Frugalware 1.2 (Locris) est sortie

DLFP - Dépêches de page principale le jeudi 11 mars 2010 10:47

L'équipe de développement de Frugalware est ravie de vous annoncer la sortie immédiate de Frugalware 1.2, la douzième mouture stable. Aucune nouvelle fonctionnalité n'a été ajoutée depuis la 1.2rc2, mais 62 changements ont été faits pour réparer des bugs mineurs. Si vous n'avez pas suivi les changements depuis les versions pre/rc, voici les plus importants changements depuis Getorin (1.1).

Paquets mis à jour : noyau Linux 2.6.32.8, bibliothèque GNU C 2.11.1, Xorg 7.5, GNOME 2.28 et KDE 4.3.5 pour nommer les paquets les plus importants. KMS est maintenant activé par défaut pour les cartes Intel et Radeon. PAM fait maintenant parti du système de base. Implémentation de devtmpfs : vous pouvez maintenant exclure /dev des sauvegardes avec /proc et /sys. Suppression de plusieurs gros jeux des images d'installation (CD/DVD), ce qui signifie un DVD ou 4 CD en moins.

Nous avons finalement mis à jour KDE (et les paquets additionnels) vers la branche 4.x. Le travail a commencé en avril 2009 et maintenant nous pensons que c'est une bonne chose de fusionner le dépôt de test.

Frugalware est une distribution basée sur Slackware. Elle utilise la gestion de paquets pacman d'Arch Linux. La version 1.2 fonctionne sur les plateformes i686, x86-64 et PPC.

lien 1 : Site officiel
lien 2 : Communauté francophone
lien 3 : Journal des changements
lien 4 : Documentation Upgrade
lien 5 : Liste des miroirs pour télécharger Frugalware

Provisoirement et partiellement décapité, le botnet Zeus refait surface

ZDNet News le jeudi 11 mars 2010 10:03

Le FAI Troyak, accusé d'héberger une soixantaine de serveurs de contrôle du botnet Zeus, a été provisoirement déconnecté, désactivant ainsi nombre de PC zombies. Mais Troyak est revenu en ligne rapidement grâce à un nouvel accord de peering.

Facebook : numéro 5 des sites les plus visités en France

ZDNet News le jeudi 11 mars 2010 10:03

Le site de réseau social est devenu une passion pour beaucoup de Français avec 15 millions de membres actifs et plus de 4 heures de connexion par mois !

USN-909-1: dpkg vulnerability

Ubuntu - news, usn le jeudi 11 mars 2010 08:06

Referenced CVEs:

CVE-2010-0396

Description:

=========================================================== Ubuntu Security Notice USN-909-1 March 11, 2010 dpkg vulnerability CVE-2010-0396 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 6.06 LTS Ubuntu 8.04 LTS Ubuntu 8.10 Ubuntu 9.04 Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 6.06 LTS: dpkg-dev 1.13.11ubuntu7.1 Ubuntu 8.04 LTS: dpkg-dev 1.14.16.6ubuntu4.1 Ubuntu 8.10: dpkg-dev 1.14.20ubuntu6.3 Ubuntu 9.04: dpkg-dev 1.14.24ubuntu1.1 Ubuntu 9.10: dpkg-dev 1.15.4ubuntu2.1 In general, a standard system upgrade is sufficient to effect the necessary changes. Details follow: William Grant discovered that dpkg-source did not safely apply diffs when unpacking source packages. If a user or an automated system were tricked into unpacking a specially crafted source package, a remote attacker could modify files outside the target unpack directory, leading to a denial of service or potentially gaining access to the system.

Facebook et Google poursuivis pour violation de brevet

ZDNet News le jeudi 11 mars 2010 07:03

Wireless Ink a porté plainte auprès d'un tribunal de Manhattan contre Facebook et Google ; la société les accuse d'avoir utilisé son brevet portant sur l'accès à un réseau social depuis un terminal mobile.

USN-908-1: Apache vulnerabilities

Ubuntu - news, usn le mercredi 10 mars 2010 20:43

Referenced CVEs:

CVE-2010-0408, CVE-2010-0434

Description:

=========================================================== Ubuntu Security Notice USN-908-1 March 10, 2010 apache2 vulnerabilities CVE-2010-0408, CVE-2010-0434 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 6.06 LTS Ubuntu 8.04 LTS Ubuntu 8.10 Ubuntu 9.04 Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 6.06 LTS: apache2-common 2.0.55-4ubuntu2.10 Ubuntu 8.04 LTS: apache2.2-common 2.2.8-1ubuntu0.15 Ubuntu 8.10: apache2.2-common 2.2.9-7ubuntu3.6 Ubuntu 9.04: apache2.2-common 2.2.11-2ubuntu2.6 Ubuntu 9.10: apache2.2-common 2.2.12-1ubuntu2.2 In general, a standard system upgrade is sufficient to effect the necessary changes. Details follow: It was discovered that mod_proxy_ajp did not properly handle errors when a client doesn't send a request body. A remote attacker could exploit this with a crafted request and cause a denial of service. This issue affected Ubuntu 8.04 LTS, 8.10, 9.04 and 9.10. (CVE-2010-0408) It was discovered that Apache did not properly handle headers in subrequests under certain conditions. A remote attacker could exploit this with a crafted request and possibly obtain sensitive information from previous requests. (CVE-2010-0434)

ACTA : les eurodéputés votent une résolution pour obtenir plus de transparence

ZDNet News le mercredi 10 mars 2010 15:03

A une large majorité, 663 voix contre 13, les députés européens ont voté une résolution exigeant de la Commission européenne la divulgation au public des documents relatifs à l'ACTA et que soit écarté tout dispositif de riposte graduée.

Accès aux données personnelles : l'UFC attaque Free et Tele2Mobile devant la Cnil

ZDNet News le mercredi 10 mars 2010 14:03

L'association de consommateurs accuse le FAI et l'opérateur mobile de ne pas donner accès aux données personnelles recueillies auprès de ses clients. Six autres sociétés sont concernées par la saisine.

Utiliser HeeksCAD, c'est déjà possible ! Un Tutoriel sur Linuxgraphic rénové

DLFP - Dépêches de page principale le mercredi 10 mars 2010 13:48

HeeksCAD est un logiciel de CAO basé sur la bibliothèque OpenCascade qui fut libérée il y a 11 ans déjà.
Dan Heeks est le créateur et le leader de ce projet qui avance très vite. La liste de diffusion est très active et les versions se suivent à un rythme rapide.

André Pascual qui suit attentivement le projet et assure sa localisation en français vient de publier sur linuxgraphic.org un didacticiel qui montre comment utiliser Heekscad. Pour cela, il crée une pièce assez complexe, en l'occurrence, un corps de compresseur. Il avait déjà créé cette pièce en 2001 avec SolidWorks, un logiciel qui est une référence dans le domaine de la CAO. Son verdict est clair : Heekscad est déjà parfaitement utilisable pour créer sans encombre cette pièce avec une facilité approchante de celle de Solidworks.

Le tutoriel est un longue page HTML abondamment illustrée. Mais rassurez-vous, il est plus long de décrire comment faire que de le faire.

lien 1 : Utiliser HeeksCAD
lien 2 : HeeksCAD
lien 3 : Open Cascade
lien 4 : LinuxGraphic
lien 5 : L'équipe de LinuxGraphic
(...)

Une enquête par questionnaire sur la communauté du Logiciel Libre

DLFP - Dépêches de page principale le mercredi 10 mars 2010 13:20

Le Centre Maurice Halbwachs (Unité mixte de recherche École Normale Supérieure, EHESS, CNRS) lance une enquête, entièrement anonyme, s'adressant à tous ceux qui oeuvrent et promeuvent le Logiciel Libre : militants et adhérents associatifs, participants aux LUGs, gérants de sites web liés au libre, prosélytes en tout genre, etc.

À travers un questionnaire anonyme sur Internet, elle a pour objectif une meilleure connaissance des promoteurs du libre et de leurs engagements, notamment :

Une meilleure connaissance de la communauté du Logiciel Libre, de ses divisions et de la place de ses membres dans la société ;
L'examen des différents engagements des acteurs du libre (quels engagements, les motivations et les trajectoires de cet engagement) ;
La confrontation des analyses économiques portant sur les développeurs de logiciels libres avec les analyses sociologiques du logiciel libre et, plus généralement, de l'engagement.

Elle se déroule en trois parties, et prend moins d'une dizaine de minutes à remplir. Vous trouverez l'adresse de ce questionnaire en lien un peu plus bas (premier lien de dépêche). Lors de la clôture du questionnaire, les résultats complets feront l'objet d'un article scientifique et la base de données (à l'exception des questions permettant une éventuelle reconnaissance du répondant) sera mise à disposition de la communauté.

La date limite de participation est fixée au 4 avril 2010. Merci de votre participation.

lien 1 : Le questionnaire
lien 2 : Le Centre Maurice Halbwachs

Charles McCathieNevile, Opera : "Le ballot-screen ne règlera pas tous les problèmes"

ZDNet News le mercredi 10 mars 2010 13:03

Le responsable des standards pour l'éditeur norvégien revient pour ZDNet.fr sur la bataille épique du ballot-screen, sur la concurrence dans le marché des navigateurs, sur le nouveau Opera 10.5 et sur les projets d'Opera Software.

Hadopi : TF1 écope d’une sanction du CSA pour un reportage au Parlement

ZDNet News le mercredi 10 mars 2010 13:03

Pour avoir diffusé un reportage consacré au vote de la loi Hadopi montrant une Assemblée nationale pleine, ce qui dans les faits n'était pas le cas, TF1 a été sanctionné par le CSA pour manquement à l'honnêteté de l'information.

Une nouvelle faille d’Internet Explorer est attaquée

ZDNet News le mercredi 10 mars 2010 11:03

Microsoft met en garde les utilisateurs d'Internet Explorer 6 et 7 sous Windows 2000, XP, Vista et Server 2003 et 2008, contre l'exploitation d'une vulnérabilité du navigateur. IE8 et Windows 7 ne sont pas affectés selon l'éditeur, qui reconnaît que des attaques ont été constatées.

Applications en ligne : lancement du Google Apps Marketplace

ZDNet News le mercredi 10 mars 2010 09:03

Cette nouvelle place de marché accueille les applications tierces à vocation professionnelle conçues pour s'intégrer dans les éditions Premier, Standard et Education des Google Apps.

Arrivée prochaine de la géolocalisation dans Facebook

ZDNet News le mercredi 10 mars 2010 08:03

Le site de réseautage devrait annoncer ce nouveau service lors de sa conférence annuelle fin avril. La géolocalisation sera disponible non seulement dans Facebook mais également pour les développeurs d'applications tierces.

DSA-2011 dpkg

Sécurité Debian le mercredi 10 mars 2010 00:00

path traversal

DSA-2010 kvm

Sécurité Debian le mercredi 10 mars 2010 00:00

privilege escalation/denial of service

Sortie de Seeks stable 0.2

DLFP - Dépêches de page principale le mardi 9 mars 2010 16:39

Seeks est un méta moteur de recherche libre (AGPL), sous forme de serveur mandataire (proxy) HTTP. Il est déployable aussi bien en tant que moteur public que sur machine personnelle.

La version 0.2 est la première véritable version livrée de Seeks. Elle comprend plusieurs nouveaux outils pour la recherche en ligne, comme l'analyse de similarité des résultats, le regroupement automatique des résultats, et par type.

Seeks repose sur une architecture ouverte dont le but est de permettre la reprise en main par les utilisateurs de la recherche sur le Web. Aujourd'hui il est possible à chacun de monter son propre noeud ou d'utiliser des noeuds publics pour l'anonymat de ses requêtes.

Les versions à venir mettront en place un réseau pair-à-pair permettant l'interconnexion des noeuds Seeks. Cette interconnexion permettra de regrouper en temps réel entre eux les utilisateurs effectuant des requêtes similaires.

Sur cette base Seeks permettra l'émergence d'un véritable moteur décentralisé, avec un contrôle continu et collaboratif des utilisateurs sur les résultats et leurs données. Au final, Seeks cherche à promouvoir la transparence des algorithmes et l'égalité des contenus sur le Web dans leur traitement par les moteurs de recherche.

lien 1 : Page du projet
lien 2 : Liste des noeuds publics
lien 3 : Captures d'écran
lien 4 : Version 0.2 chez Sourceforge
lien 5 : Monter son propre noeud

MS10-017 - Important: Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (980150)

Microsoft Security Bulletins le mardi 9 mars 2010 09:00

Bulletin Severity Rating:Important - This security update resolves seven privately reported vulnerabilities in Microsoft Office Excel. The vulnerabilities could allow remote code execution if a user opens a specially crafted Excel file. An attacker who successfully exploited any of these vulnerabilities could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

MS10-016 - Important: Vulnerability in Windows Movie Maker Could Allow Remote Code Execution (975561)

Microsoft Security Bulletins le mardi 9 mars 2010 09:00

Bulletin Severity Rating:Important - This security update addresses a privately reported vulnerability in Windows Movie Maker and Microsoft Producer 2003. Windows Live Movie Maker, which is available for Windows Vista and Windows 7, is not affected by this vulnerability. The vulnerability could allow remote code execution if an attacker sent a specially crafted Movie Maker or Microsoft Producer project file and persuaded the user to open the specially crafted file. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

DSA-2009 tdiary

Sécurité Debian le mardi 9 mars 2010 00:00

insufficient input sanitising

XMP PHP Toolkit, RBS Change 3.0 et Mozilla Weave

DLFP - Dépêches de page principale le lundi 8 mars 2010 21:18

XMP PHP Toolkit

XMP PHP Toolkit est une extension PHP5, basée sur le Xmp Toolkit d'Adobe, permettant de lire ou écrire dans les métadonnées d'un fichier multimédia. Cette extension est proposée en licence GPLv3.

Cette extension permet au sein de php de disposer des classes XMP d'Adobe et de leurs méthodes afin de lire, modifier, extraire les métadonnées XMP d'une multitude de fichiers multimédia. Très utilisé par les photographes dans les fichiers jpeg par exemple, ce format peut aussi être inclus dans les entêtes mp3, wav, avi, mpeg... et bien entendu tous les formats Adobe ( pdf, flv, psd ... ).
Vous pourrez donc au sein de votre application php5, ouvrir ce genre de fichier, en extraire les métadonnées et les indexer comme vous le voulez.

Cette extension vient de paraître dans sa version 1.0, et a été testée sous système debian, debian 64bits, et FreeBSD.

RBS Change 3.0 allie gestion de contenu et e-Commerce

L'éditeur RBS Software vient de rendre disponible la première solution de gestion de contenu web qui inclut des fonctionnalités e-commerce, parmi lesquelles :

Une gestion multi-catalogues ;
La gestion des promotions ;
Le paiement sécurisé ;
L'animation commerciale ;
La fidélisation client ;
L'analyse avec Google Analytics E-commerce.

RBS Change 3.0 est proposée en open source, avec des modules complémentaires payants. Déjà utilisé par des sociétés comme les magasins Auberts ou les outils Wolf, l'outil de gestion de contenu web a fait ses preuves. RBS Change permet une gestion multilingue des sites web, leur accessibilité et la gestion des droits de publication.

50 options sont disponibles pour enrichir les sites web de blogs, forums, e-mailing, galerie photos, actualités, ou autres. Parmi les options payantes, on retrouve la gestion personnalisée des animations commerciales en fonction des habitudes d'achat des visiteurs, identifiés et segmentés, une interconnexion avec l'ERP de l'entreprise, des API web services, l'e-mailing, les ventes croisées, la proposition de coupons de remise et des statistiques complètes. Une démonstration est disponible sur le site http://www.rbschange.fr

Petit tutoriel pour l'installation de Mozilla Weave

La version finale du serveur Weave de Mozilla (estampillée 1.0) a été enfin livrée fin 2009 après plus de 2 ans d'attente. Rappellez-vous, on en parlait déjà ici en janvier 2008 (déjà 2 ans !). La gestation a été lente mais le résultat est à la hauteur et semble très prometteur !

Pour rappel, l'extension Firefox Weave permet la synchronisation de votre profil Firefox (marque-pages, mots de passe enregistrés, historique de navigation, onglets ouverts...) entre plusieurs machines distantes ou téléphone portable (l'extension existe pour le navigateur Firefox mobile). Les données sont stockées chiffrées sur un serveur distant et sont protégées par un login et un mot de passe. Après plusieurs semaines de tests client et serveur, les premières impressions sont plutôt bonnes et les mises à jour régulières. L'extension vient de passer en version 1.1 après quelques semaines.

Pour aider les personnes désirant installer la partie serveur de cette solution sur un serveur privé (Mozilla propose ses propres serveurs mais ils ont connus quelques problèmes), vous trouverez un dossier assez détaillé sur l'installation de Weave Sync et Weave Registration qui sont les composants principaux de Weave Server.

Notez que les pré-requis d'une telle installation sont assez traditionnels : Apache, MySQL et PHP. Aucun module spécifique d'Apache n'est demandé mais il faut reconnaître que l'installation est assez peu documentée et surtout pas en français ! Espérons, à terme, une version toute prête pour les principales distributions GNU/Linux.

Cepe ALSH disponible au téléchargement en version bêta

L'équipe de Cévennes Libres est heureuse de vous faire savoir que la version 0.5 du logiciel libre Cepe-ALSH est disponible au téléchargement sur le site : http://cepealsh.org. Cepe-ALSH est une solution libre et gratuite de gestion d'accueil de loisirs adaptée aux associations et aux collectivités territoriales.

Cette version est une version bêta (ne pas utiliser en production), elle est destinée à confronter les utilisateurs au logiciel dans le but de la faire évoluer. Plus la communauté sera grande, meilleur sera le logiciel. Pour ceux qui souhaitent contribuer activement au projet, la forge de Cévennes Libres (où vous trouverez les sources de Cepe ALSH) se trouvent à l'adresse suivante : http://cevenlibres.no-ip.org/

Cévennes Libres annonce travailler sur le développement de trois nouveaux modules : crèche, ludothèque et gestion de la restauration. L'association recherche des partenaires pour participer à l'analyse et au développement.

NdM : Merci à LORY, darkus et cevenneslibres de nous avoir fait part des sorties respectives de RBS Change 3.0, XMP PHP Toolkit et Cepe ALSH.

lien 1 : XMP Php Toolkit Extension Homepage
lien 2 : Communauté utilisateurs
lien 3 : Installation de Weave Server
lien 4 : Dossier Weave Server
lien 5 : Mozilla Labs, Weave Server
lien 6 : Cepe ALSH

Revue de presse de l'April pour la semaine 9

DLFP - Dépêches de page principale le lundi 8 mars 2010 21:12

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire de la revue de presse de l'April pour la semaine 9

(...)

USN-907-1: gnome-screensaver vulnerabilities

Ubuntu - news, usn le lundi 8 mars 2010 15:31

Referenced CVEs:

CVE-2010-0285, CVE-2010-0422

Description:

=========================================================== Ubuntu Security Notice USN-907-1 March 08, 2010 gnome-screensaver vulnerabilities CVE-2010-0285, CVE-2010-0422 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 8.10 Ubuntu 9.04 Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 8.10: gnome-screensaver 2.24.0-0ubuntu2.1 Ubuntu 9.04: gnome-screensaver 2.24.0-0ubuntu6.1 Ubuntu 9.10: gnome-screensaver 2.28.0-0ubuntu3.5 After a standard system upgrade you need to restart your session to effect the necessary changes. Details follow: It was discovered that gnome-screensaver did not correctly lock all screens when monitors get hotplugged. An attacker with physical access could use this flaw to gain access to a locked session. (CVE-2010-0285) It was discovered that gnome-screensaver did not correctly handle keyboard grab when monitors get hotplugged. An attacker with physical access could use this flaw to gain access to a locked session. This issue only affected Ubuntu 9.10. (CVE-2010-0422)

Buildroot 2010.02 est sorti !

DLFP - Dépêches de page principale le lundi 8 mars 2010 07:02

Buildroot est un outil permettant la construction de systèmes Linux embarqués. Il automatise le processus de téléchargement, configuration, compilation et installation de tous les composants d'un système Linux embarqué : chaîne de compilation croisée, chargeur de démarrage, noyau, système de fichiers racine avec BusyBox, bibliothèques graphiques, réseau, multimédia, etc.

Utilisant le même système de configuration que celui du noyau, Buildroot permet de générer un système embarqué adapté à vos besoins. Il permet de compiler en standard près de 600 paquets : BusyBox, X.org, D-Bus, DirectFB, Gtk, Qt, GStreamer notamment, et il est très aisé d'ajouter d'autres paquets. Buildroot est utilisé officiellement par plusieurs fabricants de matériel, notamment Atmel, Armadeus Systems et Calao Systems et de nombreuses sociétés l'utilisent pour leurs projets Linux embarqué, notamment industriels.

lien 1 : Buildroot
lien 2 : Annonce de la sortie de 2010.02
lien 3 : Conférence Buildroot RMLL 2009
lien 4 : Buildroot 2010.02 released, contributions from Free Electrons!
(...)

Rapport Fourgous sur les TICE : reconnaissance partielle des apports du libre à l'éducation

DLFP - Dépêches de page principale le lundi 8 mars 2010 01:42

Le rapport de la mission parlementaire de Jean-Michel Fourgous, député des Yvelines, sur la modernisation de l'école par le numérique a été remis le 15 février 2010 au Ministre de l'Éducation nationale.

L'April a contribué à cette mission dans le cadre de la consultation préalable. Elle a participé aux forums mis en place par la Mission et a envoyé une lettre de synthèse au député.

Dans son communiqué de presse, l'April se félicite que certaines de ses positions soient reprises dans le rapport de la mission mais regrette qu'après avoir montré que le logiciel libre est une approche privilégiée pour réussir l'école numérique, il ne propose aucune mesure concrète pour tirer parti de cette opportunité.

lien 1 : Le rapport Fourgous
lien 2 : Le communiqué
lien 3 : La lettre de l'April
lien 4 : Le forum de la mission

DSA-2008 typo3-src

Sécurité Debian le lundi 8 mars 2010 00:00

several vulnerabilities

Sylpheed 3.0 est sorti

DLFP - Dépêches de page principale le dimanche 7 mars 2010 14:22

Logiciel client de courrier électronique et de news, Sylpheed 3.0 est sorti le 24 février dernier. Cinq ans après la version 2.0, et après une série de version bêta depuis le mois d'octobre, les nouveautés suivantes sont à l'ordre du jour :

gestion du multi-threading
meilleure prise en charge du protocole IMAP
améliorations du carnet d'adresses (ajout d'adresses en envoi, tri...)
polissage de l'interface sur le fond (qui utilise maintenant GTK+ 2.4.0 minimum) et sur la forme (nouvelles icônes, messages d'information supplémentaires, personnalisation des étiquettes de couleur...)
l'assistant lors du premier lancement a été revu et permet le paramétrage pour un compte GMail
et bien sûr une correction de multiples bugs

Sylpheed reste fidèle à ses principes de bases : gestion linguistique étendu (en particulier, le japonais du fait de la nationalité de son développeur Hiroyuki Yamamoto), rapidité d'exécution et grande stabilité. À noter qu'un système de greffon a fait son apparition lors de la version 2.6, mais aucun n'est disponible actuellement à ma connaissance.

Quelques caractéristiques m'ayant fait choisir et garder ce logiciel : stockage des courriers au format maildir (un fichier par message), configuration simple, prise en charge de GPG, utilisation du logiciel de son choix comme antispam (bogofilter pour ma part) et continuité de développement. Il dispose également d'une option "debug" et d'un affichage des dialogues POP/IMAP/SMTP/NNTP forts pratiques en cas de problème.

lien 1 : Site officiel
lien 2 : Téléchargement de la version 3.0

Sortie de Blitzen 0.0.7

DLFP - Dépêches de page principale le dimanche 7 mars 2010 12:44

Blitzen est un serveur d'application que je développe sur mon temps libre, et qui avait déjà fait l'objet d'un journal pour la version 0.0.5 sur DLFP. Pour les plus pressés d'entre vous, voici un bref rappel des faits : Blitzen est un serveur d'application libre (LGPLv2), qui a pour but de permettre l'écriture d'applications ou sites web de manière simple et rapide.

Parmi toutes les solutions visant à améliorer la productivité du développeur par rapport à la manipulation directe des technologies web (HTML, Javascript, css, etc.), deux approches se démarquent:

L'approche orientée page qui consiste à faciliter la vie du développeur en prenant en charge les mécanismes les plus élémentaires tout en conservant un lien fort avec les technologies sous-jacentes (c'est le cas de Ruby on Rails par exemple) ;
L'approche orientée composants, qui vise à unifier le développement des applications web et natives en masquant au maximum l'aspect web de l'application en présentant une API proche des toolkits natifs comprenant un modèle événementiel à callbacks ou listeners (Seaside par exemple).

Blitzen se classe résolument dans la seconde catégorie et vise à permettre le développement d'applications web sans avoir à se soucier des problématiques liées à cet environnement particulier (compatibilité des navigateurs, niveau de fonctionnalités ...). Ainsi, il présente une API proche de GTK+ et permet au développeur de se concentrer sur l'aspect fonctionnel de son application en laissant la charge au moteur de rendu de faire les choix appropriés en fonction du client qui l'interroge : utilisation de rendu asynchrone AJAX lorsque disponible, dégradation progressive lorsque javascript n'est pas disponible, etc.

Blitzen est écrit en C, et plus particulièrement en C/GObject, ce qui permet certes d'écrire des applications web directement en C, mais également et surtout en Vala via le binding fourni.

Cette nouvelle pré-version publique constitue une milestone importante. Tous les widgets HTML de base sont implémentés (au moins de manière partielle), il est désormais possible de créer un site web complet avec Blitzen. Bien entendu, comme le numéro de version l'indique il s'agit d'un projet très jeune qui nécessite et nécessitera encore beaucoup de tests avant d'être en mesure de se déclarer stable. Pour autant, j'ai n'ai pas encore eu l'occasion de le voir "segfaulter".

Comme toujours, toutes les remarques/suggestions/contributions sont les bienvenues.

lien 1 : Le (nouveau) site du projet
lien 2 : L'annonce de sortie
lien 3 : Le tarball (sources+doc+demo+tuto)
lien 4 : Le manuel avec un tutorial
lien 5 : API Reference en C
lien 6 : API Reference en Vala

USN-906-1: CUPS vulnerabilities

Ubuntu - news, usn le mercredi 3 mars 2010 21:40

Referenced CVEs:

CVE-2009-3553, CVE-2010-0302, CVE-2010-0393

Description:

=========================================================== Ubuntu Security Notice USN-906-1 March 03, 2010 cups, cupsys vulnerabilities CVE-2009-3553, CVE-2010-0302, CVE-2010-0393 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 6.06 LTS Ubuntu 8.04 LTS Ubuntu 8.10 Ubuntu 9.04 Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 6.06 LTS: cupsys 1.2.2-0ubuntu0.6.06.17 cupsys-client 1.2.2-0ubuntu0.6.06.17 Ubuntu 8.04 LTS: cupsys 1.3.7-1ubuntu3.8 cupsys-client 1.3.7-1ubuntu3.8 Ubuntu 8.10: cups 1.3.9-2ubuntu9.5 cups-client 1.3.9-2ubuntu9.5 Ubuntu 9.04: cups 1.3.9-17ubuntu3.6 cups-client 1.3.9-17ubuntu3.6 Ubuntu 9.10: cups 1.4.1-5ubuntu2.4 cups-client 1.4.1-5ubuntu2.4 In general, a standard system upgrade is sufficient to effect the necessary changes. Details follow: It was discovered that the CUPS scheduler did not properly handle certain network operations. A remote attacker could exploit this flaw and cause the CUPS server to crash, resulting in a denial of service. This issue only affected Ubuntu 8.04 LTS, 8.10, 9.04 and 9.10. (CVE-2009-3553, CVE-2010-0302) Ronald Volgers discovered that the CUPS lppasswd tool could be made to load localized message strings from arbitrary files by setting an environment variable. A local attacker could exploit this with a format-string vulnerability leading to a root privilege escalation. The default compiler options for Ubuntu 8.10, 9.04 and 9.10 should reduce this vulnerability to a denial of service. (CVE-2010-0393)

DSA-2007 cups

Sécurité Debian le mercredi 3 mars 2010 00:00

format string vulnerability

Canonical Webinars to Highlight Untapped Market Potential for ISVs

Ubuntu - news, usn le mardi 2 mars 2010 14:12

Canonical Webinars to Highlight Untapped Market Potential for ISVs

LONDON, March 2, 2010 - Canonical Ltd., the company behind Ubuntu, announced a program for the ISV community - including a series of webinars -- to highlight the benefits of certifying software on the the long term support version of Ubuntu 10.04.

DSA-2006 sudo

Sécurité Debian le mardi 2 mars 2010 00:00

several vulnerabilities

DSA-2004 samba

Sécurité Debian le dimanche 28 février 2010 00:00

several vulnerabilities

DSA-2005 linux-2.6.24

Sécurité Debian le samedi 27 février 2010 00:00

privilege escalation/denial of service/sensitive memory leak

USN-905-1: sudo vulnerabilities

Ubuntu - news, usn le vendredi 26 février 2010 22:43

Referenced CVEs:

CVE-2010-0426, CVE-2010-0427

Description:

=========================================================== Ubuntu Security Notice USN-905-1 February 26, 2010 sudo vulnerabilities CVE-2010-0426, CVE-2010-0427 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 6.06 LTS Ubuntu 8.04 LTS Ubuntu 8.10 Ubuntu 9.04 Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 6.06 LTS: sudo 1.6.8p12-1ubuntu6.1 sudo-ldap 1.6.8p12-1ubuntu6.1 Ubuntu 8.04 LTS: sudo 1.6.9p10-1ubuntu3.6 sudo-ldap 1.6.9p10-1ubuntu3.6 Ubuntu 8.10: sudo 1.6.9p17-1ubuntu2.2 sudo-ldap 1.6.9p17-1ubuntu2.2 Ubuntu 9.04: sudo 1.6.9p17-1ubuntu3.1 sudo-ldap 1.6.9p17-1ubuntu3.1 Ubuntu 9.10: sudo 1.7.0-1ubuntu2.1 sudo-ldap 1.7.0-1ubuntu2.1 In general, a standard system upgrade is sufficient to effect the necessary changes. Details follow: It was discovered that sudo did not properly validate the path for the 'sudoedit' pseudo-command. A local attacker could exploit this to execute arbitrary code as root if sudo was configured to allow the attacker to use sudoedit. The sudoedit pseudo-command is not used in the default installation of Ubuntu. (CVE-2010-0426) It was discovered that sudo did not reset group permissions when the 'runas_default' configuration option was used. A local attacker could exploit this to escalate group privileges if sudo was configured to allow the attacker to run commands under the runas_default account. The runas_default configuration option is not used in the default installation of Ubuntu. This issue affected Ubuntu 8.04 LTS, 8.10 and 9.04. (CVE-2010-0427)

USN-904-1: Squid vulnerability

Ubuntu - news, usn le mercredi 24 février 2010 18:20

Referenced CVEs:

CVE-2010-0639

Description:

=========================================================== Ubuntu Security Notice USN-904-1 February 24, 2010 squid vulnerability CVE-2010-0639 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 8.04 LTS Ubuntu 8.10 Ubuntu 9.04 Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 8.04 LTS: squid 2.6.18-1ubuntu3.2 Ubuntu 8.10: squid 2.7.STABLE3-1ubuntu2.3 Ubuntu 9.04: squid 2.7.STABLE3-4.1ubuntu1.2 Ubuntu 9.10: squid 2.7.STABLE6-2ubuntu2.2 In general, a standard system upgrade is sufficient to effect the necessary changes. Details follow: It was discovered that Squid incorrectly handled certain malformed packets received on the HTCP port. A remote attacker could exploit this with a specially-crafted packet and cause Squid to crash, resulting in a denial of service.

USN-903-1: OpenOffice.org vulnerabilities

Ubuntu - news, usn le mercredi 24 février 2010 10:48

Referenced CVEs:

CVE-2009-0217, CVE-2009-2949, CVE-2009-2950, CVE-2009-3301, CVE-2009-3302, CVE-2010-0136

Description:

=========================================================== Ubuntu Security Notice USN-903-1 February 24, 2010 openoffice.org vulnerabilities CVE-2009-0217, CVE-2009-2949, CVE-2009-2950, CVE-2009-3301, CVE-2009-3302, CVE-2010-0136 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 8.04 LTS Ubuntu 8.10 Ubuntu 9.04 Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 8.04 LTS: openoffice.org-core 1:2.4.1-1ubuntu2.3 Ubuntu 8.10: openoffice.org-core 1:2.4.1-11ubuntu2.3 Ubuntu 9.04: openoffice.org-core 1:3.0.1-9ubuntu3.2 Ubuntu 9.10: openoffice.org-core 1:3.1.1-5ubuntu1.1 After a standard system upgrade you need to restart OpenOffice to effect the necessary changes. Details follow: It was discovered that the XML HMAC signature system did not correctly check certain lengths. If an attacker sent a truncated HMAC, it could bypass authentication, leading to potential privilege escalation. (CVE-2009-0217) Sebastian Apelt and Frank ReiÃŸner discovered that OpenOffice did not correctly import XPM and GIF images. If a user were tricked into opening a specially crafted image, an attacker could execute arbitrary code with user privileges. (CVE-2009-2949, CVE-2009-2950) Nicolas Joly discovered that OpenOffice did not correctly handle certain Word documents. If a user were tricked into opening a specially crafted document, an attacker could execute arbitrary code with user privileges. (CVE-2009-3301, CVE-2009-3302) It was discovered that OpenOffice did not correctly handle certain VBA macros correctly. If a user were tricked into opening a specially crafted document, an attacker could execute arbitrary macro commands, bypassing security controls. (CVE-2010-0136)

USN-902-1: Pidgin vulnerabilities

Ubuntu - news, usn le lundi 22 février 2010 17:38

Referenced CVEs:

CVE-2010-0277, CVE-2010-0420, CVE-2010-0423

Description:

=========================================================== Ubuntu Security Notice USN-902-1 February 22, 2010 pidgin vulnerabilities CVE-2010-0277, CVE-2010-0420, CVE-2010-0423 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 8.04 LTS Ubuntu 8.10 Ubuntu 9.04 Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 8.04 LTS: pidgin 1:2.4.1-1ubuntu2.9 Ubuntu 8.10: pidgin 1:2.5.2-0ubuntu1.7 Ubuntu 9.04: pidgin 1:2.5.5-1ubuntu8.6 Ubuntu 9.10: pidgin 1:2.6.2-1ubuntu7.2 After a standard system upgrade you need to restart Pidgin to effect the necessary changes. Details follow: Fabian Yamaguchi discovered that Pidgin incorrectly validated all fields of an incoming message in the MSN protocol handler. A remote attacker could send a specially crafted message and cause Pidgin to crash, leading to a denial of service. (CVE-2010-0277) Sadrul Habib Chowdhury discovered that Pidgin incorrectly handled certain nicknames in Finch group chat rooms. A remote attacker could use a specially crafted nickname and cause Pidgin to crash, leading to a denial of service. (CVE-2010-0420) Antti Hayrynen discovered that Pidgin incorrectly handled large numbers of smileys. A remote attacker could send a specially crafted message and cause Pidgin to become unresponsive, leading to a denial of service. (CVE-2010-0423)

DSA-2003 linux-2.6

Sécurité Debian le lundi 22 février 2010 00:00

privilege escalation/denial of service

DSA-2001 php5

Sécurité Debian le vendredi 19 février 2010 00:00

multiple vulnerabilities

USN-890-5: XML-RPC for C and C++ vulnerabilities

Ubuntu - news, usn le jeudi 18 février 2010 22:54

Referenced CVEs:

CVE-2009-3560, CVE-2009-3720

Description:

=========================================================== Ubuntu Security Notice USN-890-5 February 18, 2010 xmlrpc-c vulnerabilities CVE-2009-3560, CVE-2009-3720 =========================================================== A security issue affects the following Ubuntu releases: Ubuntu 9.10 This advisory also applies to the corresponding versions of Kubuntu, Edubuntu, and Xubuntu. The problem can be corrected by upgrading your system to the following package versions: Ubuntu 9.10: libxmlrpc-core-c3 1.06.27-1ubuntu6.1 After a standard system upgrade you need to restart any applications linked against XML-RPC for C and C++ to effect the necessary changes. Details follow: USN-890-1 fixed vulnerabilities in Expat. This update provides the corresponding updates for XML-RPC for C and C++. Original advisory details: Jukka Taimisto, Tero Rontti and Rauli Kaksonen discovered that Expat did not properly process malformed XML. If a user or application linked against Expat were tricked into opening a crafted XML file, an attacker could cause a denial of service via application crash. (CVE-2009-2625, CVE-2009-3720) It was discovered that Expat did not properly process malformed UTF-8 sequences. If a user or application linked against Expat were tricked into opening a crafted XML file, an attacker could cause a denial of service via application crash. (CVE-2009-3560)

MS10-015 - Important: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (977165)

Microsoft Security Bulletins le mardi 9 février 2010 09:00

Bulletin Severity Rating:Important - This security update resolves one publicly disclosed and one privately reported vulnerability in Microsoft Windows. The vulnerabilities could allow elevation of privilege if an attacker logged on to the system and then ran a specially crafted application. To exploit either vulnerability, an attacker must have valid logon credentials and be able to log on locally. The vulnerabilities could not be exploited remotely or by anonymous users.

MS10-008 - Critical: Cumulative Security Update of ActiveX Kill Bits (978262)

Microsoft Security Bulletins le mardi 9 février 2010 09:00

Bulletin Severity Rating:Critical - This security update addresses a privately reported vulnerability for Microsoft software. This security update is rated Critical for all supported editions of Microsoft Windows 2000 and Windows XP, Important for all supported editions of Windows Vista and Windows 7, Moderate for all supported editions of Windows Server 2003, and Low for all supported editions of Windows Server 2008 and Windows Server 2008 R2.

MS10-007 - Critical: Vulnerability in Windows Shell Handler Could Allow Remote Code Execution (975713)

Microsoft Security Bulletins le mardi 9 février 2010 09:00

Bulletin Severity Rating:Critical - This security update resolves a privately reported vulnerability in Microsoft Windows 2000, Windows XP, and Windows Server 2003. Other versions of Windows are not impacted by this security update. The vulnerability could allow remote code execution if an application, such as a Web browser, passes specially crafted data to the ShellExecute API function through the Windows Shell Handler.

MS10-003 - Important: Vulnerability in Microsoft Office (MSO) Could Allow Remote Code Execution (978214)

Microsoft Security Bulletins le mardi 9 février 2010 09:00

Bulletin Severity Rating:Important - This security update resolves a privately reported vulnerability in Microsoft Office that could allow remote code execution if a user opens a specially crafted Office file. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

MS10-014 - Important: Vulnerability in Kerberos Could Allow Denial of Service (977290)

Microsoft Security Bulletins le mardi 9 février 2010 09:00

Bulletin Severity Rating:Important - This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow denial of service if a specially crafted ticket renewal request is sent to the Windows Kerberos domain from an authenticated user on a trusted non-Windows Kerberos realm. The denial of service could persist until the domain controller is restarted.

MS10-009 - Critical: Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (974145)

Microsoft Security Bulletins le mardi 9 février 2010 09:00

Bulletin Severity Rating:Critical - This security update resolves four privately reported vulnerabilities in Microsoft Windows. The most severe of these vulnerabilities could allow remote code execution if specially crafted packets are sent to a computer with IPv6 enabled. An attacker could try to exploit the vulnerability by creating specially crafted ICMPv6 packets and sending the packets to a system with IPv6 enabled. This vulnerability may only be exploited if the attacker is on-link.

MS10-013 - Critical: Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (977935)

Microsoft Security Bulletins le mardi 9 février 2010 09:00

Bulletin Severity Rating:Critical - This security update resolves a privately reported vulnerability in Microsoft DirectShow. The vulnerability could allow remote code execution if a user opened a specially crafted AVI file. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

MS10-010 - Important: Vulnerability in Windows Server 2008 Hyper-V Could Allow Denial of Service (977894)

Microsoft Security Bulletins le mardi 9 février 2010 09:00

Bulletin Severity Rating:Important - This security update resolves a privately reported vulnerability in Windows Server 2008 Hyper-V and Windows Server 2008 R2 Hyper-V. The vulnerability could allow denial of service if a malformed sequence of machine instructions is run by an authenticated user in one of the guest virtual machines hosted by the Hyper-V server. An attacker must have valid logon credentials and be able to log on locally into a guest virtual machine to exploit this vulnerability. The vulnerability could not be exploited remotely or by anonymous users.

MDVSA-2010:056: openoffice.org

Mandriva Security le jeudi 11 mars 2010 13:38

This update provides the OpenOffice.org 3.0 major version and holds
the security fixes for the following issues:

An integer underflow might allow remote attackers to execute arbitrary
code via crafted records in the document table of a Word document
leading to a heap-based buffer overflow (CVE-2009-0200).

An heap-based buffer overflow might allow remote attackers to execute
arbitrary code via unspecified records in a crafted Word document
related to table parsing. (CVE-2009-0201).

Multiple heap-based buffer overflows allow remote attackers to execute
arbitrary code via a crafted EMF+ file (CVE-2009-2140).

OpenOffice's xmlsec uses a bundled Libtool which might load .la
file in the current working directory allowing local users to gain
privileges via a Trojan horse file. For enabling such vulnerability
xmlsec has to use --enable-crypto_dl building flag however it does
not, although the fix keeps protected against this threat whenever
that flag had been enabled (CVE-2009-3736).

Additional packages are also being provided due to dependencies.

Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.

MDVA-2010:096-1: mmc-wizard

Mandriva Security le jeudi 11 mars 2010 13:38

Revert third party integration for now as some issues were discovered.

Update:

The mmc-wizard-1.0-13.10mdvmes5 update packages brought new
unresolved dependancies wich prevented it from installing using
MandrivaUpdate. This advisory resolves this problem by providing the
missing packages.

MDVSA-2010:060: squid

Mandriva Security le jeudi 11 mars 2010 13:38

A vulnerability has been found and corrected in squid:

The htcpHandleTstRequest function in htcp.c in Squid 2.x and 3.0
through 3.0.STABLE23 allows remote attackers to cause a denial of
service (crash) via crafted packets to the HTCP port, which triggers
a NULL pointer dereference (CVE-2010-0639).

Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.

The updated packages have been patched to correct this issue.

MDVA-2010:098: urpmi

Mandriva Security le jeudi 11 mars 2010 13:38

Fix packages signature management when a package is in 2
sub-repositories same version but different signature. This problem
occured when local media were used.

MDVSA-2010:057: apache

Mandriva Security le jeudi 11 mars 2010 13:38

A vulnerabilitiy has been found and corrected in apache:

The ap_read_request function in server/protocol.c in the Apache HTTP
Server 2.2.x before 2.2.15, when a multithreaded MPM is used, does
not properly handle headers in subrequests in certain circumstances
involving a parent request that has a body, which might allow remote
attackers to obtain sensitive information via a crafted request that
triggers access to memory locations associated with an earlier request
(CVE-2010-0434).

Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.

The updated packages have been patched to correct this issue.

MDVSA-2010:058: php

Mandriva Security le jeudi 11 mars 2010 13:38

Multiple vulnerabilities has been found and corrected in php:

* Improved LCG entropy. (Rasmus, Samy Kamkar)
* Fixed safe_mode validation inside tempnam() when the directory
path does not end with a /). (Martin Jansen)
* Fixed a possible open_basedir/safe_mode bypass in the session
extension identified by Grzegorz Stachowiak. (Ilia)

Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.

The updated packages have been patched to correct these issues.

MDVA-2010:099: foomatic-db

Mandriva Security le jeudi 11 mars 2010 13:38

There was a regression in certain versions of foomatic-rip 3 and 4,
which has since been fixed. As a result, old versions fail the LSB
printing tests.

This advisory updates foomatic-db to 4.0 that passes the LSB tests
and also provides various updated printing softwares and drivers.

MDVSA-2010:059: virtualbox

Mandriva Security le jeudi 11 mars 2010 13:38

A vulnerability has been found and corrected in virtualbox:

Unspecified vulnerability in Guest Additions in Sun xVM VirtualBox
1.6.x and 2.0.x before 2.0.12, 2.1.x, and 2.2.x, and Sun
VirtualBox before 3.0.10, allows guest OS users to cause a denial
of service (memory consumption) on the guest OS via unknown vectors
(CVE-2009-3940).

Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.

The updated packages have been patched to correct this issue.

MDVA-2010:097: nulog

Mandriva Security le jeudi 11 mars 2010 13:38

Add a buildrequire on python-twisted-core to get rid of a file deps
on /usr/bin/twistd

MDVA-2010:096: mmc-wizard

Mandriva Security le jeudi 11 mars 2010 13:38

Revert third party integration for now as some issues were discovered.

Forums des Aliciens (Alice et AliceBox)

Modules

Annuaire

En ligne aujourd'hui

Top posters

Les meilleurs logiciels

S'identifier

Recherche

Liens partenaires

Actuellement en ligne

Lecteur RSS

Best of Chat

Canonical Webinars to Highlight Untapped Market Potential for ISVs

Page footer