter les modifications nécessaires.

Détails :

Alin Rad Pop a découvert un débordement de mémoire dans le tas de Firefox lorsqu’il convertissait des chaînes de caractères en nombres à virgule flottante. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-1563)

Jeremy Brown a découvert que le gestionnaire de téléchargement de Firefox était vulnérable aux attaques par lien symbolique. Un attaquant local pourrait exploiter ceci pour créer ou modifier des fichiers avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3274)

Paul Stone a découvert une faille dans le formulaire de l’historique de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait accéder à ces données pour dérober des informations confidentielles. (CVE-2009-3370)

Orlando Berrera a découvert que Firefox ne libérait pas correctement la mémoire lorsqu’il utilisait des « web-workers ». Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. Ce problème n’a affecté que Ubuntu 9.10. (CVE-2009-3371)

Une faille a été découverte dans le processus employé par Firefox pour traiter les fichiers de configuration automatique de serveur mandataire (PAC). Si un utilisateur configurait son navigateur pour utiliser des fichiers PAC contenant certaines expressions régulières, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3372)

Un débordement de mémoire tampon dans le tas a été découvert dans l’analyseur d’image GIF de Mozilla. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3373)

Une faille a été découverte dans le moteur JavaScript de Firefox. Un attaquant pourrait exploiter ceci pour exécuter des scripts contenus dans un page avec les privilèges de Chrome. (CVE-2009-3374)

Gregory Fleischer a découvert que la vérification de même origine dans Firefox pourrait être contournée en utilisant la fonction document.getSelection. Un attaquant pourrait exploiter ceci pour lire des données provenant d’autres domaines. (CVE-2009-3375)

Jesse Ruderman et Sid Stamm ont découvert que Firefox n’affichait pas correctement les noms de fichiers contenant des caractères RTL. Si un utilisateur était amené à télécharger un fichier malveillant avec une nom spécialement conçu, un attaquant distant pourrait exploiter ceci pour amener l’utilisateur à ouvrir un fichier différent de celui auquel l’utilisateur s’attendait. (CVE-2009-3376)

Plusieurs failles ont été découvertes dans des bibliothèques de gestion de media. Si un utilisateur était amené à ouvrir un fichier de media spécialement conçu, un attaquant distant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. Ce problème n’a affecté que Ubuntu 9.10. (CVE-2009-3377)

Vladimir Vukicevic, Jesse Ruderman, Martijn Wargers, Daniel Banchero, David Keeler, Boris Zbarsky, Thomas Frederiksen, Marcia Knous, Carsten Book, Kevin Brosnan, David Anderson et Jeff Walden ont découvert diverses failles dans les moteurs du navigateur et de JavaScript de Firefox. Si un utilisateur était amené à visiter un site Web malveillant, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application. (CVE-2009-3380, CVE-2009-3381, CVE-2009-3382, CVE-2009-3383)

Source : USN-853-1: Firefox and Xulrunner vulnerabilities

Si l’accent est très souvent mis sur les tentatives faites par ces sociétés pour contrer Microsoft à l’occasion de la sortie de Windows 7, comme cela avait déjà été le cas de manière peu fructueuse lors de la sortie de Vista, ce n’est pas le point qui m’intéresse. L’évolution de la communauté des utilisateurs de Ubuntu satisfaits par la qualité de cette distribution me semble en effet bien plus important que la correction du Bug #1 de Mark Shuttleworth.

Faisant fi de ICSW comme alternative à Vista et Seven pour de louables économies d’échelles, d’optimisation du TCO et autres considérations marketing, j’ai eu envie de savoir vraiment à quoi correspondait cette offre. J’ai donc passé un peu de temps à tester ce qui est disponible actuellement et je vous propose un rapide tour d’horizon qui devrait vous permettre d’y voir un peu clair sur le potentiel de ICSW.

ICSW, le client d’IBM pour travailler intelligemment

La présentation de IBM Client for Swart Work sur le site d’IBM fait état de deux plate-formes : Ubuntu et Red Hat Entreprise Linux. Pour faire court, Canonical et Red Hat proposent une version Desktop de leurs distributions intégrant des outils de la gamme Lotus d’IBM. L’idée étant de proposer des postes de travail pour la bureautique, couvrant les besoins génériques en messagerie et collaboration. Dans les faits, ces deux distributions proposent Lotus Notes et Lotus iNotes, et intégrent des composants pour Lotus Sametime, Lotus Symphony et LotusLive. Ubuntu offre également une version spécifique pour Netbook, incluant Lotus Symphony et l’accès à LotusLive, ainsi qu’un bureau virtuel basé sur la solution Virtual Enterprise Remote Desktop Environment (VERDE) de Virtual Bridges. À première vue, il y aurait donc un petit avantage pour la distribution Ubuntu qui propose plus de choix.

Je commence donc par vous présenter ICSW pour Red Hat Entreprise Linux Desktop.

ICSW pour Red Hat Entreprise Linux Desktop

Dans le cadre de l’IBM Alliance, Red Hat propose IBM Lotus Notes Live DVD. Il s’agit d’une machine virtuelle de démonstration basée sur Red Hat Linux Entreprise Desktop, téléchargeable ici (965 Mo) et accompagné d’un petit guide d’installation. Une fois téléchargée, il suffit de lancer charger l’image ISO dans VirtualBox pour voir apparaître un joli bureau.

Un petit clic sur l’icône Lotus Notes 8 lance le client de messagerie et de collaboration d’IBM. Avant d’accéder au menu principal de Notes, une petite boîte de dialogue m’informe que je dispose d’une  période d’évaluation de 60 jours.

L’objet de cette présentation n’étant pas de détailler le fonctionnement de Notes, je vous montre simplement le menu principal qui permet d’accéder aux différentes applications intégrées pour utiliser le courriel, les calendriers, les contacts, les tâches, les documents textes, les présentations, les feuilles de calculs et un journal personnel. Pour vous montrer l’interface type d’une de ces applications, je clique sur le bouton Mail.

L’impression est bonne, on peut naviguer facilement dans les dossiers, ouvrir des messages, mais ne l’oublions pas ce n’est qu’une démonstration. L’indicateur « Offline » situé en bas à droite de la fenêtre me rappelle que Notes fonctionne en local, sans connexion effective à un serveur Domino.

Après la messagerie je pourrais continuer l’évaluation de Notes en consultant les calendriers ou en ouvrant des documents, mais ma visite s’arrête là car Sametime 7.5.1 n’est pas configuré et l’assistant d’enregistrement en ligne pointe vers une URL obsolète.

Voyons maintenant ce que propose Canonical avec son intégration de ICSW pour Ubuntu.

ICSW pour Ubuntu

Comme je l’ai indiqué plus haut, Canonical à mis au point deux types de clients, un basé sur Ubuntu Desktop et l’autre sur Ubuntu Netbook Remix. Si la version Desktop est conçue pour un usage classique en bureautique sur un PC conventionnel, la version Netboox Remix est spécifiquement étudiée pour les Netbooks.

ICSW pour Ubuntu Desktop

Il s’agit là d’une machine virtuelle basée sur Ubuntu Desktop 8.04 LTS que vous pouvez télécharger ici (1.9 Go). Une fois téléchargée, il suffit de charger l’image ISO dans VirtualBox pour voir apparaître le bureau de « Hardy Heron ». À l’instar de Red Hat, Canonical n’a pas jugé bon de placer des icônes sur le bureau qui reste désespérément vierge de toute invitation à évaluer quoi que ce soit. Je dois donc aller fouiller dans les menus pour découvrir les outils d’IBM.

Un petit clic sur le choix Lotus Notes 8.5 lance le client de messagerie et de collaboration d’IBM. Au démarrage de l’application, une petite boîte de dialogue m’informe que je dispose d’une  période d’évaluation de 90 jours. Ensuite j’accède au menu principal de Notes.

Pour les mêmes raisons que j’ai évoquées au sujet de la version de Red Hat, je ne m’attarderais pas sur le fonctionnement général de Notes. Ceci dit, je tiens quand même à vous montrer l’interface permettant d’accéder au courriel car j’ai eu beaucoup de difficulté à la faire fonctionner – je vous en parle dans un instant. Je clique donc sur le bouton Mail. La boîte de réception et différents dossiers s’affiche alors, mais avec une esthétique nettement dégradée par rapport à celle de la version 8 distribuée par Red Hat.

Pour en revenir aux difficultés que j’ai rencontré pour pouvoir voir quelques chose dans cette fenêtre, voici l’explication.

Cette machine virtuelle est un client et Canonical n’a pas comme l’a fait Red Hat, placé quelques données en local pour faciliter l’évaluation en mode déconnecté. D’ailleurs, vous remarquerez surement que le petit indicateur situé en bas à droite de la fenêtre affiche cette fois-ci « Offline ». Donc, comment faire pour tester Notes car je n’ai pas de serveur Domino sur mon réseau ? La réponse est simple mais elle a été un peu compliquée à mettre en œuvre et d’après le service de support d’IBM elle ne devrait pas fonctionner. Pourtant, j’y suis arrivé après avoir créé un compte LotusLive auquel j’ai fait ajouter l’option iNotes. Malgré l’intérêt que vous pourriez y trouver, je ne détaillerais pas la procédure que j’ai suivi car je ne la juge pas assez stable pour être conseillée.

Pour en revenir à ICSW pour Ubuntu Desktop, je me suis posé la question de savoir pourquoi Canonical n’avait pas poussé plus avant l’aspect démonstration dans cette machine virtuelle. Après réflexion, j’émet l’hypothèse que cette machine virtuelle a probablement été conçue pour être exploitée via la solution VERDE de Virtual Bridges afin d’être utilisée en mode bureau virtuel. Elle serait alors tout à fait prête à être connectée à un vrai serveur Domino.

Petite pause…

Je reviens un instant aux populations ciblés par ICSW, en vous rappelant que IBM et Canonical ont récemment annoncé qu’elles étaient les pays émergents, dont l’Afrique – une des motivations étant de réduire la fracture numérique pour contribuer au développement économique de ces pays. Ironie du sort, cette offre est maintenant disponible aux États-Unis, mais pour d’autres raisons. Quoiqu’il en soit, partant du principe que les Netbooks sous Linux sont des plate-formes bon marché, elles offrent une opportunité de déploiement non négligeable, même dans les pays démunis.

Dans ce cas de figure, le client fonctionnant sur une architecture matérielle limitée doit se reposer d’avantage sur des services en ligne. C’est ce que nous allons confirmer en observant de plus prêt ICSW pour Ubuntu Netbook Remix.

ICSW pour Ubuntu Netbook Remix

Cette version est disponible sous la forme d’une machine virtuelle de démonstration basée sur la version 9.10 de Ubuntu Netbook Remix (UNR) que vous pouvez télécharger ici (1.2 Go). Une fois téléchargée, il suffit de lancer charger l’image ISO dans VirtualBox pour voir apparaître le bureau particulier de UNR. Un peu comme Red Hat, Canonical a cette fois placé des icônes dans l’onglet « Favorites » pour faciliter l’accès aux différents outils à évaluer.

Je commence par la suite bureautique proposée en cliquant sur l’icône IBM Lotus Symphony. Une boîte de dialogue s’ouvre et je note qu’il s’agit de la version 1 de Symphony. Après un petit temps de chargement, j’accède à un menu simple qui permet de lancer un traitement de texte, un éditeur de présentations et un tableur.

Juste juste pour voir, je clique sur l’icône associée au traitement de texte – le démarrage est un peu lent mais pas rédhibitoire.

Si j’ai bien compris, cette machine serait plus destinée à exploiter des services en ligne que des applications locales qui pourraient se révéler peut efficaces compte-tenu des ressources disponibles. Je clique alors sur LotusLive pour voir si l’utilisation de mon compte est assez confortable.

La navigation sur le site conçu en Flash se montre assez fluide et malgré l’écran de 10 pouces (soit 25,6 cm en diagonale) je n’ai pas de mal à consulter les différentes rubriques. Ce premier contact via un ultra-portable me semble assez convaincant pour m’inciter à m’en resservir et même suggérer l’accès à LotusLive à partir de ce type de machine. Pour les curieux(ses) mon ultra-portable est un Tera Mobile Go équipé d’un processeur Intel Atom N270, avec 1 Go de RAM et un disque dur de 160 Go.

Pour terminer la visite, je clique sur Virtual Bridges VERDE Client et la fenêtre de connexion au service de bureau virtuel s’ouvre.

Malheureusement, je ne peux pas aller plus loin car je n’ai pas de compte sur ce service. Néanmoins, je suppose que c’est ici que Ubuntu Desktop aurait pu rejoindre Ubuntu Netbook Remix, ce dernier accédant à la machine virtuelle équipée de Lotus Notes 8.5 et Lotus Symphony 7.5.1 que je vous ai décrit précédemment. La question que je me pose maintenant est de savoir qu’elles sont les performances du client VERDE sur un ultra-portable. Peut-être aurais-je la possibilité d’en savoir un peu plus en m’adressant à Canonical ou à Virtual Bridges.

En conclusion…

Après cette première approche j’espère pouvoir consacrer à nouveau un peu de temps à l’étude de ICSW et surtout avoir une chance d’évaluer la pertinence du client VERDE sur un ultra-portable.

J’espère également que cette offre qui n’est pour l’instant disponible qu’en Afrique et aux États-Unis, pourra être étendue à d’autres pays car je pense qu’elle peut convenir dans de nombreuses situations, en particulier lorsque le besoin de communication avec des appareils légers est un plus, ou bien simplement la seule solution viable pour des raisons économiques. Ceci étant dit, il faudra au  préalable traduire les interfaces utilisateurs car, comme vous l’avez surement remarqué, presque tout ce que vous avez vu sur les copies d’écrans est en anglais.

En espérant que vous en savez maintenant un peu plus sur ce que peut apporter ICSW, je reste à l’écoute de vos commentaires et éventuels retours d’expérience sur le sujet.

Déclinée notamment en version Desktop et Server, cette version apporte son lot de nouveautés et d’améliorations.

Si la version Desktop reste dans la lignée de la version 9.04 « Jaunty Jackalope » pour faire évoluer les performances, avec en particulier des temps de démarrage nettement améliorés, elle propose toutefois quelques nouvelles applications notables comme Ubuntu One et la Logithèque Ubuntu.

Pour ce qui est de la version Server, elle permet maintenant d’installer facilement « Ubuntu Enterprise Cloud ». Le « cloud computing » fait donc partie intégrante de la distribution pour garantir un déploiement performant et stable des services UEC de Canonical et EC2 de Amazon. Comme je vous l’indiquais récemment, il est aussi possible de déployer son propre nuage privé. La sécurité est également renforcée dans la version Server grâce à l’utilisation de AppArmor, pour lequel un profil spécifique à « libvirtd » a été mis au point pour assurer l’isolation entre les machines virtuelles et leur système hôte.

Cette pré-version est bien sûr disponible pour les variantes Kubuntu, Xubuntu, Edubuntu, Ubuntu
Studio et Mythbuntu. Pour l’occasion, la variante Kubuntu se verra complétée par la première mouture de « Kubuntu Netbook ».

Concernant la version finale de Ubuntu 9.10, elle reste prévue pour le 29 octobre et bénéficiera d’un support de 18 mois pour les versions Desktop et Server.

Pour tester cette « Release Candidate », l’ensemble des versions téléchargeables sont à votre disposition ici.

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Détails :

USN-850-1 a corrigé des vulnérabilités dans poppler. Le correctif de sécurité pour CVE-2009-3605 a introduit une régression qui pourrait causer dans certaines applications, telles que Okular, une faute de segmentation lors de l’ouverture de certains fichiers PDF.

Cette mise à jour corrige le problème. Veuillez nous excuser pour le désagrément.

Détails de la notification initiale :

Il a été découvert que poppler avait plusieurs problèmes de sécurité lorsqu’il traitait des documents PDF malformés. Si un utilisateur ou un système automatisé était amené à ouvrir un fichier PDF spécialement conçu, un attaquant pourrait causer un déni de service ou exécuter du code arbitraire avec les privilèges de l’utilisateur exécutant l’application.

Source : USN-850-2: poppler regression

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :