XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois

107
31
mar.
2024
Sécurité

Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

Claws Mail abandonne son greffon ClamAV

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes :
1
21
fév.
2008
Internet
Claws Mail est un client de courrier électronique basé sur la bibliothèque GTK+ et privilégiant la légèreté, la rapidité et l'extensibilité grâce à un système de greffons.

Une version, numérotée 3.3.1, devrait sortir sous peu pour apporter des correctifs à des problèmes découverts depuis la 3.3.0. L'un de ces problèmes est assez important, étant donné qu'il s'agit de faire cesser une violation de copyright concernant ClamAV.

Journal Gmail et les RFCs

Posté par  (site web personnel) .
Étiquettes : aucune
0
15
nov.
2007
Il y a quelques semaines, Google a lancé son service IMAP pour GMail, qui a fait grand bruit.

À mon grand désarroi en tant que développeur d'un client email, j'ai vite remarqué que leur serveur IMAP ne respectait pas la RFC 3501, leur serveur oubliant les guillemets autour des noms de dossiers contenant des espaces dans les réponses aux commandes STATUS:

* STATUS [Gmail]/All Mail (MESSAGES 18740 UIDNEXT 19300 UIDVALIDITY 1 UNSEEN 4210)

Notre librairie IMAP étant dotée d'un (très (…)

Journal Claws Mail 2.9.0 disponible et porté pour Maemo

Posté par  (site web personnel) .
Étiquettes : aucune
0
17
avr.
2007
Claws-Mail est un client de courrier électronique léger, rapide et puissant. Il vient de sortir en version 2.9.0, une version .0 qui indique la présence de nouvelles fonctionnalités.

On y retrouve entre autres la possibilité de classifier automatiquement les pourriels via les règles de filtrage, la possibilité de rechercher du texte dans les pièces jointes gérées par un greffon (comme le GtkHtmlViewer ou le PDF Viewer). Pas mal d'autres petites améliorations sont présentes.

Le greffon PDF fait maintenant tout ce (…)

Claws Mail 2.8.0 est sorti !

Posté par  (site web personnel) . Modéré par Mouns.
Étiquettes :
0
28
fév.
2007
Internet
Claws Mail est un client de courrier électronique léger, rapide et puissant. Il est extensible via un système de greffons.

Cette nouvelle version apporte son lot de nouvelles fonctionnalités :
Les abonnements IMAP sont maintenant gérés. Dans le cas des comptes existants, les dossiers non-abonnés seront toujours vus afin de ne pas changer l'affichage existant ; pour les nouveaux comptes, la vue par défaut comprendra uniquement les dossiers abonnés. Un menu contextuel a été ajouté sur les dossiers IMAP pour permettre de changer la vue, abonner et désabonner des dossiers.

D'autre part, les anciennes options de séparation des fenêtres de la liste des dossiers et du message ont été remplacées par quatre types d'affichage : "Standard", "Trois colonnes", "Message large" et "Liste de messages large".

Ces deux nouvelles fonctionnalités sont les plus visibles, mais ne sont pas les seules...

Journal Claws Mail 2.7.2

Posté par  (site web personnel) .
Étiquettes : aucune
0
26
jan.
2007
Claws Mail 2.7.2, la dernière version du client email léger, rapide et extensible, vient de sortir. C'est la deuxième version qui apporte des corrections de bugs à la branche 2.7, et depuis la sortie de la 2.7.0 ( https://linuxfr.org/2007/01/09/21879.html ), on peut trouver les corrections des bugs suivants:
  • Crash lors du changement des colonnes de la liste des dossiers pendant la réception
  • "Glitch" graphique lors de l'expansion des fils de discussion
  • Bouton "Charger" partiellement caché dans la fenêtre de plugins, (…)

Claws Mail 2.7.0 disponible

Posté par  (site web personnel) . Modéré par j.
Étiquettes :
0
9
jan.
2007
Internet
Claws Mail est un client de courrier électronique, léger, rapide et puissant, précédemment connu sous le nom de Sylpheed-Claws. Il est extensible grâce à un système de greffons.

Parmi les nouveautés de cette version 2.7, on trouvera entre autres la possibilité d'appliquer un modèle aux nouveaux messages, comme pour les réponses ; la possibilité d'utiliser deux dictionnaires simultanément lors de la composition de messages ; la possibilité de copier des dossiers ou arborescences entières, d'une boîte aux lettres à une autre.

L'assistant de configuration pour les nouveaux utilisateurs a été amélioré, afin de pouvoir prendre en compte des situations inhabituelles, sans pour autant le compliquer. Le greffon Bogofilter a été étendu et permet maintenant de mettre en liste blanche les messages provenant d'adresses présentes dans le carnet et de mettre ceux pour lesquels il n'est pas sûr de la "spamicité" dans un dossier séparé, ce qui aide à lui faire apprendre correctement plus de messages légitimes. Nombre d'autres fonctionnalités ont été améliorées et dix traductions ont été mises à jour, dont la traduction française.

Sylpheed-Claws devient Claws Mail

Posté par  (site web personnel) . Modéré par j.
Étiquettes :
1
9
nov.
2006
Internet
Sylpheed-Claws, le client de courrier électronique léger et puissant, est sorti en version 2.6.0 ce lundi. Cette version apporte son lot de nouveautés, mais surtout, il s'agit de la dernière version de Sylpheed-Claws.

L'équipe du projet a décidé de le renommer en Claws Mail, principalement parce que l'appellation "Version de test (ou instable) de Sylpheed" semble rester dans les esprits ; alors que cela fait environ deux ans que Claws est un projet stable, à part entière, et dont les buts diffèrent par rapport à Sylpheed.

Sylpheed-Claws 2.5.0 est sorti !

Posté par  (site web personnel) . Modéré par Pascal Terjan.
Étiquettes :
0
25
sept.
2006
Internet
Sylpheed-Claws est un client de courrier électronique basé sur GTK+2 qui vise à être rapide, stable, et complet.

Pour cette nouvelle version, l'accent a été mis sur la facilité d'utilisation et la correction de petites incohérences graphiques. Les corrections de bugs n'ont cependant pas été oubliées, avec une vingtaine d'entre eux corrigés et quatre nouvelles fonctionnalités notables font leur apparition. Quelques-uns des quinze greffons externes ont reçu des améliorations conséquentes.

Mise à jour : Sylpheed-Claws 2.5.1 vient d'être publié pour corriger un bug du plugin bogofilter.

Journal Sylpheed-Claws 2.4.0 est sorti!

Posté par  (site web personnel) .
Étiquettes : aucune
0
31
juil.
2006
Sylpheed-Claws, le client email léger, rapide et puissant, vient de sortir en version 2.4.0.

Cette version apporte son lot de nouveautés et continue à creuser l'écart avec la concurrence, et ce n'est pas fini [*]...

- Il est maintenant possible d'envoyer les messages en attente via un clic droit dans les dossiers À envoyer
- Ajout de "Aller au dossier non-lu suivant", "Message marqué suivant" change de dossier si nécessaire
- les liens sftp:// sont maintenant cliquables
- Lorsqu'on (…)

Journal Sylpheed-Claws 2.3.1, sorti depuis un certain temps

Posté par  (site web personnel) .
Étiquettes : aucune
0
6
juil.
2006
Bonjour,

j'ai oublié de le faire plus tôt, mais Sylpheed-Claws, un client de courrier électronique basé sur GTK+2, est sorti en version 2.3.1. Ce client a pour principaux avantages d'être léger, rapide, mais aussi très puissant et extensible.

Les nouveautés depuis la version 2.2.0 sont les suivantes:

  • Support des commandes de mailing-lists dans le menu Message
  • Les règles de filtrage sont maintenant désactivables, plus besoin de les effacer pour arrêter de les utiliser temporairement
  • L'adresse d'expéditeur est modifiable dans la (…)

Sortie de Sylpheed-Claws 2.2.0

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
8
mai
2006
Internet
Sylpheed-Claws, un client de courrier électronique basé sur GTK+2, vient de sortir en version 2.2.0. Ce client a pour principaux avantages d'être léger, rapide, mais aussi très puissant et extensible.

La liste des changements de cette version est assez longue, et l'on peut y trouver pêle-mêle, des corrections de bogues, des améliorations (esthétiques et techniques), de nouvelles fonctionnalités et de nouveaux greffons.

Journal Sortie de Sylpheed-Claws 2.1.1 !

Posté par  (site web personnel) .
Étiquettes : aucune
0
17
avr.
2006
Bonjour,

Sylpheed-Claws, le client email léger, rapide et configurable, vient de sortir en version 2.1.1.
Cette version est une version de stabilisation de la précédente 2.1.0, et corrige les problèmes suivants:

  • bug 933, corruption de mémoire dans la liste des entêtes personnalisés
  • bug 859, problèmes avec les caractères cyrilliques dans la recherche rapide
  • bug 919, crash lors de la connexion par commande à un serveur IMAP
  • Crash dans le carnet d'adresses lors du tri sur certaines colonnes, avec certaines versions (…)

Journal Manuel de Sylpheed-Claws en français

Posté par  (site web personnel) .
Étiquettes : aucune
0
10
avr.
2006
L'un des buts que l'équipe de Sylpheed-Claws, dont je fais partie, s'est efforcée d'atteintre, est de fournir un manuel didactique et à jour, particulièrement pour la première prise en main du logiciel. Ce but est atteint et nous nous efforçeons maintenant ... de le tenir à jour!

Olivier Delhomme avait commencé en février à traduire ce manuel en français. J'ai terminé cette traduction ce week-end, un peu trop tard pour l'inclure dans la version 2.1.0, mais il est maintenant disponible (…)