Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

C'est reparti pour Linux Presentation Day autour du 18 mai 2024 !

Cette année encore Montpel’libre vous présente Linux Presentation Day (ou LPD) relayé par la GULL Academy. Cet événement est l’occasion de découvrir Linux et les logiciels libres. Un grand nombre de groupes d’utilisateurs de Linux (GUL) du monde, ainsi que des entreprises et des universités, organisent chaque année, à la même période, des rencontres afin de présenter GNU/Linux et plus largement les Logiciels Libres.

Linux Presentation Day (ou LPD) est un événement à grande échelle qui a pour but de promouvoir Linux et les logiciels libres auprès du grand public.

L’idée d’organiser un événement de manière synchronisée sur l’ensemble de l’Europe a été initiée par le groupe d’utilisatrices et d’utilisateurs de Linux berlinois (BeLUG), afin de faire connaître et découvrir Linux et les logiciels libres à un large public et d’éveiller l’attention des médias.

Des présentations, voire l’installation de plusieurs distributions GNU/Linux seront possibles, ainsi que des démonstrations et mini ateliers peuvent être organisés ou toute sorte de manifestation qui feront la part belle au système d’exploitation GNU/Linux.

Alors, à vos agendas ! Le prochain Linux Presentation Day aura lieu autour du 18 mai, mais plus largement sur tout le mois de mai, en Afrique et en France, mais bien sûr partout ailleurs.

Si vous avez des propositions, merci de les indiquer !

Ainsi, nous vous proposons d’inscrire sur cet espace, les activités de votre structure sur les présentations de GNU/Linux qui auront lieu lors du mois de mai. Pour les inscriptions sur l’Agenda du Libre, pensez bien à taguer votre événement avec « linux-presentation-day ».

Sur LinuxFr, on préfère les IN (intelligences naturelles) aux IA (intelligences artificielles). Las, nous ne sommes pas les seuls à constater un début d’envahissement du site par les IA. Voici ce qui vous (nous) attend dès que ça sera mis en production pour essayer d’y pallier.

Il y a quelques années, je vous avais présenté TuxMake, un utilitaire pour faciliter la (cross-)compilation du noyau Linux supportant une grande variété de toolchains différentes : TuxMake et le noyau Linux.

TuxMake facilitant la compilation du noyau Linux, nous nous sommes alors attaqués à rendre l’exécution de ces noyaux plus aisée : ainsi est né TuxRun.

En ce mardi 26 mars, la communauté du Projet Fedora sera ravie d'apprendre la disponibilité de la version Beta de Fedora Linux 40.

Malgré les risques concernant la stabilité d’une version Beta, il est important de la tester ! En rapportant les bogues maintenant, vous découvrirez les nouveautés avant tout le monde, tout en améliorant la qualité de Fedora Linux 40 et réduisant du même coup le risque de retard. Les versions en développement manquent de testeurs et de retours pour mener à bien leurs buts.

La version finale est pour le moment fixée pour le 16 ou 23 avril.

Cet épisode est la seconde partie de la série à propos du projet Open Food Facts.

Dans cette seconde partie nous recevons Alex Garel, un des développeurs et animateurs de la communauté Open Food Facts.

Avec lui nous abordons les points suivants :

• gérer et financer l’entretien du commun et de l’existant
• créer une entretenir une communauté
• absorber l’arrivée de plusieurs contributeurs sur une période donnée
• construire une collaboration entre des salariés et des bénévoles
• quelle stack technique est en place ?
• quelles technologies et licences utiliser et à quel moment
• mieux documenter
• les défis techniques et organisations à venir

Merci à l’équipe d’Open Food Facts pour leur temps et leur confiance !
Une transcription et traduction en anglais est disponible.

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [LaDepeche.fr] Foix. Ils ont appris à maîtriser les logiciels libres
• [Next] L'enseignement supérieur veut désengager ses services numériques des GAFAM
• [Sud Ouest] Accès aux sites pornos, anonymat et données en ligne: le projet de loi pour «sécuriser» internet voté ce mercredi
• [Siècle Digital] Effet DMA? En Europe, les petits navigateurs web grappillent des parts de marché à Chrome et Safari
• [Le Monde Informatique] Le Schleswig-Holstein abandonne Microsoft pour de l'open source
• [Le Monde Informatique] La Fondation Eclipse fédère pour le security by design de l'open source

Calendrier Web, regroupant des événements liés au Libre (logiciel, salon, atelier, install party, conférence), annoncés par leurs organisateurs. Voici un récapitulatif de la semaine à venir. Le détail de chacun de ces 22 événements (France: 20, internet: 2) est en seconde partie de dépêche.

Directeur adjoint d’un collège en Occitanie, chargé de la SEGPA et de l’accueil des élèves en situation de handicap, je me suis retrouvé dans une situation où le suivi des élèves et de leurs accompagnants devenait difficile, notamment par manque d’outils adaptés.

Loin de me décourager, j’ai créé ma propre application de suivi, École Inclusive, en utilisant le cadriciel libre SQLPage et la publie aujourd’hui sous licence GPLv3. Ce projet a été possible grâce au support proposé par la documentation en ligne et à de fréquents échanges avec Ophir Lojkine, créateur de SQLPage.

Sans aucune connaissance préalable en programmation, j’ai réalisé toute cette application en SQL. Cela permet un large panel de fonctionnalités pour École Inclusive, qui gère tout le suivi horaire des élèves, des classes et des accompagnants, les emplois du temps, les statistiques, les notifications, l’identification des utilisateurs avec plusieurs niveaux de permission.

Les communs sont une source énorme de partage !

S’il est plutôt facile dans le monde francophone de trouver des ressources logicielles (Merci Framasoft!) voire en anglais avec des sites comme alternativeto, quid des ressources hors logiciels ?

Certes, on peut faire des recherches avec des filtres, placer les bons mot-clés, se lancer dans des google dorks pour les plus acharnés (…), mais il n’est pas toujours évident de tomber sur ce que l’on souhaite. Encore moins si cela n’est pas traduit en français ou que l’on ne connaît pas la ressource et donc on ne la recherche pas. Et pourtant ! Cela n’empêche qu’une fois découverte, elle peut devenir une ressource précieuse !

Ainsi, l’association de la graine à l’humus, qui produit des ressources libres en relation avec développement durable, a mis en place un site annuaire de projets libres ou ouverts. Collaboratif et multilingue, il vous attend tapi dans l’ombre des internets…

Si vous souhaitez ajouter des ressources ou faire des retours, proposer des améliorations… Cela est toujours le bienvenu !

Nouvel épisode du podcast Projets Libres !

Dans cette entrevue nous recevons Maxime Lathuilière, fondateur du projet inventaire.
Inventaire est une plate-forme qui permet de faire sa bibliothèque en ligne, mais aussi de localement partager, prêter ou donner ses livres.

Ensemble nous abordons les thèmes suivants :

• la genèse du projet
• le financement d’inventaire au fur et à mesure du temps
• la relation avec wikimedia et le travail autour de wikibase
• les technologies utilisées
• la communauté autour d’inventaire
• l’intégration dans le Fediverse, et les limites d’ActivityPub pour les outils tels qu’inventaire
• la relation entre inventaire et bookwyrm
• les défis à venir

Et vous, connaissez-vous ou utilisez-vous inventaire ?

Calendrier Web, regroupant des événements liés au Libre (logiciel, salon, atelier, install party, conférence), annoncés par leurs organisateurs. Voici un récapitulatif de la semaine à venir. Le détail de chacun de ces 42 événements (France: 39, internet: 1, Belgique: 1, Québec: 1) est en seconde partie de dépêche.

Note : cette dépêche est une traduction de l'annonce officielle de la sortie de GIMP 2.99.18 du 21 février 2024 (en anglais).

Voici enfin la dernière version de développement avant GIMP 3 ! Bien que la sortie de la version 2.99.18 soit un peu en retard par rapport au planning espéré, celle-ci contient un certain nombre de fonctionnalités et d'améliorations que nous sommes ravis de pouvoir partager avec vous.

⚠️ ☢️ Nous vous rappelons qu'une version de développement sert à présenter les travaux en cours, mais vous permet aussi de détecter et signaler les problèmes au plus tôt. En d'autres termes, cette version est instable et nous ne recommandons pas son usage en production. Utilisez-là parce que vous voulez aider à améliorer GIMP en signalant des bogues.

En particulier, cette version 2.99.18 est peut-être l'une des versions les plus instables de la série 2.99 à cause du projet « space invasion » (NDT : « invasion venue de l'espace », un jeu de mots avec l'anglais colorspace signifiant espace de couleurs). Cela est parfaitement attendu et normal. ⚠️ ☢️

Avec son plus d’un quart de siècle, il serait temps que LinuxFr se penche sur un sujet qui concerne la population en situation de procréer, soit quelques milliards d’individus, et qui concerne aussi à peu près tout le monde puisqu’il est question de données privées sensibles ; soit encore plus de milliards de personnes. Vous l’avez probablement deviné, il sera donc question des cycles féminins, des applis sous licences libres pour Android servant à le suivre et des données qu’elles récoltent, et également de suggestions d’alternatives.

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [cio-online.com] IA générative: davantage de modèles et davantage d'Open Source
• [Le Café pédagogique] Stéphane Deudon: vers une école du Libre?
• [LeMagIT] SGBD: Redis s’éloigne, lui aussi, de l’open source