Petit en vrac’ en ce dernier samedi du mois de mars 2024.
Côté logiciel libre, informatique et internet.
- Pour les fans de Fedora, la version 40 bêta de la distribution est disponible.
- Elle est de retour parmi les vivants. Qui ? La distribution multimedia Dynebolic dans une version bêta après 10 ans de silence. Elle n’est plus basée sur Debian mais sur la Devuan. Chacun ses choix après tout 🙂
Côté culture ?
Vous aimez le jazz expérimental ? Alors l’album « Commons » de Gerigk·Ianes·Mellan sera pour vous.
Pour finir, une vidéo des 16 premiers niveaux – soit les premiers 20% du jeu – du casse-tête « Gridlock » dont la difficulté devient rapidement punitive. Je m’y suis repris à 30 fois pour finir le niveau 35, et je ne souviens plus ce que j’ai fait pour résoudre le niveau.
Pour le moment, j’en suis au niveau 41, ayant fini le quatrième jour dit « challenging »… La preuve en image.
Sur ce, bon week-end
Tu avais remarqué Fred (ou d’autres) que sur Arch Linux depuis quelques temps la compilation (compression) des packages aur était devenue beaucoup plus lente ? J’ai trouvé l’explication hier en cherchant et quelqu’un a créé un ticket là dessus.
Je suis au courant. C’est l’activation de l’option lto dans le /etc/makepkg.conf. Cela ralentit la compilation, mais on obtient des exécutables de 10 à 15% plus petit.
Attention avant de tester la beta de Fedora 40, du code malveillant a été détecté sur la Rawhide et pourrait être présent éventuellement sur la 40.
Cela ne doit pas prêter à confusion : Fedora est justement fiable (parmi d’autres distros) car nous sommes nombreux à la tester et qu’il y a une transparence sur l’information.
Source en anglais : https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
Aucun souci sur la version actuelle (39). Il faut de toute façon en rester aux bases : une alpha, ou une beta, ne doivent pas servir à une utiliation quotidienne, juste pour des tests en VM ou autres (loin d’être évident pour beaucoup d’utilisateurs qui insallent par avance ces pré-versions)
Il s’agit de xz, debian est concerné (pas la version stable) ainsi que arch entre autre
Archlinux a proposé une version révisée de xz avant que le dépôt ne soit désactivé par Github, dixit phoronix : https://www.phoronix.com/news/GitHub-Disables-XZ-Repo
Un article a été publié sur Archlinux.org concernant xz et son problème.
https://archlinux.org/news/the-xz-package-has-been-backdoored/
A noter que le bug ne concerne pas que certaines redhat, mais toutes les distros embarquant directement les binaires incriminés.
Dans la même veine il y a eu une 0-day assez mechante sur chromium et donc pour ceux qui utilisent l un des dérivés une mise à jour est à faire en urgence si cela n a pas été fait 🙂
il y a plusieurs comptes compromis , et sans doute a venir un retour sur une version 5.4
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
ainsi que les limites pour la version xz ( analyse de 2016 a 2022 )
https://www.nongnu.org/lzip/xz_inadequate.html
On verra bien si Archlinux fera marche arrière et proposera à nouveau une version 5.4.x. J’en doute personnellement.
Bonjour
Oui c’est une grosse vulnérabilité qui a été découverte,par hasard apparemment, je viens de voir une vidéo d’Adrien qui explique très bien le problème et toutes les distros concernées,un retour en rétrograde est fortement conseillé sans attendre de cette fameux biblio log XZ
Bonne journée
J’ai juste vu la partie de la vidéo où il parle de l’impact sur différentes distributions. Le problème est que le dépôt github est désactivé… Tu fais comment pour récupérer le code de la version 5.4 ?
Pas de panique : tu peux aller sur le git personnel de l’auteur :
https://git.tukaani.org/
Il a d’ailleurs publié un petit mot sur son site :
https://tukaani.org/xz-backdoor/
Ah oui,là c’est un problème aussi,sans doute qu’ils vérifies l’intégrité des paquets pour ré-ouvrir plus tard; il va dons falloir patienter un peu,sous ma LMDE apparemment je suis toujours sur la version5.4.1,donc pour moi ça va,pourtant certaines versions de distro basé sur Debian sont concernées.
Pour Fedora, c’était de toute manière en version 40 bêta donc,uniquement pour tester,ne jamais a utiliser en prod,mais Arch étant rolling realease les mise à jours de paquets neufs sont déjà en prod en quelques sortes,donc le mieux est encore de désinstaller XZ et attendre qu’une bonne version soit dispo ou attendre que les dépôts pour les versions antérieurs soient de nouveau dispo, de plus, j’ai cru comprendre que l’auteur de la mal vaillance était sur le projet depuis 2 ans, et donc d’autres versions de XZ sont peut être aussi vérolées,je pense qu’un grand ménage de printemps va être mit en place bientôt.
Archlinux a déjà mis un contournement du bug en place. Cf cette annonce sur le site en anglais : https://archlinux.org/news/the-xz-package-has-been-backdoored/ ou la VF sur Archlinux.fr : https://archlinux.fr/accueil/le-paquet-xz-contient-une-porte-derobee
Quant au dépôt, il a été désactivé… Reste à savoir combien de temps cette situation va rester en place.
Sans oublier une page dédiée dans la section sécurité sur le site d’Archlinux : https://security.archlinux.org/ASA-202403-1
« The package xz before version 5.6.1-2 is vulnerable to arbitrary code
execution. »
Sur mon système :
$ pacman -Qi xz | grep VersionVersion : 5.6.1-2
Je signale la stabilisation récente des profils 23.0 sur Gentoo avec la procédure de migration suivante :
https://www.gentoo.org/support/news-items/2024-03-22-new-23-profiles.html
Et malheureusement il faut terminer cette migration avec un emerge -e @world qui va faire monter la température 🙂 bon courage à tous, pour ma part c’est fait et bien fait !