| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| issue184:actus [2022/09/02 14:30] – [7] auntiee | issue184:actus [2022/09/04 15:20] (Version actuelle) – [8] d52fr |
|---|
| Un attaquant ayant accès au domaine peut envoyer une demande fictive de nouveau mot de passe au nom d'un autre utilisateur, en la chiffrant avec sa clé, et KDC la traitera sans vérifier la conformité de la clé du compte. Outre l'envoi de demandes fictives, il peut être utilisé pour envoyer des demandes factices de clés de contrôleurs de domaine fonctionnant en mode lecture seule (RODC), qui n'ont pas le pouvoir de changer les mots de passe. Pour votre protection, la méthode de contournement est la désactivation du support du protocole kpasswd en ajoutant une chaîne de caractères « kpasswd port » à smb.conf. | Un attaquant ayant accès au domaine peut envoyer une demande fictive de nouveau mot de passe au nom d'un autre utilisateur, en la chiffrant avec sa clé, et KDC la traitera sans vérifier la conformité de la clé du compte. Outre l'envoi de demandes fictives, il peut être utilisé pour envoyer des demandes factices de clés de contrôleurs de domaine fonctionnant en mode lecture seule (RODC), qui n'ont pas le pouvoir de changer les mots de passe. Pour votre protection, la méthode de contournement est la désactivation du support du protocole kpasswd en ajoutant une chaîne de caractères « kpasswd port » à smb.conf. |
| |
| https://www.samba.org/samba/latest_news.html#4.16. | https://www.samba.org/samba/latest_news.html#4.16.4 |
| |
| |
| |
| ===== 8 ===== | ===== 8 ===== |
| |
| |
| **Open-based Heroes of Might and Magic 2 - fheroes2 - 0.9.18 | **Open-based Heroes of Might and Magic 2 - fheroes2 - 0.9.18 |
| 08/08/2022 | 08/08/2022 |
| |
| Une nouvelle version 0.9.18 de fheroes2, qui recrée de toutes pièces le moteur de Heroes of Might and Magic II, est disponible. Le code du projet est écrit en C++ et distribué sous la licence GPLv2. Pour démarrer le jeu, il nécessite des fichiers avec les ressources du jeu original qui peuvent être obtenus, par exemple, à partir de la version démo de Heroes of Might and Magic II ou du jeu original. Le point fort est que l'option diplomatique fonctionne maintenant comme dans l'original. | Une nouvelle version, la 0.9.18, de fheroes2, qui recrée de toutes pièces le moteur de Heroes of Might and Magic II, est disponible. Le code du projet est écrit en C++ et distribué sous la licence GPLv2. Pour démarrer le jeu, il nécessite des fichiers avec les ressources du jeu original qui peuvent être obtenus, par exemple, à partir de la version démo de Heroes of Might and Magic II ou du jeu original. Le point fort est que l'option diplomatique fonctionne maintenant comme dans l'original. |
| |
| https://github.com/ihhub/fheroes2/releases/tag/0.9.18 | https://github.com/ihhub/fheroes2/releases/tag/0.9.18 |
| 12/08/2022 | 12/08/2022 |
| |
| Un groupe de chercheurs de l'Université technique de Graz (Autriche), anciennement connu pour le développement des attaques MDS, NetSpectre, Throwhammer et ZombieLoad, a révélé des informations sur une nouvelle méthode d'attaque sur les canaux tiers (CVE-2021-46778) sur la file d'attente du planificateur du processeur AMD, utilisé pour planifier l'exécution des instructions dans différentes unités exécutives du CPU. L'attaque, appelée SQUIP, permet de déterminer les données utilisées dans les calculs d'un autre processus ou d'une machine virtuelle ou d'organiser un canal de communication caché entre les processus ou les machines virtuelles, permettant d'échanger des données en contournant les mécanismes de démarcation d'accès du système. | Un groupe de chercheurs de l'Université technique de Graz (Autriche), précedemment connu pour le développement des attaques MDS, NetSpectre, Throwhammer et ZombieLoad, a révélé des informations sur une nouvelle méthode d'attaque sur les canaux tiers (CVE-2021-46778) sur la file d'attente du planificateur du processeur AMD, utilisé pour planifier l'exécution des instructions dans différentes unités exécutives du CPU. L'attaque, appelée SQUIP, permet de déterminer les données utilisées dans les calculs d'un autre processus ou d'une machine virtuelle ou d'organiser un canal de communication caché entre les processus ou les machines virtuelles, permettant d'échanger des données en contournant les mécanismes de démarcation d'accès du système. |
| |
| Dans l'expérience, les chercheurs ont pu recréer entièrement la clé RSA fermée de 4096 bits utilisée pour créer des signatures numériques en utilisant la bibliothèque cryptographique mklogbedTLS 3.0, dans laquelle l'algorithme de Montgomery est utilisé pour la construction d'un nombre à la modulation. Pour déterminer la clé, il a été nécessaire d'effectuer 50 500 traces. Le temps total de l'attaque a pris 38 minutes. Les options de recherche sont démontrées, fournissant des fuites entre différents processus et machines virtuelles contrôlées par l'hyperviseur KVM. Il est également démontré que la méthode peut être utilisée pour effectuer un transfert de données caché entre des machines virtuelles à une vitesse de 0,89 Mbit/s et entre des processus à une vitesse de 2,70 Mbit/s avec un niveau d'erreur inférieur à 0,8 %. | Dans l'expérience, les chercheurs ont pu recréer entièrement la clé RSA fermée de 4096 bits utilisée pour créer des signatures numériques en utilisant la bibliothèque cryptographique mklogbedTLS 3.0, dans laquelle l'algorithme de Montgomery est utilisé pour la construction d'un nombre à la modulumisation. Pour déterminer la clé, il a été nécessaire d'effectuer 50 500 traces. Le temps total de l'attaque a pris 38 minutes. Les options de recherche sont démontrées, fournissant des fuites entre différents processus et machines virtuelles contrôlées par l'hyperviseur KVM. Il est également démontré que la méthode peut être utilisée pour effectuer un transfert de données cachées entre des machines virtuelles à une vitesse de 0,89 Mbit/s et entre des processus à une vitesse de 2,70 Mbit/s avec un niveau d'erreur inférieur à 0,8 %. |
| |
| https://stefangast.eu/papers/squip.pdf | https://stefangast.eu/papers/squip.pdf |
| 13/08/2022 | 13/08/2022 |
| |
| Une nouvelle version 2.39 de l'ensemble d'utilitaires système GNU Binutils a été publiée, qui comprend des programmes tels que GNU linker, GNU assembler, nm, objdump, strings, strip. | Une nouvelle version, la 2.39, de l'ensemble d'utilitaires système GNU Binutils a été publiée. Elle comprend des programmes tels que GNU linker, GNU assembler, nm, objdump, strings, strip. |
| |
| Cette version contient de nombreuses corrections de bogues, ainsi que les nouvelles fonctionnalités suivantes : | Cette version contient de nombreuses corrections de bogues, ainsi que les nouvelles fonctionnalités suivantes : |
| 15/08/2022 | 15/08/2022 |
| |
| Deepin est la meilleure distribution Linux de Chine, qui se consacre à fournir un système d'exploitation beau, facile à utiliser, sûr et fiable pour les utilisateurs du monde entier. (Classement mondial) | Deepin est la meilleure distribution Linux de Chine. Elle se consacre à fournir un système d'exploitation beau, facile à utiliser, sûr et fiable pour les utilisateurs du monde entier. (Classement mondial) |
| |
| Deepin V23 Preview est une version progressive de Deepin V23, qui comprend trois caractéristiques principales : de tout nouveaux dépôts, des mises à jour atomiques et un format de paquetage auto-développé. Veuillez noter qu'elle ne peut pas être mise à jour directement à partir de deepin 20 pour le moment. | Deepin V23 Preview est une version progressive de Deepin V23, qui comprend trois caractéristiques principales : de tout nouveaux dépôts, des mises à jour atomiques et un format de paquet auto-développé. Veuillez noter qu'elle ne peut pas être mise à jour directement à partir de deepin 20 pour le moment. |
| |
| Linglong est un nouveau format de paquet développé par deepin, visant à résoudre divers problèmes de compatibilité causés par les dépendances complexes des formats de paquet traditionnels sous Linux, et à réduire les risques de sécurité causés par le contrôle décentralisé des permissions. Il est disponible pour n'importe quelle distribution Linux, prend en charge les mises à jour incrémentielles des applications, la gestion, la distribution et la mise en bac à sable des applications, ce qui non seulement améliore la facilité d'utilisation, mais protège aussi grandement la vie privée des utilisateurs. | Linglong est un nouveau format de paquet développé par deepin, visant à résoudre divers problèmes de compatibilité causés par les dépendances complexes des formats de paquet traditionnels sous Linux, et à réduire les risques de sécurité causés par le contrôle décentralisé des permissions. Il est disponible pour n'importe quelle distribution Linux, prend en charge les mises à jour incrémentielles des applications, la gestion, la distribution et la mise en bac à sable des applications, ce qui non seulement améliore la facilité d'utilisation, mais protège aussi grandement la vie privée des utilisateurs. |
| 18/08/2022 | 18/08/2022 |
| |
| La Document Foundation a publié le paquetage bureautique LibreOffice 7.4. Des paquets d'installation prêts à l'emploi sont préparés pour diverses distributions Linux, Windows et macOS. 147 développeurs ont participé à la production, dont 95 bénévoles. 72 % des modifications ont été apportées par les employés des trois entreprises qui supervisent le projet, Collabora, Red Hat et Allotropia, et 28 % des modifications ont été ajoutées par des passionnés indépendants. | La Document Foundation a publié le paquet bureautique LibreOffice 7.4. Des paquets d'installation prêts à l'emploi sont préparés pour diverses distributions Linux, Windows et macOS. 147 développeurs ont participé à la production, dont 95 bénévoles. 72 % des modifications ont été apportées par les employés des trois entreprises qui supervisent le projet, Collabora, Red Hat et Allotropia, et 28 % des modifications ont été ajoutées par des passionnés indépendants. |
| |
| La version 7.4 de LibreOffice est dotée du label « Community », sera soutenue par des passionnés et n'est pas destinée à être appliquée dans les entreprises. LibreOffice Community est disponible gratuitement pour tous, y compris pour les entreprises. Pour les entreprises ayant besoin d'un service supplémentaire, des produits de la famille LibreOffice Enterprise sont développés séparément, pour lesquels les entreprises partenaires bénéficieront d'un support complet, de la possibilité de recevoir des mises à jour à long terme (LTS) et de fonctions supplémentaires telles que les SLA (Service Level Agreements). | La version 7.4 de LibreOffice est dotée du label « Community », sera soutenue par des passionnés et n'est pas destinée à être utilisée dans les entreprises. LibreOffice Community est disponible gratuitement pour tous, y compris pour les entreprises. Pour les entreprises ayant besoin d'un service supplémentaire, des produits de la famille LibreOffice Enterprise sont développés séparément, pour lesquels les entreprises partenaires bénéficieront d'un support complet, de la possibilité de recevoir des mises à jour à long terme (LTS) et de fonctions supplémentaires telles que les SLA (Service Level Agreements). |
| |
| https://blog.documentfoundation.org/blog/2022/08/18/libreoffice-7-4-community/ | https://blog.documentfoundation.org/blog/2022/08/18/libreoffice-7-4-community/ |
| 19/08/2022 | 19/08/2022 |
| |
| La mise à jour sommaire d'août des applications (22.08) développées par le projet KDE est présentée. Rappelons que l'ensemble résumé des applications KDE d'avril 2021 est publié sous le nom de KDE Gear, au lieu de KDE Apps et KDE Applications. Au total, 233 programmes, bibliothèques et plugins ont été publiés dans le cadre de la mise à jour. Des informations sur la disponibilité des ensembles Live avec les nouvelles versions des applications peuvent être obtenues sur cette page, https://community.kde.org/Plasma/LiveImages. | La mise à jour résumé d'août des applications (la 22.08) développées par le projet KDE est présentée. Rappelons que l'ensemble résumé des applications KDE d'avril 2021 est publié sous le nom de KDE Gear, au lieu de KDE Apps et KDE Applications. Au total, 233 programmes, bibliothèques et plugins ont été publiés dans le cadre de la mise à jour. Des informations sur la disponibilité des ensembles Live avec les nouvelles versions des applications peuvent être obtenues sur cette page, https://community.kde.org/Plasma/LiveImages. |
| |
| https://kde.org/announcements/gear/22.08.0/ | https://kde.org/announcements/gear/22.08.0/ |
| https://devblogs.microsoft.com/oldnewthing/20220816-00/?p=106994** | https://devblogs.microsoft.com/oldnewthing/20220816-00/?p=106994** |
| |
| Janet Jackson ruine les anciens logiciels | Janet Jackson ruine les anciens matériels |
| 19/08/2022 | 19/08/2022 |
| |
| MITRE a attribué à la vidéo de la chanson de Janet Jackson « Rhythm Nation » l'identifiant de vulnérabilité CVE-2022-38392 en raison de la perturbation du fonctionnement normal de certains vieux ordinateurs portables pendant sa lecture. Cette composition peut conduire à un arrêt d'urgence du système en raison de défaillances du disque dur associées à la reproduction de certaines fréquences de résonance. | MITRE a attribué à la vidéo de la chanson de Janet Jackson « Rhythm Nation » l'identifiant de vulnérabilité CVE-2022-38392 en raison de la perturbation du fonctionnement normal de certains vieux ordinateurs portables pendant sa lecture. Cette composition peut conduire à un arrêt d'urgence du système en raison de défaillances du disque dur associées à la reproduction de certaines fréquences de résonance. |
| |
| Il est à noter que la fréquence du clip coïncide avec les fluctuations survenant dans les disques tournant à 5400 tr/min, ce qui entraîne une forte augmentation de l'amplitude de leurs oscillations. L'information sur le problème a été partagée par un employé de Microsoft, qui a raconté une histoire survenue pendant les jours de semaine du service d'assistance de Windows XP : Comment traiter les plaintes des utilisateurs de l'un des principaux fabricants qui ont révélé que « Rhythm Nation » conduit à des perturbations des modèles individuels de lecteurs basés sur des disques durs magnétiques utilisés dans les ordinateurs portables produits par ce fabricant. | Il est à noter que la fréquence du clip coïncide avec les fluctuations survenant dans les disques tournant à 5400 tr/min, ce qui entraîne une forte augmentation de l'amplitude de leurs oscillations. L'information sur le problème a été partagée par un employé de Microsoft, qui a raconté une histoire survenue pendant les jours de semaine du service d'assistance de Windows XP : comment traiter les plaintes des utilisateurs de l'un des principaux fabricants qui ont révélé que « Rhythm Nation » conduit à des perturbations des modèles individuels de lecteurs basés sur des disques durs magnétiques utilisés dans les ordinateurs portables produits par ce fabricant. |
| |
| Le problème a été résolu par le fabricant grâce à l'ajout d'un filtre spécial au système de sonorisation, qui n'autorise pas les fréquences indésirables pendant la lecture du son. Mais une telle solution de contournement n'a pas fourni une protection complète, par exemple, le cas mentionné où la panne s'est répétée non pas sur l'appareil sur lequel le clip a été lu, mais sur un ordinateur portable voisin. Le problème a également été enregistré sur des ordinateurs portables d'autres fabricants vendus vers 2005. Les informations relatives à cet effet ont été divulguées car elles ont déjà perdu leur pertinence et le problème ne se manifeste pas sur les disques durs modernes. | Le problème a été résolu par le fabricant grâce à l'ajout d'un filtre spécial au système de sonorisation, qui n'autorise pas les fréquences indésirables pendant la lecture du son. Mais une telle solution de contournement n'a pas fourni une protection complète, par exemple, le cas mentionné où la panne s'est répétée non pas sur l'appareil sur lequel le clip a été lu, mais sur un ordinateur portable voisin. Le problème a également été enregistré sur des ordinateurs portables d'autres fabricants vendus vers 2005. Les informations relatives à cet effet ont été divulguées car elles ont déjà perdu leur pertinence et le problème ne se manifeste pas sur les disques durs modernes. |
| 20/08/2022 | 20/08/2022 |
| |
| Krita 5.1.0, conçu pour les artistes et les illustrateurs, est sorti. L'éditeur prend en charge le traitement d'images multicouches, fournit des outils pour travailler avec différents modèles de couleurs et dispose d'un large ensemble d'outils pour la peinture numérique, les croquis et la formation de textures. Des images autonomes au format AppImage pour Linux, des packages APK expérimentaux pour ChromeOS et Android, ainsi que des builds binaires pour macOS et Windows sont disponibles pour l'installation. Le projet est écrit en C++ en utilisant la bibliothèque Qt et distribué sous la licence GPLv3. | Krita 5.1.0, conçu pour les artistes et les illustrateurs, est sorti. L'éditeur prend en charge le traitement d'images multicouches, fournit des outils pour travailler avec différents modèles de couleurs et dispose d'un large ensemble d'outils pour la peinture numérique, les croquis et la formation de textures. Des images autonomes au format AppImage pour Linux, des paquets APK expérimentaux pour ChromeOS et Android, ainsi que des builds binaires pour macOS et Windows sont disponibles pour l'installation. Le projet est écrit en C++ en utilisant la bibliothèque Qt et distribué sous la licence GPLv3. |
| |
| https://krita.org/en/item/krita-5-1-0-released/ | https://krita.org/en/item/krita-5-1-0-released/ |
| 20/08/2022 | 20/08/2022 |
| |
| Le lecteur vidéo Celluloid 0.24 (anciennement GNOME MPV), qui fournit une interface graphique basée sur la bibliothèque GTK pour le lecteur vidéo de la console MPV, est sorti. Celluloid est utilisé dans Linux Mint et Ubuntu MATE comme lecteur vidéo par défaut. | Le lecteur vidéo Celluloid 0.24 (anciennement GNOME MPV), qui fournit une interface graphique basée sur la bibliothèque GTK pour le lecteur vidéo de la console MPV, est sorti. Celluloid est utilisé dans Linux Mint et Ubuntu MATE comme lecteur vidéo par défaut. |
| |
| https://github.com/celluloid-player/celluloid/releases/tag/v0.24 | https://github.com/celluloid-player/celluloid/releases/tag/v0.24 |
| |
