Le mois de septembre a été très rempli. Comme je n'ai pas eu l'opportunité de publier des articles, voici une liste de sujets d'actualité du mois de septembre.
Vulnérabilité d'exécution de code à distance pour bash (CVE-2014-6271)
Une vulnérabilité sévère a été annoncée dans l'interpréteur de commandes bash. La plupart des distributions ont publiés une annonce de sécurité pour informer à leurs utilisateurs sur la procédure pour corriger cette vulnérabilité. Il est recommandé de mettre à jour ce paquet à la dernière version le plus rapidement possible. Pour éviter que des services utilisant les fonctionnalités CGI exploitent la faille, l'utilisation d'un pare-feu d'application web est fortement recommandé.
Selon Florian Wiemer et Stéphane Chazelas, la vulnérabilité est causée par la façon dont bash utilise les variables d'environnement pour propager les définitions de fonctions à travers l'environnement. Un attaquant pourrait faire un appel arbitraire à un programme binaire à partir de l'extérieur, ce qui permettrait une exécution de code à distance ou un déni de service.
Vous voulez en savoir plus?
Debian.org - Alerte de sécurité Debian #3032
Lancement de Fedora 21 Alpha
La version Alpha de Fedora 21 a été lancée hier. F21 sera divisé en différents "produits": Feodra Cloud, Feodra Server et Fedora Workstation. Ces versions vont évidemment puiser leurs paquets à partir du même dépot de logiciels, mais les paquets installés par défauts seront différents pour mieux refléter les différents besoins.
J'ai essayé F21 Workstation rapidement avec le disque live, histoire de prendre quelques captures d'écrans et de voir comment Gnome 3.14 progresse. Je ne suis pas un grand fan de Gnome mais j'ai toujours trouvé l'intégration avec Fedora très bien effectuée. Je suis assez confiant que F21 sera une solide lors de sa sortie.
J'espère toutefois que l'équipe en charge de l'installeur graphique Anaconda travaillerons sur la stabilité du logiciel. En effet, j'ai eu quelques problèmes lors de la configuration des partitions sur Centos 7 la semaine dernière. Les crashs d'Anaconda forçaient un redémmarrage complet du système...
Pour ceux qui n'attendent que les captures d'écrans, régalez-vous!
Vous voulez en savoir plus?
Fedoraproject.org - Annonce du lancement
Perte de données clients chez Home Depot
La semaine dernière, Home Depot a publié une annonce à l'intention des médias à propos des rumeurs de brèche de sécurité dans les systèmes de paiements de la compagnie au Canada et aux États-Unis. Home Depot confirme que des criminels auraient mis la main sur "approximativement" 56 millions de numéros de cartes entre avril et septembre 2014.
Les canadiens qui utilisent le système de puce + NIP pourraient ne pas être affectés. Toutefois, il n'y a pas de confirmation. Les clients américains ne sont pas aussi chanceux puisque les cartes magnétiques sont facilement clonables. Les cartes à puces sont beaucoup moins répandues aux États-Unis et plusieurs compagnies (dont Home Depot) n'offrent pas des terminaux de ventes acceptants les cartes à puces dans toutes leurs succursales. N'oubliez pas de vérifier vos transactions bancaires.
Combien de brèches de ce genre est-ce que ça prendra pour que les autorités se mettent à punir la culture corporative irresponsable? Il semble que de plus en plus de brèches arrivent chaque années.
Vous voulez en savoir plus?
Annonce d'Home Depot (fichier PDF)
Vim en tant que Pid 1
Alors voilà quelque chose d'intéressant! Je me souviens d'avoir lu un article il y a quelques temps où l'auteur avait configuré emacs pour rouler comme /sbin/init
. Je suis toutefois un incorruptible utilisateur de Vi(m). J'imagine qu'avoir Vim comme processus initial pourrait être utile dans le future quand tous les appareils ménagers seront pourvus de microprocesseurs et que pour une raison, seule la machine à café sera à portée de la main pour coder.
Selon Remy van Elst, il suffit simplement de compiler Vim en mode statique et le placer comme processus init. Dans son guide, il utilise Tiny Core Linux, une distribution très compacte du kernel Linux avec Busybox.