20/04/2010
Alistair Crooks vient de nous annoncer la sortie de la branche 2010Q1 de pkgsrc.
Parmi les nouvelles versions de paquetages, nous trouvons :
- apache-2.2.15
- bzr-2.0.3
- firefox-3.6.3
- git-1.6.6.2 (scmgit dans pkgsrc)
- gnome-2.28.1
- kde-4.3.5
- mercurial-1.5.1
- mysql-5.1.44nb2
- openoffice-3.1.1 et openoffice-bin-3.2.0
- perl-5.10.1
- postgresql-8.3.9nb2 et postgresql-8.4.2
- python-2.5.4nb5 et python-2.6.4nb4
- ruby-1.8.7.174nb4
- samba-3.3.12
- seamonkey-2.0.4
- subversion-1.6.9nb1
- wireshark-1.2.7
- zope-3.3.1
Des paquetages trop anciens ont naturellement quitté pkgsrc tels que php4, les JDK et JRE 1.4 et 1.5 de Sun, ISC dhcp 3.x, etc.
Le prix du « paquetage du trimestre » a été attribué à qemu et samba33.
Le nombre de paquetages est ainsi passé de 9100 à 9315 et la transition à DESTDIR est presque terminée.
Comme d’habitude, pkgsrc-2010Q1 est téléchargeable par FTP ou par CVS via le tag pkgsrc-2010Q1.
19/03/2010
Nous vous en parlions un mois plus tôt, c’est maintenant chose faite, le projet NetBSD a été accepté comme organisation pour le Google Summer of Code 2010.
À partir de maintenant, les étudiants intéressés ont une dizaine de jours pour discuter des projets avec les organisations admises au GSoC 2010. Ils pourront ensuite mettre en place leur(s) candidature(s) pour le(s) projet(s) de leur choix.
Si vous êtes étudiant, intéressé par le projet NetBSD et que vous avez le temps nécessaire cet été, vous pouvez d’ores et déjà discuter des projets NetBSD avec l’équipe de développeurs NetBSD.
23/02/2010
Surtout Hubert Feyrer qui a déjà publié un billet conséquent à ce propos sur son blog.
Pour rappel, Google Summer of Code est un événement annuel de soutien au logiciel libre organisé par Google. Il consiste en la rémunération d’étudiants par Google pendant l’été pour qu’ils contribuent à des projets libres importants.
Depuis le début des GSoC, en 2005, NetBSD participe chaque année en assignant des projets liés à NetBSD et des mentors, qui sont des développeurs officiels NetBSD, à des étudiants.
Cet événement a toujours porté ses fruits et a été l’occasion pour nombre d’étudiants de montrer leurs compétences sur des projets de logiciel libre de grande ampleur et d’obtenir, pour certains, le @ si prestigieux. C’est pourquoi il y a de grandes chances que NetBSD participe de nouveau cette année.
Aussi, le site web de GSoC 2010 est déjà en place. On y trouve notamment la timeline, indiquant entre autres la période de candidature des organisations proposant des projets de logiciel libre, du 8 au 12 mars et la période de candidature des étudiants, du 29 mars au 9 avril.
Pour en revenir à Hubert Feyrer, il décrit sur son billet un projet qu’il propose pour GSoC 2010. Le but de ce projet est d’améliorer le pilote de cryptographie swcrypto, notamment l’accélération matérielle des opérations de cryptographie. Ce travail reposera sur opencrypto(9), un framework utilisé tant bien par les applications en espace noyau (comme fast_ipsec(4)) que par les applications en espace utilisateur (comme OpenSSL).
Les étudiants motivés pour contribuer à NetBSD par l’entremise du GSoC 2010 peuvent dès à présent suivre la préparation de l’événement et préparer leur candidature en consultant la page GSoC de NetBSD et ses idées de projets.
3/02/2010
Un bulletin de sécurité concernant une faille de sécurité présente dans les pilotes audio azalia(4) et hdaudio(4) vient d’être publié.
Toutes les versions de NetBSD encore maintenues jusqu’à NetBSD-current du 21/01/2010 sont affectées mais ont été corrigées depuis.
La cause de la vulnérabilité est un entier considéré à tort comme étant non signé. Un utilisateur ayant accès au mixer audio peut alors spécifier une valeur négative et causer un kernel panic.
Les systèmes vulnérables sont ceux ayant l’un de ces deux pilotes chargé.
Pour corriger le problème, il faut télécharger depuis CVS les sources corrigées du noyau (sys/dev/pci/azalia.c et sys/dev/pci/hdaudio/hdaudio_afg.c suffisent) et le recompiler.
Pour plus de détails, se référer au bulletin de sécurité.
20/01/2010
Afin d’améliorer la politique de sécurité du système par défaut, Julio Merino (jmmv@) a modifié les scripts /etc/daily et /etc/security pour qu’ils effectuent des contrôles de sécurité (via pkg_admin(1)) des paquetages installés.
Le script /etc/daily effectue dorénavant la mise à jour de la base de données de vulnérabilités des paquetages (pkg_admin fetch-pkg-vulnerabilities). Voir le diff pour plus de précisions.
Le script /etc/security effectue dorénavant les contrôles de vulnérabilité et d’intégrité des paquetages (pkg_admin audit et pkg_admin check). Voir le diff pour plus de précisions.
/etc/daily est un script exécuté périodiquement par la crontab par défaut de root. /etc/security est exécuté par /etc/daily. Aussi, les contrôles de sécurité des paquetages seront assurés automatiquement et périodiquement par le système, et cela par défaut.
Ces changements sont présents dans NetBSD-current.
13/01/2010
Deux failles de sécurité ont récemment été découvertes dans NetBSD. Si vous avez un système vulnérable en production, vous êtes vivement encouragés à effectuer les mises à jour nécessaires.
Déni de service via le chargement automatique du module du système de fichiers
Une erreur dans le code de VFS permet à un attaquant local de faire crasher le système en passant un pointeur foireux en tant que nom de système de fichiers à l’appel système mount(2).
Uniquement NetBSD 5.0, NetBSD 5.0.1 et NetBSD-current jusqu’au 19/12/2009 20:28:27 sont affectés. Pour corriger le problème, il faut compiler et installer un nouveau noyau depuis CVS.
Consultez le bulletin de sécurité pour plus de détails.
Attaque de type Man-in-the-Middle via la renégociation de session TLS OpenSSL
Une erreur d’OpenSSL dans la renégociation de session TLS permet à un attaquant distant d’intercepter la communication et de mener une attaque Man-in-the-Middle sur les sessions TLS.
NetBSD 4, NetBSD 5 et NetBSD-current jusqu’au 04/12/2009 sont affectés. Pour corriger le problème, il faut recompiler de nouveaux binaires OpenSSL depuis CVS.
Consultez le bulletin de sécurité pour plus de détails.
12/01/2010
BSD magazine sortira dorénavant tous les mois en ligne et gratuitement ! Voilà une bonne nouvelle qui en ravira plus d’un.
Cette version en ligne promet de rester d’aussi bonne qualité que la version papier.
Les anciens numéros qui étaient déjà accessibles en ligne le restent bien évidemment.
On peut s’inscrire à la newsletter pour obtenir les nouveaux numéros directement dans sa boîte aux lettres électronique.
Le premier numéro en ligne sera le prochain : celui de février 2010 !
Derniers commentaires