La version 1.9.3-p125 de Ruby est sortie aujourd'hui. Elle vient corriger une faille de sécurité dans le module OpenSSL, ainsi que d'autres bugs.

Dans OpenSSL, l'option SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS pour les connexions SSL est utilisée pour se prémunir d'une vulnérabilité de TLS-CBC-IV. Il s'agit d'une faille bien connue de TLSv1/SSLv3, qui est revenue sur le devant de la scène sous le nom d'attaque BEAST (CVE-2011-3389). Jusqu'à présent, l'extension OpenSSL de Ruby ne permettait pas de désactiver cette option. Or, pour contrer l'attaque BEAST, il s'avère que Ruby doit laisser la possibilité aux utilisateurs de la désactiver afin d'insérer des fragments vides au début des connexions SSL (le fameux "0/n splitting").

Il y a un an, le 20 février 2011 pour être précis, le site LinuxFr.org a migré vers une toute nouvelle version en Ruby On Rails (pour fuir Templeet). Les statistiques sur les utilisateurs du site nous apprennent qu'il y a environ 45 000 comptes qui ont été créés depuis la mise en place du site, qu'il en reste environ 42 000, dont 180 fermés et 3  900 valides et utilisés au cours des 3 derniers mois.

Les comptes créés avant la migration ont leur mot de passe stocké sous forme hachée DES 13 caractères (pas sous forme lisible, pas en clair pour résumer, mais un peu vieillot et peu sûr comme format). Les comptes créés ou utilisés après la migration ont leur mot de passe stocké sous forme hachée Blowfish 60 caractères (pas en clair et mieux protégé pour résumer).

35 000 comptes n'ont pas migré vers le nouveau format de stockage (et ont donc un mot de passe stocké dans l'ancien format). 600 comptes ont migré mais il existe encore une version de leur mot de passe de l'époque dans l'ancien format. Afin de supprimer de sa base de données les anciennes formes de mots de passe moins sûres, et parce qu'évidemment il ne nous est pas techniquement possible de convertir nous-même votre mot de passe vu que nous ne le connaissons pas, nous allons relancer par courriel tous les comptes ouverts et non utilisés depuis la migration :

• pour les comptes qui n'auront pas été utilisés entre le 20 février 2011 et le 31 mars 2012, nous les fermerons et supprimerons le mot de passe et l'adresse de courriel associée (*). Leurs contenus et commentaires resteront en ligne ;
• pour les autres comptes, l'ancienne forme du mot de passe sera supprimée de la base, tout le monde y gagnera en sécurité et cela simplifiera le schéma de notre base de données et le code de traitement des mots de passe.

Creolinux est une distribution et une aventure nées il y a désormais 5 ans à l'île de la Réunion.

Initiée par un professeur de Philosophie, elle avait pour but de faire exister dans l'île un acteur du logiciel libre. C'est une distribution dont le projet initial porte sur une interface pensée de telle façon à concilier à la fois l'exigence de richesse fonctionnelle et de simplicité d'utilisation. La première version était basée sur la Mandriva 2009, et de ce moment date la première rencontre sur Paris avec Mandriva et certains futurs « Magéiens ».

Développé par la fondation Mozilla, le navigateur web Firefox est connu pour avoir un vaste écosystème d'extensions. Récemment deux nouvelles extensions originales et intéressantes sont apparues et elles méritent qu'on s'y intéresse d'un peu plus près.

L'équipe PyPy à le plaisir de vous annoncer la sortie de la version 1.8 de PyPy. PyPy est une version différente de l'interpréteur du langage Python écrite elle-même en Python, et publiée sous licence expat. Comme à l'habitude, cette version apporte des corrections de bugs, et des améliorations concernant les performances et la consommation mémoire.

Les "list strategies" sont le principal ajout de cette version. Elles permettent de rendre les listes Python homogènes (contenant des objets du même type) plus efficaces (tant en terme de consommation mémoire que de performances).

Cette version apporte aussi la compatibilité avec Python 2.7.2. Mis à part ça, c'est "comme d'habitude", les performances ont été améliorées d'environ 10% par rapport a la version précédente.

Dans la suite de la dépêche vous trouverez une traduction des notes de version de PyPy 1.8.

L'augmentation continue de la puissance de calcul, des fonctionnalités présentes et des empreintes mémoires (RAM, FLASH, ROM...) des processeurs 32 bits tend à créer une classe de processeurs hybrides :

• ils sont suffisamment puissants pour exécuter des tâches complexes (réseau, affichage...) ;
• ils sont trop petits pour faire fonctionner de façon raisonnable les systèmes d'exploitation Open Source classiques (GNU/Linux, Android, *BSD...).

Les architectures Cortex-M3 et Cortex-M4 d'ARM rentrent clairement dans cette catégorie.

Même si il existe un portage de uClinux sur STM32 (ici et là), il est indispensable de posséder une mémoire externe de plusieurs dizaines de mégaoctets (mémoire interne de l'ordre de centaines de Kio).

Dans cette optique nous avons décidé de publier le code source de Lepton/Tauon sous licence MPL/EPL (au moment de cette rédaction il s'agit de la MPL 1.1).

Lepton/Tauon est un système d'exploitation temps réel (RTOS, pour Real Time Operating System) qui tente de respecter au maximum le standard POSIX (« POSIX compliant ») tout en gardant à l'esprit les contraintes :

• d'empreinte mémoire ;
• de fiabilité ;
• de simplicité ;
• de portabilité.

Le micrologiciel (firmware) généré se présente sous la forme d'un ELF contenant :

• le noyau ;
• les pilotes de périphériques ;
• les bibliothèques ;
• les pseudo-binaires systèmes et utilisateurs.

LibreOffice est une suite bureautique développée par la Document Foundation. Elle est issue d'un fork d'OpenOffice.org. Le rythme de sortie est d'une nouvelle version majeure tous les six mois et d'une version de correction de bugs tous les mois. La version 3.5 est sortie ce 14 février.

Merci à Yves Bourguignon et à Nÿco pour leur aide lors de la rédaction de cette dépêche.

LinuxFr.org propose des articles, soumis potentiellement par vous, puis revus et corrigés par notre équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via les médias sociaux.

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation ni corrections a priori de notre équipe. Ceux-ci s'appellent des journaux.

Voici un florilège de journaux que l’on a pu lire. Ceux-ci sont les journaux qui ne sont pas passés en dépêche et les mieux notés par les utilisateurs... qui notent. Lumière sur ceux de la semaine passée (du 6 au 12 février 2012).

• Niniryoku : On devrait manger ce qu'on donne à notre chien
• Christophe Merlet : Une artiste meurt, une major jubile
• patrick_g : Debian et le multi-arch
• gc : 10 years of FB
• Nonolapero : Linux 3.2.5 devrait être moins gourmand

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [LE FIGARO.fr] ACTA: des milliers d'Européens défilent
• [LeMagIT] L’Open Source Business Alliance travaille à l’interopérabilité des documents Office / OpenOffice 
• [écrans] Avec le «Pack Liberté», les chatons lavent plus libre
• [macgeneration] Apple poursuit sa purge des logiciels sous licence GPL
• [accessoweb] [Gouvernements et l'après WinXP] Serait-il temps de passer à l'Open Source?
• [L'USINE NOUVELLE] Lenovo reconnu coupable de vente liée de logiciels avec un PC
• [Newsring] Faites progresser le débat
• [webdo] Microsoft Tunisie «Open» l’année 2012 en fanfare

Jérémie Nestel évoque le droit d'auteur et son héritage, la privatisation de la connaissance, la responsabilité de l'auteur, la différence entre matériel et immatériel, les brevets sur les semences et sur les médicaments, etc.

NdM : Initialement paru chez LibreAccès, le texte publié en seconde partie de cette dépêche est placé sous licence Art Libre et est écrit par Jérémie Nestel. Il est repris ici avec quelques corrections.

De grandes mobilisations ont vu le jour le 11 février 2012 dans toute l'Europe : les citoyens ont clairement montré leur opposition à l'adoption de l'Accord Commercial Anti-Contrefaçon, mieux connu comme ACTA (Anti-Counterfeiting Trade Agreement).

La prochaine aura lieu le 25 février partout dans le monde. Ceci est un appel à manifester votre opposition dans la rue.

Quelques brèves explications sur pourquoi on n'en veut pas, ainsi que les dernières actualités (revirements et temporisations des États, prises de positions politiques, etc.) sont dans la seconde partie de la dépêche.

Merci à Nÿco, Oumph et tankey pour leurs contributions sur la dépêche.

L'assemblée générale de Linux Azur s'est récemment déroulée avec notamment des changements dans leur conseil d'administration et une présentation de la distribution Kaella. Plus de détails dans la suite de la dépêche.

Dans le prolongement du récent FOSDEM, voici une sélection de quatre actualités concernant la pile graphique de Linux :

Le projet Cross-LFS est mal connu. Et pour cause! Il n'a plus connu de version stable depuis 2008. Pourtant il reste intéressant, car il permet de construire des systèmes plus complexes que LFS (Linux From Scratch), en se basant néanmoins sur ce livre. Il propose par exemple de construire un système multilib 32-64 bits, ou de construire, à partir de n'importe quelle architecture, un système utilisable sur sparc, mips, ppc, etc.

Pour cibler le maximum d'utilisateurs, l'équipe de traduction de LFS, issue de l'association Traduc.org, a décidé de ne traduire que les livres 64 bits (non supportés par LFS à l'époque) et multilib. À ce jour la traduction multilib est partielle mais le livre est utilisable. Notez enfin que CLFS exige d'avoir une expérience LFS, le support étant moins pédagogiquement abouti.

L'équipe CLFS annonce la sortie de la version stable 1.2 aujourd'hui. L'équipe de traduction annonce la publication de la traduction pour les livres 64 bits et multilib, sachant qu'en multilib, le travail est en cours et partiellement réalisé (notamment, pas relu).

Nous sommes donc heureux de vous proposer CLFS 1.2 en français pour 64 bits et multilib. Autant dire que les changements par rapport à la version 1.1 sont considérables, les mises à jour majeures.

Organisé par IRILL et l'université Paris-Diderot, Richard Stallman tiendra une conférence jeudi prochain, le 16 février, à 18h30.

La description du sujet est la suivante :

Les efforts développés pour inciter les gens à utiliser les nouvelles technologies numériques sont réalisés sur la supposition que cette utilisation est invariablement une bonne chose. En jugeant par le seul aspect pratique immédiat, cela semble être le cas. Cependant, si on juge en termes de droits de l'homme, que cette entrée dans ce monde soit bonne ou mauvaise dépend du monde numérique dans lequel nous voulons être inclus. Si nous nous fixons cette inclusion comme objectif, il nous incombe de nous assurer que cela soit réalisé de la bonne manière.

La conférence sera proposée en français et ne concernera pas d'aspects techniques.

Elle se tiendra à l'amphi Buffon de l'université Paris-Diderot à Paris. Un deuxième amphi avec retransmission sera ouvert en cas de grande affluence.

Le lendemain, le vendredi 17 à 10h30, Richard Stallman tiendra une nouvelle conférence à l'Institut d'Astrophysique de Paris (IAP) intitulé « Free Software and Your Freedom ».