Forums des Aliciens (Alice et AliceBox)
Le Portail de la communauté des utilisateurs du fournisseur d'acces internet Alice et Alicebox
Vous n'êtes pas identifié.
En ligne aujourd'hui
Aucun
Top posters
- promethee (1506)
- Chris (1181)
- ppahv (899)
- corigan66 (797)
- willemijns (731)
- GouRGuS (722)
- brimborion (320)
- icemaker2 (226)
- Syl_vain (201)
- sub13 (175)
Les meilleurs logiciels
S'identifier
Liens partenaires
Actuellement en ligne
- Invités en ligne : 14
- Membres en ligne : 0
Lecteur RSS
DLFP - Dépêches de page principale
- Sortie de Seeks stable 0.2
- XMP PHP Toolkit, RBS Change 3.0 et Mozilla Weave
- Revue de presse de l'April pour la semaine 9
- Buildroot 2010.02 est sorti !
- Rapport Fourgous sur les TICE : reconnaissance partielle des apports du libre à l'éducation
Sécurité Debian
Mandriva Security
- MDVSA-2010:058: php
- MDVA-2010:098: urpmi
- MDVA-2010:096-1: mmc-wizard
- MDVSA-2010:057: apache
- MDVSA-2010:056: openoffice.org
Ubuntu - news, usn
- USN-907-1: gnome-screensaver vulnerabilities
- USN-906-1: CUPS vulnerabilities
- Canonical Webinars to Highlight Untapped Market Potential for ISVs
- USN-905-1: sudo vulnerabilities
- USN-904-1: Squid vulnerability
Microsoft Security Bulletins
- MS10-016 - Important: Vulnerability in Windows Movie Maker Could Allow Remote Code Execution (975561)
- MS10-017 - Important: Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (980150)
- MS10-009 - Critical: Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (974145)
- MS10-003 - Important: Vulnerability in Microsoft Office (MSO) Could Allow Remote Code Execution (978214)
- MS10-007 - Critical: Vulnerability in Windows Shell Handler Could Allow Remote Code Execution (975713)
Best of Chat
internet et le web
Cisco devait changer Internet, il lance finalement un routeur : CRS-3
ZDNet News le mardi 9 mars 2010 19:03
Prenant comme postulat le développement continu des usages sur Internet, dont celui gourmand en bande passante de la vidéo, l'explosion de l'Internet mobile et l'arrivée de nouveaux terminaux comme l'iPad, Cisco propose aux opérateurs et FAI sa solution réseaux à très haut débit. 
Sortie de Seeks stable 0.2
DLFP - Dépêches de page principale le mardi 9 mars 2010 16:39
Seeks est un méta moteur de recherche libre (AGPL), sous forme de serveur mandataire (proxy) HTTP. Il est déployable aussi bien en tant que moteur public que sur machine personnelle.
La version 0.2 est la première véritable version livrée de Seeks. Elle comprend plusieurs nouveaux outils pour la recherche en ligne, comme l'analyse de similarité des résultats, le regroupement automatique des résultats, et par type.
Seeks repose sur une architecture ouverte dont le but est de permettre la reprise en main par les utilisateurs de la recherche sur le Web. Aujourd'hui il est possible à chacun de monter son propre noeud ou d'utiliser des noeuds publics pour l'anonymat de ses requêtes.
Les versions à venir mettront en place un réseau pair-à-pair permettant l'interconnexion des noeuds Seeks. Cette interconnexion permettra de regrouper en temps réel entre eux les utilisateurs effectuant des requêtes similaires.
Sur cette base Seeks permettra l'émergence d'un véritable moteur décentralisé, avec un contrôle continu et collaboratif des utilisateurs sur les résultats et leurs données. Au final, Seeks cherche à promouvoir la transparence des algorithmes et l'égalité des contenus sur le Web dans leur traitement par les moteurs de recherche.
lien 1 : Page du projet
lien 2 : Liste des noeuds publics
lien 3 : Captures d'écran
lien 4 : Version 0.2 chez Sourceforge
lien 5 : Monter son propre noeud
La version 0.2 est la première véritable version livrée de Seeks. Elle comprend plusieurs nouveaux outils pour la recherche en ligne, comme l'analyse de similarité des résultats, le regroupement automatique des résultats, et par type.
Seeks repose sur une architecture ouverte dont le but est de permettre la reprise en main par les utilisateurs de la recherche sur le Web. Aujourd'hui il est possible à chacun de monter son propre noeud ou d'utiliser des noeuds publics pour l'anonymat de ses requêtes.
Les versions à venir mettront en place un réseau pair-à-pair permettant l'interconnexion des noeuds Seeks. Cette interconnexion permettra de regrouper en temps réel entre eux les utilisateurs effectuant des requêtes similaires.
Sur cette base Seeks permettra l'émergence d'un véritable moteur décentralisé, avec un contrôle continu et collaboratif des utilisateurs sur les résultats et leurs données. Au final, Seeks cherche à promouvoir la transparence des algorithmes et l'égalité des contenus sur le Web dans leur traitement par les moteurs de recherche.
lien 1 : Page du projet
lien 2 : Liste des noeuds publics
lien 3 : Captures d'écran
lien 4 : Version 0.2 chez Sourceforge
lien 5 : Monter son propre noeud
Une première évaluation conteste l’efficacité de la loi Hadopi
ZDNet News le mardi 9 mars 2010 15:03
D'après une étude conduite par des chercheurs français, 15% d'utilisateurs du P2P y ont renoncé suite au vote d'Hadopi. Mais dans les faits le téléchargement s'est simplement reporté sur le streaming et l'hébergement de fichiers comme Rapidshare. En outre, les "pirates" seraient les premiers acheteurs de contenus légaux.
Les DRM d’Ubisoft suscitent la grogne des joueurs et déclenchent une attaque
ZDNet News le mardi 9 mars 2010 12:03
Des joueurs d'Assassin's Creed 2 et Silent Hunter 5 n'ont pu lancer leur jeu lundi 8 mars en raison d'une attaque informatique contre le système d'authentification, une technologie de DRM mise en place par Ubisoft pour empêcher le piratage.
E-commerce : la France fera mieux que l'Europe dans les 4 prochaines années
ZDNet News le mardi 9 mars 2010 12:03
Selon les calculs de Forrester, les ventes sur Internet devraient progresser en moyenne de 13% par an. C'est mieux que la moyenne européenne et américaine.
Publicité : Internet dépasse la presse papier aux USA
ZDNet News le mardi 9 mars 2010 10:03
Selon une étude, le basculement aura lieu cette année. Une première historique qui illustre le nouveau comportement des annonceurs.
MS10-017 - Important: Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (980150)
Microsoft Security Bulletins le mardi 9 mars 2010 09:00
Bulletin Severity Rating:Important - This security update resolves seven privately reported vulnerabilities in Microsoft Office Excel. The vulnerabilities could allow remote code execution if a user opens a specially crafted Excel file. An attacker who successfully exploited any of these vulnerabilities could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
MS10-016 - Important: Vulnerability in Windows Movie Maker Could Allow Remote Code Execution (975561)
Microsoft Security Bulletins le mardi 9 mars 2010 09:00
Bulletin Severity Rating:Important - This security update addresses a privately reported vulnerability in Windows Movie Maker and Microsoft Producer 2003. Windows Live Movie Maker, which is available for Windows Vista and Windows 7, is not affected by this vulnerability. The vulnerability could allow remote code execution if an attacker sent a specially crafted Movie Maker or Microsoft Producer project file and persuaded the user to open the specially crafted file. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Sondage : Internet est un droit fondamental pour 4 personnes sur 5
ZDNet News le mardi 9 mars 2010 07:03
Le BBC World Service a réalisé un sondage mondial auprès de 27 000 personnes : 79% des sondés considèrent l'accès à Internet comme un droit fondamental et un peu plus de la moitié rejettent toute idée de régulation.
XMP PHP Toolkit, RBS Change 3.0 et Mozilla Weave
DLFP - Dépêches de page principale le lundi 8 mars 2010 21:18
XMP PHP Toolkit
XMP PHP Toolkit est une extension PHP5, basée sur le Xmp Toolkit d'Adobe, permettant de lire ou écrire dans les métadonnées d'un fichier multimédia. Cette extension est proposée en licence GPLv3.
Cette extension permet au sein de php de disposer des classes XMP d'Adobe et de leurs méthodes afin de lire, modifier, extraire les métadonnées XMP d'une multitude de fichiers multimédia. Très utilisé par les photographes dans les fichiers jpeg par exemple, ce format peut aussi être inclus dans les entêtes mp3, wav, avi, mpeg... et bien entendu tous les formats Adobe ( pdf, flv, psd ... ).
Vous pourrez donc au sein de votre application php5, ouvrir ce genre de fichier, en extraire les métadonnées et les indexer comme vous le voulez.
Cette extension vient de paraître dans sa version 1.0, et a été testée sous système debian, debian 64bits, et FreeBSD.
RBS Change 3.0 allie gestion de contenu et e-Commerce
L'éditeur RBS Software vient de rendre disponible la première solution de gestion de contenu web qui inclut des fonctionnalités e-commerce, parmi lesquelles :
50 options sont disponibles pour enrichir les sites web de blogs, forums, e-mailing, galerie photos, actualités, ou autres. Parmi les options payantes, on retrouve la gestion personnalisée des animations commerciales en fonction des habitudes d'achat des visiteurs, identifiés et segmentés, une interconnexion avec l'ERP de l'entreprise, des API web services, l'e-mailing, les ventes croisées, la proposition de coupons de remise et des statistiques complètes. Une démonstration est disponible sur le site http://www.rbschange.fr
Petit tutoriel pour l'installation de Mozilla Weave
La version finale du serveur Weave de Mozilla (estampillée 1.0) a été enfin livrée fin 2009 après plus de 2 ans d'attente. Rappellez-vous, on en parlait déjà ici en janvier 2008 (déjà 2 ans !). La gestation a été lente mais le résultat est à la hauteur et semble très prometteur !
Pour rappel, l'extension Firefox Weave permet la synchronisation de votre profil Firefox (marque-pages, mots de passe enregistrés, historique de navigation, onglets ouverts...) entre plusieurs machines distantes ou téléphone portable (l'extension existe pour le navigateur Firefox mobile). Les données sont stockées chiffrées sur un serveur distant et sont protégées par un login et un mot de passe. Après plusieurs semaines de tests client et serveur, les premières impressions sont plutôt bonnes et les mises à jour régulières. L'extension vient de passer en version 1.1 après quelques semaines.
Pour aider les personnes désirant installer la partie serveur de cette solution sur un serveur privé (Mozilla propose ses propres serveurs mais ils ont connus quelques problèmes), vous trouverez un dossier assez détaillé sur l'installation de Weave Sync et Weave Registration qui sont les composants principaux de Weave Server.
Notez que les pré-requis d'une telle installation sont assez traditionnels : Apache, MySQL et PHP. Aucun module spécifique d'Apache n'est demandé mais il faut reconnaître que l'installation est assez peu documentée et surtout pas en français ! Espérons, à terme, une version toute prête pour les principales distributions GNU/Linux.
Cepe ALSH disponible au téléchargement en version bêta
L'équipe de Cévennes Libres est heureuse de vous faire savoir que la version 0.5 du logiciel libre Cepe-ALSH est disponible au téléchargement sur le site : http://cepealsh.org. Cepe-ALSH est une solution libre et gratuite de gestion d'accueil de loisirs adaptée aux associations et aux collectivités territoriales.
Cette version est une version bêta (ne pas utiliser en production), elle est destinée à confronter les utilisateurs au logiciel dans le but de la faire évoluer. Plus la communauté sera grande, meilleur sera le logiciel. Pour ceux qui souhaitent contribuer activement au projet, la forge de Cévennes Libres (où vous trouverez les sources de Cepe ALSH) se trouvent à l'adresse suivante : http://cevenlibres.no-ip.org/
Cévennes Libres annonce travailler sur le développement de trois nouveaux modules : crèche, ludothèque et gestion de la restauration. L'association recherche des partenaires pour participer à l'analyse et au développement.
NdM : Merci à LORY, darkus et cevenneslibres de nous avoir fait part des sorties respectives de RBS Change 3.0, XMP PHP Toolkit et Cepe ALSH.
lien 1 : XMP Php Toolkit Extension Homepage
lien 2 : Communauté utilisateurs
lien 3 : Installation de Weave Server
lien 4 : Dossier Weave Server
lien 5 : Mozilla Labs, Weave Server
lien 6 : Cepe ALSH
XMP PHP Toolkit est une extension PHP5, basée sur le Xmp Toolkit d'Adobe, permettant de lire ou écrire dans les métadonnées d'un fichier multimédia. Cette extension est proposée en licence GPLv3.
Cette extension permet au sein de php de disposer des classes XMP d'Adobe et de leurs méthodes afin de lire, modifier, extraire les métadonnées XMP d'une multitude de fichiers multimédia. Très utilisé par les photographes dans les fichiers jpeg par exemple, ce format peut aussi être inclus dans les entêtes mp3, wav, avi, mpeg... et bien entendu tous les formats Adobe ( pdf, flv, psd ... ).
Vous pourrez donc au sein de votre application php5, ouvrir ce genre de fichier, en extraire les métadonnées et les indexer comme vous le voulez.
Cette extension vient de paraître dans sa version 1.0, et a été testée sous système debian, debian 64bits, et FreeBSD.
RBS Change 3.0 allie gestion de contenu et e-Commerce
L'éditeur RBS Software vient de rendre disponible la première solution de gestion de contenu web qui inclut des fonctionnalités e-commerce, parmi lesquelles :
- Une gestion multi-catalogues ;
- La gestion des promotions ;
- Le paiement sécurisé ;
- L'animation commerciale ;
- La fidélisation client ;
- L'analyse avec Google Analytics E-commerce.
50 options sont disponibles pour enrichir les sites web de blogs, forums, e-mailing, galerie photos, actualités, ou autres. Parmi les options payantes, on retrouve la gestion personnalisée des animations commerciales en fonction des habitudes d'achat des visiteurs, identifiés et segmentés, une interconnexion avec l'ERP de l'entreprise, des API web services, l'e-mailing, les ventes croisées, la proposition de coupons de remise et des statistiques complètes. Une démonstration est disponible sur le site http://www.rbschange.fr
Petit tutoriel pour l'installation de Mozilla Weave
La version finale du serveur Weave de Mozilla (estampillée 1.0) a été enfin livrée fin 2009 après plus de 2 ans d'attente. Rappellez-vous, on en parlait déjà ici en janvier 2008 (déjà 2 ans !). La gestation a été lente mais le résultat est à la hauteur et semble très prometteur !
Pour rappel, l'extension Firefox Weave permet la synchronisation de votre profil Firefox (marque-pages, mots de passe enregistrés, historique de navigation, onglets ouverts...) entre plusieurs machines distantes ou téléphone portable (l'extension existe pour le navigateur Firefox mobile). Les données sont stockées chiffrées sur un serveur distant et sont protégées par un login et un mot de passe. Après plusieurs semaines de tests client et serveur, les premières impressions sont plutôt bonnes et les mises à jour régulières. L'extension vient de passer en version 1.1 après quelques semaines.
Pour aider les personnes désirant installer la partie serveur de cette solution sur un serveur privé (Mozilla propose ses propres serveurs mais ils ont connus quelques problèmes), vous trouverez un dossier assez détaillé sur l'installation de Weave Sync et Weave Registration qui sont les composants principaux de Weave Server.
Notez que les pré-requis d'une telle installation sont assez traditionnels : Apache, MySQL et PHP. Aucun module spécifique d'Apache n'est demandé mais il faut reconnaître que l'installation est assez peu documentée et surtout pas en français ! Espérons, à terme, une version toute prête pour les principales distributions GNU/Linux.
Cepe ALSH disponible au téléchargement en version bêta
L'équipe de Cévennes Libres est heureuse de vous faire savoir que la version 0.5 du logiciel libre Cepe-ALSH est disponible au téléchargement sur le site : http://cepealsh.org. Cepe-ALSH est une solution libre et gratuite de gestion d'accueil de loisirs adaptée aux associations et aux collectivités territoriales.
Cette version est une version bêta (ne pas utiliser en production), elle est destinée à confronter les utilisateurs au logiciel dans le but de la faire évoluer. Plus la communauté sera grande, meilleur sera le logiciel. Pour ceux qui souhaitent contribuer activement au projet, la forge de Cévennes Libres (où vous trouverez les sources de Cepe ALSH) se trouvent à l'adresse suivante : http://cevenlibres.no-ip.org/
Cévennes Libres annonce travailler sur le développement de trois nouveaux modules : crèche, ludothèque et gestion de la restauration. L'association recherche des partenaires pour participer à l'analyse et au développement.
NdM : Merci à LORY, darkus et cevenneslibres de nous avoir fait part des sorties respectives de RBS Change 3.0, XMP PHP Toolkit et Cepe ALSH.
lien 1 : XMP Php Toolkit Extension Homepage
lien 2 : Communauté utilisateurs
lien 3 : Installation de Weave Server
lien 4 : Dossier Weave Server
lien 5 : Mozilla Labs, Weave Server
lien 6 : Cepe ALSH
Revue de presse de l'April pour la semaine 9
DLFP - Dépêches de page principale le lundi 8 mars 2010 21:12
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire de la revue de presse de l'April pour la semaine 9
(...)
Sommaire de la revue de presse de l'April pour la semaine 9
- [lequotidien.editpress.lu] On n'arrête pas le progrès
- [pro.01net.com] Europe 2020, cap sur les TIC
- [lemondeinformatique.fr] Les entreprises de Rhône-Alpes s'unissent autour du logiciel libre
- [tekiano.com] Tunisie-Logiciel Libre : Pas assez cher, mon fils !
- [journaldunet.com] Novell ciblé par une OPA hostile de 2 milliards de dollars
- [pcinpact.com] HADOPI : l'offre légale et le logiciel de sécurisation se font labels
- [toolinux.com] En France, 1.4% des visites de sites web se font sous Linux
- [monde-diplomatique.fr] Traité secret sur l'immatériel
- [wikimedia.fr] Appréhender la véritable taille de Wikipédia
- [Framablog] Vous utilisez l'open source ? Vous êtes un ennemi de la nation !
- [pcinpact.com] Charlie Miller, vainqueur du Pwn2Own : « N'installez pas Flash »
- [opendotdotdot] Which Licence for Open Source Digital Voting?
- [numerama.com] Bruxelles organisera un tour de table sur l'ACTA le 22 mars prochain
- [zdnet.fr] La France disposerait de deux négociateurs à l'ACTA
- [programmez.com] J-15 : Salon Solutions Linux/Open Source 12e édition
(...)
USN-907-1: gnome-screensaver vulnerabilities
Ubuntu - news, usn le lundi 8 mars 2010 15:31
Referenced CVEs:
CVE-2010-0285, CVE-2010-0422
Description:
===========================================================
Ubuntu Security Notice USN-907-1 March 08, 2010
gnome-screensaver vulnerabilities
CVE-2010-0285, CVE-2010-0422
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 8.10:
gnome-screensaver 2.24.0-0ubuntu2.1
Ubuntu 9.04:
gnome-screensaver 2.24.0-0ubuntu6.1
Ubuntu 9.10:
gnome-screensaver 2.28.0-0ubuntu3.5
After a standard system upgrade you need to restart your session to effect
the necessary changes.
Details follow:
It was discovered that gnome-screensaver did not correctly lock all screens
when monitors get hotplugged. An attacker with physical access could use
this flaw to gain access to a locked session. (CVE-2010-0285)
It was discovered that gnome-screensaver did not correctly handle keyboard
grab when monitors get hotplugged. An attacker with physical access could
use this flaw to gain access to a locked session. This issue only affected
Ubuntu 9.10. (CVE-2010-0422)
Comment l'armée française gère l'accès aux réseaux sociaux ?
ZDNet News le lundi 8 mars 2010 15:03
En France, l'accès des soldats à l'Internet est libre sous condition de respecter le devoir de réserve et de discrétion prévus par le Code de la défense. L'armée française réfléchit, à l'opportunité de se doter d'un réseau social sur l'intranet du ministère de la Défense.
Hadopi : le décret relatif aux données personnelles publié au JO
ZDNet News le lundi 8 mars 2010 12:03
Le décret définissant la nature des données personnelles collectées par les ayants droits et les FAI, ainsi que leur durée de conservation par la Hadopi, a été publié au Journal Officiel. Ces informations seront archivées durant 20 mois lorsqu'une lettre recommandée a été envoyé à l'abonné.
Affaire Google : la Chine se dit prête à punir les pirates
ZDNet News le lundi 8 mars 2010 08:03
Pour cela, les autorités chinoises attendent que Google leur fournisse la preuve formelle du piratage dont le moteur de recherche se dit victime.
Buildroot 2010.02 est sorti !
DLFP - Dépêches de page principale le lundi 8 mars 2010 07:02
Buildroot est un outil permettant la construction de systèmes Linux embarqués. Il automatise le processus de téléchargement, configuration, compilation et installation de tous les composants d'un système Linux embarqué : chaîne de compilation croisée, chargeur de démarrage, noyau, système de fichiers racine avec BusyBox, bibliothèques graphiques, réseau, multimédia, etc.
Utilisant le même système de configuration que celui du noyau, Buildroot permet de générer un système embarqué adapté à vos besoins. Il permet de compiler en standard près de 600 paquets : BusyBox, X.org, D-Bus, DirectFB, Gtk, Qt, GStreamer notamment, et il est très aisé d'ajouter d'autres paquets. Buildroot est utilisé officiellement par plusieurs fabricants de matériel, notamment Atmel, Armadeus Systems et Calao Systems et de nombreuses sociétés l'utilisent pour leurs projets Linux embarqué, notamment industriels.
lien 1 : Buildroot
lien 2 : Annonce de la sortie de 2010.02
lien 3 : Conférence Buildroot RMLL 2009
lien 4 : Buildroot 2010.02 released, contributions from Free Electrons!
(...)
Utilisant le même système de configuration que celui du noyau, Buildroot permet de générer un système embarqué adapté à vos besoins. Il permet de compiler en standard près de 600 paquets : BusyBox, X.org, D-Bus, DirectFB, Gtk, Qt, GStreamer notamment, et il est très aisé d'ajouter d'autres paquets. Buildroot est utilisé officiellement par plusieurs fabricants de matériel, notamment Atmel, Armadeus Systems et Calao Systems et de nombreuses sociétés l'utilisent pour leurs projets Linux embarqué, notamment industriels.
lien 1 : Buildroot
lien 2 : Annonce de la sortie de 2010.02
lien 3 : Conférence Buildroot RMLL 2009
lien 4 : Buildroot 2010.02 released, contributions from Free Electrons!
(...)
Rapport Fourgous sur les TICE : reconnaissance partielle des apports du libre à l'éducation
DLFP - Dépêches de page principale le lundi 8 mars 2010 01:42
Le rapport de la mission parlementaire de Jean-Michel Fourgous, député des Yvelines, sur la modernisation de l'école par le numérique a été remis le 15 février 2010 au Ministre de l'Éducation nationale.
L'April a contribué à cette mission dans le cadre de la consultation préalable. Elle a participé aux forums mis en place par la Mission et a envoyé une lettre de synthèse au député.
Dans son communiqué de presse, l'April se félicite que certaines de ses positions soient reprises dans le rapport de la mission mais regrette qu'après avoir montré que le logiciel libre est une approche privilégiée pour réussir l'école numérique, il ne propose aucune mesure concrète pour tirer parti de cette opportunité.
lien 1 : Le rapport Fourgous
lien 2 : Le communiqué
lien 3 : La lettre de l'April
lien 4 : Le forum de la mission
L'April a contribué à cette mission dans le cadre de la consultation préalable. Elle a participé aux forums mis en place par la Mission et a envoyé une lettre de synthèse au député.
Dans son communiqué de presse, l'April se félicite que certaines de ses positions soient reprises dans le rapport de la mission mais regrette qu'après avoir montré que le logiciel libre est une approche privilégiée pour réussir l'école numérique, il ne propose aucune mesure concrète pour tirer parti de cette opportunité.
lien 1 : Le rapport Fourgous
lien 2 : Le communiqué
lien 3 : La lettre de l'April
lien 4 : Le forum de la mission
Sylpheed 3.0 est sorti
DLFP - Dépêches de page principale le dimanche 7 mars 2010 14:22
Logiciel client de courrier électronique et de news, Sylpheed 3.0 est sorti le 24 février dernier. Cinq ans après la version 2.0, et après une série de version bêta depuis le mois d'octobre, les nouveautés suivantes sont à l'ordre du jour :
Quelques caractéristiques m'ayant fait choisir et garder ce logiciel : stockage des courriers au format maildir (un fichier par message), configuration simple, prise en charge de GPG, utilisation du logiciel de son choix comme antispam (bogofilter pour ma part) et continuité de développement. Il dispose également d'une option "debug" et d'un affichage des dialogues POP/IMAP/SMTP/NNTP forts pratiques en cas de problème.
lien 1 : Site officiel
lien 2 : Téléchargement de la version 3.0
- gestion du multi-threading
- meilleure prise en charge du protocole IMAP
- améliorations du carnet d'adresses (ajout d'adresses en envoi, tri...)
- polissage de l'interface sur le fond (qui utilise maintenant GTK+ 2.4.0 minimum) et sur la forme (nouvelles icônes, messages d'information supplémentaires, personnalisation des étiquettes de couleur...)
- l'assistant lors du premier lancement a été revu et permet le paramétrage pour un compte GMail
- et bien sûr une correction de multiples bugs
Quelques caractéristiques m'ayant fait choisir et garder ce logiciel : stockage des courriers au format maildir (un fichier par message), configuration simple, prise en charge de GPG, utilisation du logiciel de son choix comme antispam (bogofilter pour ma part) et continuité de développement. Il dispose également d'une option "debug" et d'un affichage des dialogues POP/IMAP/SMTP/NNTP forts pratiques en cas de problème.
lien 1 : Site officiel
lien 2 : Téléchargement de la version 3.0
Sortie de Blitzen 0.0.7
DLFP - Dépêches de page principale le dimanche 7 mars 2010 12:44
Blitzen est un serveur d'application que je développe sur mon temps libre, et qui avait déjà fait l'objet d'un journal pour la version 0.0.5 sur DLFP. Pour les plus pressés d'entre vous, voici un bref rappel des faits : Blitzen est un serveur d'application libre (LGPLv2), qui a pour but de permettre l'écriture d'applications ou sites web de manière simple et rapide.
Parmi toutes les solutions visant à améliorer la productivité du développeur par rapport à la manipulation directe des technologies web (HTML, Javascript, css, etc.), deux approches se démarquent:
Blitzen est écrit en C, et plus particulièrement en C/GObject, ce qui permet certes d'écrire des applications web directement en C, mais également et surtout en Vala via le binding fourni.
Cette nouvelle pré-version publique constitue une milestone importante. Tous les widgets HTML de base sont implémentés (au moins de manière partielle), il est désormais possible de créer un site web complet avec Blitzen. Bien entendu, comme le numéro de version l'indique il s'agit d'un projet très jeune qui nécessite et nécessitera encore beaucoup de tests avant d'être en mesure de se déclarer stable. Pour autant, j'ai n'ai pas encore eu l'occasion de le voir "segfaulter".
Comme toujours, toutes les remarques/suggestions/contributions sont les bienvenues.
lien 1 : Le (nouveau) site du projet
lien 2 : L'annonce de sortie
lien 3 : Le tarball (sources+doc+demo+tuto)
lien 4 : Le manuel avec un tutorial
lien 5 : API Reference en C
lien 6 : API Reference en Vala
Parmi toutes les solutions visant à améliorer la productivité du développeur par rapport à la manipulation directe des technologies web (HTML, Javascript, css, etc.), deux approches se démarquent:
- L'approche orientée page qui consiste à faciliter la vie du développeur en prenant en charge les mécanismes les plus élémentaires tout en conservant un lien fort avec les technologies sous-jacentes (c'est le cas de Ruby on Rails par exemple) ;
- L'approche orientée composants, qui vise à unifier le développement des applications web et natives en masquant au maximum l'aspect web de l'application en présentant une API proche des toolkits natifs comprenant un modèle événementiel à callbacks ou listeners (Seaside par exemple).
Blitzen est écrit en C, et plus particulièrement en C/GObject, ce qui permet certes d'écrire des applications web directement en C, mais également et surtout en Vala via le binding fourni.
Cette nouvelle pré-version publique constitue une milestone importante. Tous les widgets HTML de base sont implémentés (au moins de manière partielle), il est désormais possible de créer un site web complet avec Blitzen. Bien entendu, comme le numéro de version l'indique il s'agit d'un projet très jeune qui nécessite et nécessitera encore beaucoup de tests avant d'être en mesure de se déclarer stable. Pour autant, j'ai n'ai pas encore eu l'occasion de le voir "segfaulter".
Comme toujours, toutes les remarques/suggestions/contributions sont les bienvenues.
lien 1 : Le (nouveau) site du projet
lien 2 : L'annonce de sortie
lien 3 : Le tarball (sources+doc+demo+tuto)
lien 4 : Le manuel avec un tutorial
lien 5 : API Reference en C
lien 6 : API Reference en Vala
HAProxy 1.4, Chef 0.8.2 et GNU Social
DLFP - Dépêches de page principale le samedi 6 mars 2010 22:15
HAProxy 1.4
HAProxy est une solution libre, fiable et très performante de répartition de charge, qui peut agir soit au niveau de la couche TCP, soit au niveau d'HTTP. La branche 1.4 apporte son lot de nouveautés, dont le très attendu support du keep-alive HTTP côté clients. On peut également citer la gestion du protocole RDP, l'interface en ligne de commande ou les health checks pour MySQL.
Chef 0.8.2
Chef est un outil en Ruby qui permet d'automatiser son infrastructure, sous licence Apache. Avec Chef, on peut :
La version 0.8.2 est la première version stable de la nouvelle branche 0.8. L'API Rest de Chef est maintenant complète. Knife était un outil en ligne de commande proposé sous la forme d'une extension non-officielle. Il a été intégré à Chef, et il couvre maintenant l'ensemble des fonctionnalités proposés par l'interface REST. Un nouveau mécanisme d'authentification a été mis en place avec des signatures par requête. Et bien d'autres fonctionnalités ont fait leur apparition.
GNU Social
GNU Social est une initiative qui vise à créer un réseau social décentralisé. Un des objectifs est de permettre aux utilisateurs d'avoir un meilleur contrôle sur les données et leur vie privée que ce que les réseaux sociaux actuels permettent. L'intégralité du code sera placé sous licence AGPLv3, mais pour le moment l'heure est plus à la discussion pour essayer de regrouper les idées sous un concept fort.
lien 1 : HAProxy
lien 2 : Précédente dépêche DLFP sur HAProxy
lien 3 : Use HAProxy 1.4 if you need MySQL health checks
lien 4 : Annonce de la sortie de Chef 0.8.2
lien 5 : Le wiki officiel de Chef
lien 6 : GNU Social
HAProxy est une solution libre, fiable et très performante de répartition de charge, qui peut agir soit au niveau de la couche TCP, soit au niveau d'HTTP. La branche 1.4 apporte son lot de nouveautés, dont le très attendu support du keep-alive HTTP côté clients. On peut également citer la gestion du protocole RDP, l'interface en ligne de commande ou les health checks pour MySQL.
Chef 0.8.2
Chef est un outil en Ruby qui permet d'automatiser son infrastructure, sous licence Apache. Avec Chef, on peut :
- Gérer ses serveurs en écrivant du code, les recettes, et non pas en lançant des commandes
- S'intégrer à ses applications, bases de données, annuaires LDAP, etc.
- Configurer facilement ses applications qui ont besoin d'une connaissance de l'infrastructure (« Quel est le serveur de base de données maître ? »)
La version 0.8.2 est la première version stable de la nouvelle branche 0.8. L'API Rest de Chef est maintenant complète. Knife était un outil en ligne de commande proposé sous la forme d'une extension non-officielle. Il a été intégré à Chef, et il couvre maintenant l'ensemble des fonctionnalités proposés par l'interface REST. Un nouveau mécanisme d'authentification a été mis en place avec des signatures par requête. Et bien d'autres fonctionnalités ont fait leur apparition.
GNU Social
GNU Social est une initiative qui vise à créer un réseau social décentralisé. Un des objectifs est de permettre aux utilisateurs d'avoir un meilleur contrôle sur les données et leur vie privée que ce que les réseaux sociaux actuels permettent. L'intégralité du code sera placé sous licence AGPLv3, mais pour le moment l'heure est plus à la discussion pour essayer de regrouper les idées sous un concept fort.
lien 1 : HAProxy
lien 2 : Précédente dépêche DLFP sur HAProxy
lien 3 : Use HAProxy 1.4 if you need MySQL health checks
lien 4 : Annonce de la sortie de Chef 0.8.2
lien 5 : Le wiki officiel de Chef
lien 6 : GNU Social
Du côté de chez Xorg
DLFP - Dépêches de page principale le samedi 6 mars 2010 10:08
L'actualité de l'affichage sous Linux est riche de diverses annonces, autour des pilotes, des bibliothèques, de Xorg.
C'est l'occasion de faire un peu le point, dans la seconde partie de la dépêche, sur ces annonces et nouveautés :
lien 1 : Les patchs
lien 2 : Le blog du dévéloppeur de vgaswitcheroo
lien 3 : Annonce du pilote radeon 6.12.5
lien 4 : Annonce du pilote radeon 6.13
lien 5 : La discussion sur la LKML sur Nouveau
lien 6 : Clutter
(...)
C'est l'occasion de faire un peu le point, dans la seconde partie de la dépêche, sur ces annonces et nouveautés :
- la bascule de processeur graphique ;
- les versions des pilotes AMD/ATI ;
- le futur processeur graphique Intel ;
- le pilote Nouveau et le développement du noyau ;
- la bibliothèque Clutter.
lien 1 : Les patchs
lien 2 : Le blog du dévéloppeur de vgaswitcheroo
lien 3 : Annonce du pilote radeon 6.12.5
lien 4 : Annonce du pilote radeon 6.13
lien 5 : La discussion sur la LKML sur Nouveau
lien 6 : Clutter
(...)
Réunion presque secrète en Europe le 22 mars sur l’ACTA
ZDNet News le vendredi 5 mars 2010 18:03
La Commission européenne maintient le secret sur les négociations autour du traité ACTA et ne convie aucun élu européen à la prochaine réunion du 22 mars. Les organismes, dont les lobbies, sont eux invités.
Schrödinger 1.0.9 est sorti
DLFP - Dépêches de page principale le vendredi 5 mars 2010 09:26
Une nouvelle version de Schrödinger est disponible. Schrödinger est une transposition en C des spécifications du codec vidéo Dirac conçu par la BBC. Plusieurs bibliothèques multimédia telles que GStreamer, FFmpeg utilisent Schrödinger pour compresser et décompresser des vidéos Dirac.
Nouveautés dans la version 1.0.9 :
lien 1 : Site officiel
lien 2 : Téléchargement
lien 3 : Dirac sur le site de la BBC
lien 4 : Orc
(...)
Nouveautés dans la version 1.0.9 :
- Orc : utilisation du nouveau système d'optimisation Orc en lieu et place de libOil ;
- Nouvel algorithme de génération des vecteurs changeants, activé par défaut ;
- Nouvel algorithme CBR (constant bitrate, débit constant), activé par défaut ;
- Nouvel algorithme de détection de changement de scène, activé par défaut ;
- Amélioration de la qualité vidéo pour un même niveau de compression ;
- Nouveau paramétrage "force-profile". Il permet l'accès simplifié à l'un des trois profils VC-2 standardisés (vc2_low_delay, vc2_simple, vc2_main) ;
- Amélioration de la compression sans perte. Fonctionne de concert avec "force-profile".
lien 1 : Site officiel
lien 2 : Téléchargement
lien 3 : Dirac sur le site de la BBC
lien 4 : Orc
(...)
USN-906-1: CUPS vulnerabilities
Ubuntu - news, usn le mercredi 3 mars 2010 21:40
Referenced CVEs:
CVE-2009-3553, CVE-2010-0302, CVE-2010-0393
Description:
===========================================================
Ubuntu Security Notice USN-906-1 March 03, 2010
cups, cupsys vulnerabilities
CVE-2009-3553, CVE-2010-0302, CVE-2010-0393
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 6.06 LTS:
cupsys 1.2.2-0ubuntu0.6.06.17
cupsys-client 1.2.2-0ubuntu0.6.06.17
Ubuntu 8.04 LTS:
cupsys 1.3.7-1ubuntu3.8
cupsys-client 1.3.7-1ubuntu3.8
Ubuntu 8.10:
cups 1.3.9-2ubuntu9.5
cups-client 1.3.9-2ubuntu9.5
Ubuntu 9.04:
cups 1.3.9-17ubuntu3.6
cups-client 1.3.9-17ubuntu3.6
Ubuntu 9.10:
cups 1.4.1-5ubuntu2.4
cups-client 1.4.1-5ubuntu2.4
In general, a standard system upgrade is sufficient to effect the
necessary changes.
Details follow:
It was discovered that the CUPS scheduler did not properly handle certain
network operations. A remote attacker could exploit this flaw and cause the
CUPS server to crash, resulting in a denial of service. This issue only
affected Ubuntu 8.04 LTS, 8.10, 9.04 and 9.10. (CVE-2009-3553,
CVE-2010-0302)
Ronald Volgers discovered that the CUPS lppasswd tool could be made to load
localized message strings from arbitrary files by setting an environment
variable. A local attacker could exploit this with a format-string
vulnerability leading to a root privilege escalation. The default compiler
options for Ubuntu 8.10, 9.04 and 9.10 should reduce this vulnerability to
a denial of service. (CVE-2010-0393)
Canonical Webinars to Highlight Untapped Market Potential for ISVs
Ubuntu - news, usn le mardi 2 mars 2010 14:12
Canonical Webinars to Highlight Untapped Market Potential for ISVs
LONDON, March 2, 2010 - Canonical Ltd., the company behind Ubuntu, announced a program for the ISV community - including a series of webinars -- to highlight the benefits of certifying software on the the long term support version of Ubuntu 10.04.
DSA-2005 linux-2.6.24
Sécurité Debian le samedi 27 février 2010 00:00
privilege escalation/denial of service/sensitive memory leak
USN-905-1: sudo vulnerabilities
Ubuntu - news, usn le vendredi 26 février 2010 22:43
Referenced CVEs:
CVE-2010-0426, CVE-2010-0427
Description:
===========================================================
Ubuntu Security Notice USN-905-1 February 26, 2010
sudo vulnerabilities
CVE-2010-0426, CVE-2010-0427
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 6.06 LTS:
sudo 1.6.8p12-1ubuntu6.1
sudo-ldap 1.6.8p12-1ubuntu6.1
Ubuntu 8.04 LTS:
sudo 1.6.9p10-1ubuntu3.6
sudo-ldap 1.6.9p10-1ubuntu3.6
Ubuntu 8.10:
sudo 1.6.9p17-1ubuntu2.2
sudo-ldap 1.6.9p17-1ubuntu2.2
Ubuntu 9.04:
sudo 1.6.9p17-1ubuntu3.1
sudo-ldap 1.6.9p17-1ubuntu3.1
Ubuntu 9.10:
sudo 1.7.0-1ubuntu2.1
sudo-ldap 1.7.0-1ubuntu2.1
In general, a standard system upgrade is sufficient to effect the
necessary changes.
Details follow:
It was discovered that sudo did not properly validate the path for the
'sudoedit' pseudo-command. A local attacker could exploit this to execute
arbitrary code as root if sudo was configured to allow the attacker to use
sudoedit. The sudoedit pseudo-command is not used in the default
installation of Ubuntu. (CVE-2010-0426)
It was discovered that sudo did not reset group permissions when the
'runas_default' configuration option was used. A local attacker could
exploit this to escalate group privileges if sudo was configured to allow
the attacker to run commands under the runas_default account. The
runas_default configuration option is not used in the default installation
of Ubuntu. This issue affected Ubuntu 8.04 LTS, 8.10 and 9.04.
(CVE-2010-0427)
USN-904-1: Squid vulnerability
Ubuntu - news, usn le mercredi 24 février 2010 18:20
Referenced CVEs:
CVE-2010-0639
Description:
===========================================================
Ubuntu Security Notice USN-904-1 February 24, 2010
squid vulnerability
CVE-2010-0639
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 8.04 LTS:
squid 2.6.18-1ubuntu3.2
Ubuntu 8.10:
squid 2.7.STABLE3-1ubuntu2.3
Ubuntu 9.04:
squid 2.7.STABLE3-4.1ubuntu1.2
Ubuntu 9.10:
squid 2.7.STABLE6-2ubuntu2.2
In general, a standard system upgrade is sufficient to effect the
necessary changes.
Details follow:
It was discovered that Squid incorrectly handled certain malformed packets
received on the HTCP port. A remote attacker could exploit this with a
specially-crafted packet and cause Squid to crash, resulting in a denial of
service.
USN-903-1: OpenOffice.org vulnerabilities
Ubuntu - news, usn le mercredi 24 février 2010 10:48
Referenced CVEs:
CVE-2009-0217, CVE-2009-2949, CVE-2009-2950, CVE-2009-3301, CVE-2009-3302, CVE-2010-0136
Description:
===========================================================
Ubuntu Security Notice USN-903-1 February 24, 2010
openoffice.org vulnerabilities
CVE-2009-0217, CVE-2009-2949, CVE-2009-2950, CVE-2009-3301,
CVE-2009-3302, CVE-2010-0136
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 8.04 LTS:
openoffice.org-core 1:2.4.1-1ubuntu2.3
Ubuntu 8.10:
openoffice.org-core 1:2.4.1-11ubuntu2.3
Ubuntu 9.04:
openoffice.org-core 1:3.0.1-9ubuntu3.2
Ubuntu 9.10:
openoffice.org-core 1:3.1.1-5ubuntu1.1
After a standard system upgrade you need to restart OpenOffice to effect
the necessary changes.
Details follow:
It was discovered that the XML HMAC signature system did not
correctly check certain lengths. If an attacker sent a truncated
HMAC, it could bypass authentication, leading to potential privilege
escalation. (CVE-2009-0217)
Sebastian Apelt and Frank Reißner discovered that OpenOffice did not
correctly import XPM and GIF images. If a user were tricked into opening
a specially crafted image, an attacker could execute arbitrary code with
user privileges. (CVE-2009-2949, CVE-2009-2950)
Nicolas Joly discovered that OpenOffice did not correctly handle
certain Word documents. If a user were tricked into opening a specially
crafted document, an attacker could execute arbitrary code with user
privileges. (CVE-2009-3301, CVE-2009-3302)
It was discovered that OpenOffice did not correctly handle certain
VBA macros correctly. If a user were tricked into opening a specially
crafted document, an attacker could execute arbitrary macro commands,
bypassing security controls. (CVE-2010-0136)
USN-902-1: Pidgin vulnerabilities
Ubuntu - news, usn le lundi 22 février 2010 17:38
Referenced CVEs:
CVE-2010-0277, CVE-2010-0420, CVE-2010-0423
Description:
===========================================================
Ubuntu Security Notice USN-902-1 February 22, 2010
pidgin vulnerabilities
CVE-2010-0277, CVE-2010-0420, CVE-2010-0423
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 8.04 LTS:
pidgin 1:2.4.1-1ubuntu2.9
Ubuntu 8.10:
pidgin 1:2.5.2-0ubuntu1.7
Ubuntu 9.04:
pidgin 1:2.5.5-1ubuntu8.6
Ubuntu 9.10:
pidgin 1:2.6.2-1ubuntu7.2
After a standard system upgrade you need to restart Pidgin to effect
the necessary changes.
Details follow:
Fabian Yamaguchi discovered that Pidgin incorrectly validated all fields of
an incoming message in the MSN protocol handler. A remote attacker could
send a specially crafted message and cause Pidgin to crash, leading to a
denial of service. (CVE-2010-0277)
Sadrul Habib Chowdhury discovered that Pidgin incorrectly handled certain
nicknames in Finch group chat rooms. A remote attacker could use a
specially crafted nickname and cause Pidgin to crash, leading to a denial
of service. (CVE-2010-0420)
Antti Hayrynen discovered that Pidgin incorrectly handled large numbers of
smileys. A remote attacker could send a specially crafted message and cause
Pidgin to become unresponsive, leading to a denial of service.
(CVE-2010-0423)
DSA-2003 linux-2.6
Sécurité Debian le lundi 22 février 2010 00:00
privilege escalation/denial of service
USN-890-5: XML-RPC for C and C++ vulnerabilities
Ubuntu - news, usn le jeudi 18 février 2010 22:54
Referenced CVEs:
CVE-2009-3560, CVE-2009-3720
Description:
===========================================================
Ubuntu Security Notice USN-890-5 February 18, 2010
xmlrpc-c vulnerabilities
CVE-2009-3560, CVE-2009-3720
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 9.10
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 9.10:
libxmlrpc-core-c3 1.06.27-1ubuntu6.1
After a standard system upgrade you need to restart any applications linked
against XML-RPC for C and C++ to effect the necessary changes.
Details follow:
USN-890-1 fixed vulnerabilities in Expat. This update provides the
corresponding updates for XML-RPC for C and C++.
Original advisory details:
Jukka Taimisto, Tero Rontti and Rauli Kaksonen discovered that Expat did
not properly process malformed XML. If a user or application linked against
Expat were tricked into opening a crafted XML file, an attacker could cause
a denial of service via application crash. (CVE-2009-2625, CVE-2009-3720)
It was discovered that Expat did not properly process malformed UTF-8
sequences. If a user or application linked against Expat were tricked into
opening a crafted XML file, an attacker could cause a denial of service via
application crash. (CVE-2009-3560)
USN-896-1: Firefox 3.5 and Xulrunner 1.9.1 vulnerabilities
Ubuntu - news, usn le mercredi 17 février 2010 22:59
Referenced CVEs:
CVE-2009-1571, CVE-2009-3988, CVE-2010-0159, CVE-2010-0160, CVE-2010-0162
Description:
===========================================================
Ubuntu Security Notice USN-896-1 February 17, 2010
firefox-3.5, xulrunner-1.9.1 vulnerabilities
CVE-2009-1571, CVE-2009-3988, CVE-2010-0159, CVE-2010-0160,
CVE-2010-0162
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 9.10
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 9.10:
firefox-3.5 3.5.8+build1+nobinonly-0ubuntu0.9.10.1
xulrunner-1.9.1 1.9.1.8+build1+nobinonly-0ubuntu0.9.10.1
After a standard system upgrade you need to restart Firefox and any
applications that use xulrunner to effect the necessary changes.
Details follow:
Several flaws were discovered in the browser engine of Firefox. If a user
were tricked into viewing a malicious website, a remote attacker could
cause a denial of service or possibly execute arbitrary code with the
privileges of the user invoking the program. (CVE-2010-0159)
Orlando Barrera II discovered a flaw in the Web Workers implementation of
Firefox. If a user were tricked into posting to a malicious website, an
attacker could cause a denial of service or possibly execute arbitrary code
with the privileges of the user invoking the program. (CVE-2010-0160)
Alin Rad Pop discovered that Firefox's HTML parser would incorrectly free
memory under certain circumstances. If the browser could be made to access
these freed memory objects, an attacker could exploit this to execute
arbitrary code with the privileges of the user invoking the program.
(CVE-2009-1571)
Hidetake Jo discovered that the showModalDialog in Firefox did not always
honor the same-origin policy. An attacker could exploit this to run
untrusted JavaScript from other domains. (CVE-2009-3988)
Georgi Guninski discovered that the same-origin check in Firefox could be
bypassed by utilizing a crafted SVG image. If a user were tricked into
viewing a malicious website, an attacker could exploit this to read data
from other domains. (CVE-2010-0162)
USN-895-1: Firefox 3.0 and Xulrunner 1.9 vulnerabilities
Ubuntu - news, usn le mercredi 17 février 2010 22:59
Referenced CVEs:
CVE-2009-1571, CVE-2009-3988, CVE-2010-0159, CVE-2010-0160, CVE-2010-0162
Description:
===========================================================
Ubuntu Security Notice USN-895-1 February 17, 2010
firefox-3.0, xulrunner-1.9 vulnerabilities
CVE-2009-1571, CVE-2009-3988, CVE-2010-0159, CVE-2010-0160,
CVE-2010-0162
===========================================================
A security issue affects the following Ubuntu releases:
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
This advisory also applies to the corresponding versions of
Kubuntu, Edubuntu, and Xubuntu.
The problem can be corrected by upgrading your system to the
following package versions:
Ubuntu 8.04 LTS:
firefox-3.0 3.0.18+build1+nobinonly-0ubuntu0.8.04.1
xulrunner-1.9 1.9.0.18+build1+nobinonly-0ubuntu0.8.04.1
Ubuntu 8.10:
abrowser 3.0.18+build1+nobinonly-0ubuntu0.8.10.1
firefox-3.0 3.0.18+build1+nobinonly-0ubuntu0.8.10.1
xulrunner-1.9 1.9.0.18+build1+nobinonly-0ubuntu0.8.10.1
Ubuntu 9.04:
abrowser 3.0.18+build1+nobinonly-0ubuntu0.9.04.1
firefox-3.0 3.0.18+build1+nobinonly-0ubuntu0.9.04.1
xulrunner-1.9 1.9.0.18+build1+nobinonly-0ubuntu0.9.04.1
After a standard system upgrade you need to restart Firefox and any
applications that use xulrunner to effect the necessary changes.
Details follow:
Several flaws were discovered in the browser engine of Firefox. If a user
were tricked into viewing a malicious website, a remote attacker could
cause a denial of service or possibly execute arbitrary code with the
privileges of the user invoking the program. (CVE-2010-0159)
Orlando Barrera II discovered a flaw in the Web Workers implementation of
Firefox. If a user were tricked into posting to a malicious website, an
attacker could cause a denial of service or possibly execute arbitrary code
with the privileges of the user invoking the program. (CVE-2010-0160)
Alin Rad Pop discovered that Firefox's HTML parser would incorrectly free
memory under certain circumstances. If the browser could be made to access
these freed memory objects, an attacker could exploit this to execute
arbitrary code with the privileges of the user invoking the program.
(CVE-2009-1571)
Hidetake Jo discovered that the showModalDialog in Firefox did not always
honor the same-origin policy. An attacker could exploit this to run
untrusted JavaScript from other domains. (CVE-2009-3988)
Georgi Guninski discovered that the same-origin check in Firefox could be
bypassed by utilizing a crafted SVG image. If a user were tricked into
viewing a malicious website, an attacker could exploit this to read data
from other domains. (CVE-2010-0162)
MS10-007 - Critical: Vulnerability in Windows Shell Handler Could Allow Remote Code Execution (975713)
Microsoft Security Bulletins le mardi 9 février 2010 09:00
Bulletin Severity Rating:Critical - This security update resolves a privately reported vulnerability in Microsoft Windows 2000, Windows XP, and Windows Server 2003. Other versions of Windows are not impacted by this security update. The vulnerability could allow remote code execution if an application, such as a Web browser, passes specially crafted data to the ShellExecute API function through the Windows Shell Handler.
MS10-003 - Important: Vulnerability in Microsoft Office (MSO) Could Allow Remote Code Execution (978214)
Microsoft Security Bulletins le mardi 9 février 2010 09:00
Bulletin Severity Rating:Important - This security update resolves a privately reported vulnerability in Microsoft Office that could allow remote code execution if a user opens a specially crafted Office file. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
MS10-010 - Important: Vulnerability in Windows Server 2008 Hyper-V Could Allow Denial of Service (977894)
Microsoft Security Bulletins le mardi 9 février 2010 09:00
Bulletin Severity Rating:Important - This security update resolves a privately reported vulnerability in Windows Server 2008 Hyper-V and Windows Server 2008 R2 Hyper-V. The vulnerability could allow denial of service if a malformed sequence of machine instructions is run by an authenticated user in one of the guest virtual machines hosted by the Hyper-V server. An attacker must have valid logon credentials and be able to log on locally into a guest virtual machine to exploit this vulnerability. The vulnerability could not be exploited remotely or by anonymous users.
MS10-015 - Important: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (977165)
Microsoft Security Bulletins le mardi 9 février 2010 09:00
Bulletin Severity Rating:Important - This security update resolves one publicly disclosed and one privately reported vulnerability in Microsoft Windows. The vulnerabilities could allow elevation of privilege if an attacker logged on to the system and then ran a specially crafted application. To exploit either vulnerability, an attacker must have valid logon credentials and be able to log on locally. The vulnerabilities could not be exploited remotely or by anonymous users.
MS10-008 - Critical: Cumulative Security Update of ActiveX Kill Bits (978262)
Microsoft Security Bulletins le mardi 9 février 2010 09:00
Bulletin Severity Rating:Critical - This security update addresses a privately reported vulnerability for Microsoft software. This security update is rated Critical for all supported editions of Microsoft Windows 2000 and Windows XP, Important for all supported editions of Windows Vista and Windows 7, Moderate for all supported editions of Windows Server 2003, and Low for all supported editions of Windows Server 2008 and Windows Server 2008 R2.
MS10-009 - Critical: Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (974145)
Microsoft Security Bulletins le mardi 9 février 2010 09:00
Bulletin Severity Rating:Critical - This security update resolves four privately reported vulnerabilities in Microsoft Windows. The most severe of these vulnerabilities could allow remote code execution if specially crafted packets are sent to a computer with IPv6 enabled. An attacker could try to exploit the vulnerability by creating specially crafted ICMPv6 packets and sending the packets to a system with IPv6 enabled. This vulnerability may only be exploited if the attacker is on-link.
MS10-013 - Critical: Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (977935)
Microsoft Security Bulletins le mardi 9 février 2010 09:00
Bulletin Severity Rating:Critical - This security update resolves a privately reported vulnerability in Microsoft DirectShow. The vulnerability could allow remote code execution if a user opened a specially crafted AVI file. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
MS10-014 - Important: Vulnerability in Kerberos Could Allow Denial of Service (977290)
Microsoft Security Bulletins le mardi 9 février 2010 09:00
Bulletin Severity Rating:Important - This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow denial of service if a specially crafted ticket renewal request is sent to the Windows Kerberos domain from an authenticated user on a trusted non-Windows Kerberos realm. The denial of service could persist until the domain controller is restarted.
MDVA-2010:096: mmc-wizard
Mandriva Security le mercredi 10 mars 2010 05:26
Revert third party integration for now as some issues were discovered.
MDVSA-2010:057: apache
Mandriva Security le mercredi 10 mars 2010 05:26
A vulnerabilitiy has been found and corrected in apache:
The ap_read_request function in server/protocol.c in the Apache HTTP
Server 2.2.x before 2.2.15, when a multithreaded MPM is used, does
not properly handle headers in subrequests in certain circumstances
involving a parent request that has a body, which might allow remote
attackers to obtain sensitive information via a crafted request that
triggers access to memory locations associated with an earlier request
(CVE-2010-0434).
Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.
The updated packages have been patched to correct this issue.
The ap_read_request function in server/protocol.c in the Apache HTTP
Server 2.2.x before 2.2.15, when a multithreaded MPM is used, does
not properly handle headers in subrequests in certain circumstances
involving a parent request that has a body, which might allow remote
attackers to obtain sensitive information via a crafted request that
triggers access to memory locations associated with an earlier request
(CVE-2010-0434).
Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.
The updated packages have been patched to correct this issue.
MDVSA-2010:054: pam_krb5
Mandriva Security le mercredi 10 mars 2010 05:26
Pam_krb5 2.2.14 through 2.3.4 generates different password prompts
depending on whether the user account exists, which allows remote
attackers to enumerate valid usernames (CVE-2009-1384).
This update provides the version 2.3.5 of pam_krb5, which is not
vulnerable to this issue.
depending on whether the user account exists, which allows remote
attackers to enumerate valid usernames (CVE-2009-1384).
This update provides the version 2.3.5 of pam_krb5, which is not
vulnerable to this issue.
MDVA-2010:096-1: mmc-wizard
Mandriva Security le mercredi 10 mars 2010 05:26
Revert third party integration for now as some issues were discovered.
Update:
The mmc-wizard-1.0-13.10mdvmes5 update packages brought new
unresolved dependancies wich prevented it from installing using
MandrivaUpdate. This advisory resolves this problem by providing the
missing packages.
Update:
The mmc-wizard-1.0-13.10mdvmes5 update packages brought new
unresolved dependancies wich prevented it from installing using
MandrivaUpdate. This advisory resolves this problem by providing the
missing packages.
MDVSA-2010:056: openoffice.org
Mandriva Security le mercredi 10 mars 2010 05:26
This update provides the OpenOffice.org 3.0 major version and holds
the security fixes for the following issues:
An integer underflow might allow remote attackers to execute arbitrary
code via crafted records in the document table of a Word document
leading to a heap-based buffer overflow (CVE-2009-0200).
An heap-based buffer overflow might allow remote attackers to execute
arbitrary code via unspecified records in a crafted Word document
related to table parsing. (CVE-2009-0201).
Multiple heap-based buffer overflows allow remote attackers to execute
arbitrary code via a crafted EMF+ file (CVE-2009-2140).
OpenOffice's xmlsec uses a bundled Libtool which might load .la
file in the current working directory allowing local users to gain
privileges via a Trojan horse file. For enabling such vulnerability
xmlsec has to use --enable-crypto_dl building flag however it does
not, although the fix keeps protected against this threat whenever
that flag had been enabled (CVE-2009-3736).
Additional packages are also being provided due to dependencies.
Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.
the security fixes for the following issues:
An integer underflow might allow remote attackers to execute arbitrary
code via crafted records in the document table of a Word document
leading to a heap-based buffer overflow (CVE-2009-0200).
An heap-based buffer overflow might allow remote attackers to execute
arbitrary code via unspecified records in a crafted Word document
related to table parsing. (CVE-2009-0201).
Multiple heap-based buffer overflows allow remote attackers to execute
arbitrary code via a crafted EMF+ file (CVE-2009-2140).
OpenOffice's xmlsec uses a bundled Libtool which might load .la
file in the current working directory allowing local users to gain
privileges via a Trojan horse file. For enabling such vulnerability
xmlsec has to use --enable-crypto_dl building flag however it does
not, although the fix keeps protected against this threat whenever
that flag had been enabled (CVE-2009-3736).
Additional packages are also being provided due to dependencies.
Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.
MDVA-2010:098: urpmi
Mandriva Security le mercredi 10 mars 2010 05:26
Fix packages signature management when a package is in 2
sub-repositories same version but different signature. This problem
occured when local media were used.
sub-repositories same version but different signature. This problem
occured when local media were used.
MDVA-2010:097: nulog
Mandriva Security le mercredi 10 mars 2010 05:26
Add a buildrequire on python-twisted-core to get rid of a file deps
on /usr/bin/twistd
on /usr/bin/twistd
MDVSA-2010:058: php
Mandriva Security le mercredi 10 mars 2010 05:26
Multiple vulnerabilities has been found and corrected in php:
* Improved LCG entropy. (Rasmus, Samy Kamkar)
* Fixed safe_mode validation inside tempnam() when the directory
path does not end with a /). (Martin Jansen)
* Fixed a possible open_basedir/safe_mode bypass in the session
extension identified by Grzegorz Stachowiak. (Ilia)
Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.
The updated packages have been patched to correct these issues.
* Improved LCG entropy. (Rasmus, Samy Kamkar)
* Fixed safe_mode validation inside tempnam() when the directory
path does not end with a /). (Martin Jansen)
* Fixed a possible open_basedir/safe_mode bypass in the session
extension identified by Grzegorz Stachowiak. (Ilia)
Packages for 2008.0 are provided for Corporate Desktop 2008.0
customers.
The updated packages have been patched to correct these issues.
MDVSA-2010:055: poppler
Mandriva Security le mercredi 10 mars 2010 05:26
An out-of-bounds reading flaw in the JBIG2 decoder allows remote
attackers to cause a denial of service (crash) via a crafted PDF file
(CVE-2009-0799).
Multiple input validation flaws in the JBIG2 decoder allows
remote attackers to execute arbitrary code via a crafted PDF file
(CVE-2009-0800).
An integer overflow in the JBIG2 decoder allows remote attackers to
execute arbitrary code via a crafted PDF file (CVE-2009-1179).
A free of invalid data flaw in the JBIG2 decoder allows remote
attackers to execute arbitrary code via a crafted PDF (CVE-2009-1180).
A NULL pointer dereference flaw in the JBIG2 decoder allows remote
attackers to cause denial of service (crash) via a crafted PDF file
(CVE-2009-1181).
Multiple buffer overflows in the JBIG2 MMR decoder allows remote
attackers to cause denial of service or to execute arbitrary code
via a crafted PDF file (CVE-2009-1182, CVE-2009-1183).
An integer overflow in the JBIG2 decoding feature allows remote
attackers to cause a denial of service (crash) and possibly execute
arbitrary code via vectors related to CairoOutputDev (CVE-2009-1187).
An integer overflow in the JBIG2 decoding feature allows remote
attackers to execute arbitrary code or cause a denial of service
(application crash) via a crafted PDF document (CVE-2009-1188).
Integer overflow in the SplashBitmap::SplashBitmap function in Xpdf 3.x
before 3.02pl4 and Poppler before 0.12.1 might allow remote attackers
to execute arbitrary code via a crafted PDF document that triggers a
heap-based buffer overflow. NOTE: some of these details are obtained
from third party information. NOTE: this issue reportedly exists
because of an incomplete fix for CVE-2009-1188 (CVE-2009-3603).
The Splash::drawImage function in Splash.cc in Xpdf 2.x and 3.x
before 3.02pl4, and Poppler 0.x, as used in GPdf and kdegraphics KPDF,
does not properly allocate memory, which allows remote attackers to
cause a denial of service (application crash) or possibly execute
arbitrary code via a crafted PDF document that triggers a NULL pointer
dereference or a heap-based buffer overflow (CVE-2009-3604).
Multiple integer overflows allow remote attackers to cause a denial
of service (application crash) or possibly execute arbitrary code
via a crafted PDF file, related to (1) glib/poppler-page.cc; (2)
ArthurOutputDev.cc, (3) CairoOutputDev.cc, (4) GfxState.cc, (5)
JBIG2Stream.cc, (6) PSOutputDev.cc, and (7) SplashOutputDev.cc
in poppler/; and (8) SplashBitmap.cc, (9) Splash.cc, and (10)
SplashFTFont.cc in splash/. NOTE: this may overlap CVE-2009-0791
(CVE-2009-3605).
Integer overflow in the PSOutputDev::doImageL1Sep function in Xpdf
before 3.02pl4, and Poppler 0.x, as used in kdegraphics KPDF, might
allow remote attackers to execute arbitrary code via a crafted PDF
document that triggers a heap-based buffer overflow (CVE-2009-3606).
Integer overflow in the create_surface_from_thumbnail_data function
in glib/poppler-page.cc allows remote attackers to cause a denial of
service (memory corruption) or possibly execute arbitrary code via a
crafted PDF document that triggers a heap-based buffer overflow. NOTE:
some of these details are obtained from third party information
(CVE-2009-3607).
Integer overflow in the ObjectStream::ObjectStream function in XRef.cc
in Xpdf 3.x before 3.02pl4 and Poppler before 0.12.1, as used in
GPdf, kdegraphics KPDF, CUPS pdftops, and teTeX, might allow remote
attackers to execute arbitrary code via a crafted PDF document that
triggers a heap-based buffer overflow (CVE-2009-3608).
Integer overflow in the ImageStream::ImageStream function in Stream.cc
in Xpdf before 3.02pl4 and Poppler before 0.12.1, as used in GPdf,
kdegraphics KPDF, and CUPS pdftops, allows remote attackers to
cause a denial of service (application crash) via a crafted PDF
document that triggers a NULL pointer dereference or buffer over-read
(CVE-2009-3609).
Buffer overflow in the ABWOutputDev::endWord function in
poppler/ABWOutputDev.cc as used by the Abiword pdftoabw utility,
allows user-assisted remote attackers to cause a denial of service and
possibly execute arbitrary code via a crafted PDF file (CVE-2009-3938).
This update provides fixes for that vulnerabilities.
attackers to cause a denial of service (crash) via a crafted PDF file
(CVE-2009-0799).
Multiple input validation flaws in the JBIG2 decoder allows
remote attackers to execute arbitrary code via a crafted PDF file
(CVE-2009-0800).
An integer overflow in the JBIG2 decoder allows remote attackers to
execute arbitrary code via a crafted PDF file (CVE-2009-1179).
A free of invalid data flaw in the JBIG2 decoder allows remote
attackers to execute arbitrary code via a crafted PDF (CVE-2009-1180).
A NULL pointer dereference flaw in the JBIG2 decoder allows remote
attackers to cause denial of service (crash) via a crafted PDF file
(CVE-2009-1181).
Multiple buffer overflows in the JBIG2 MMR decoder allows remote
attackers to cause denial of service or to execute arbitrary code
via a crafted PDF file (CVE-2009-1182, CVE-2009-1183).
An integer overflow in the JBIG2 decoding feature allows remote
attackers to cause a denial of service (crash) and possibly execute
arbitrary code via vectors related to CairoOutputDev (CVE-2009-1187).
An integer overflow in the JBIG2 decoding feature allows remote
attackers to execute arbitrary code or cause a denial of service
(application crash) via a crafted PDF document (CVE-2009-1188).
Integer overflow in the SplashBitmap::SplashBitmap function in Xpdf 3.x
before 3.02pl4 and Poppler before 0.12.1 might allow remote attackers
to execute arbitrary code via a crafted PDF document that triggers a
heap-based buffer overflow. NOTE: some of these details are obtained
from third party information. NOTE: this issue reportedly exists
because of an incomplete fix for CVE-2009-1188 (CVE-2009-3603).
The Splash::drawImage function in Splash.cc in Xpdf 2.x and 3.x
before 3.02pl4, and Poppler 0.x, as used in GPdf and kdegraphics KPDF,
does not properly allocate memory, which allows remote attackers to
cause a denial of service (application crash) or possibly execute
arbitrary code via a crafted PDF document that triggers a NULL pointer
dereference or a heap-based buffer overflow (CVE-2009-3604).
Multiple integer overflows allow remote attackers to cause a denial
of service (application crash) or possibly execute arbitrary code
via a crafted PDF file, related to (1) glib/poppler-page.cc; (2)
ArthurOutputDev.cc, (3) CairoOutputDev.cc, (4) GfxState.cc, (5)
JBIG2Stream.cc, (6) PSOutputDev.cc, and (7) SplashOutputDev.cc
in poppler/; and (8) SplashBitmap.cc, (9) Splash.cc, and (10)
SplashFTFont.cc in splash/. NOTE: this may overlap CVE-2009-0791
(CVE-2009-3605).
Integer overflow in the PSOutputDev::doImageL1Sep function in Xpdf
before 3.02pl4, and Poppler 0.x, as used in kdegraphics KPDF, might
allow remote attackers to execute arbitrary code via a crafted PDF
document that triggers a heap-based buffer overflow (CVE-2009-3606).
Integer overflow in the create_surface_from_thumbnail_data function
in glib/poppler-page.cc allows remote attackers to cause a denial of
service (memory corruption) or possibly execute arbitrary code via a
crafted PDF document that triggers a heap-based buffer overflow. NOTE:
some of these details are obtained from third party information
(CVE-2009-3607).
Integer overflow in the ObjectStream::ObjectStream function in XRef.cc
in Xpdf 3.x before 3.02pl4 and Poppler before 0.12.1, as used in
GPdf, kdegraphics KPDF, CUPS pdftops, and teTeX, might allow remote
attackers to execute arbitrary code via a crafted PDF document that
triggers a heap-based buffer overflow (CVE-2009-3608).
Integer overflow in the ImageStream::ImageStream function in Stream.cc
in Xpdf before 3.02pl4 and Poppler before 0.12.1, as used in GPdf,
kdegraphics KPDF, and CUPS pdftops, allows remote attackers to
cause a denial of service (application crash) via a crafted PDF
document that triggers a NULL pointer dereference or buffer over-read
(CVE-2009-3609).
Buffer overflow in the ABWOutputDev::endWord function in
poppler/ABWOutputDev.cc as used by the Abiword pdftoabw utility,
allows user-assisted remote attackers to cause a denial of service and
possibly execute arbitrary code via a crafted PDF file (CVE-2009-3938).
This update provides fixes for that vulnerabilities.
MDVA-2010:095: mmc-wizard
Mandriva Security le mercredi 10 mars 2010 05:26
This update provides lots of bugs fixes and new functionalities for
installation:
- Add pt_BR translation for Advanced and Others stack
- Add NuFW stack
- Open postinstall links in new window
- Add post-installation feature + supplementary text description in
bundle display
- Request my.mandriva.com account validation when media add fails
- Check if media is already configured
- Remember login lang setting with a cookie
installation:
- Add pt_BR translation for Advanced and Others stack
- Add NuFW stack
- Open postinstall links in new window
- Add post-installation feature + supplementary text description in
bundle display
- Request my.mandriva.com account validation when media add fails
- Check if media is already configured
- Remember login lang setting with a cookie