| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| issue202:actus [2024/03/01 14:46] – [13] auntiee | issue202:actus [2024/03/01 15:57] (Version actuelle) – [16] auntiee |
|---|
| 13/02/2024 | 13/02/2024 |
| |
| Une nouvelle version 2.6.9 d'OpenVPN a été préparée, un paquetage pour la création de réseaux privés virtuels qui permet d'établir une connexion cryptée entre deux machines clientes ou de fournir un serveur VPN centralisé pour le fonctionnement simultané de plusieurs clients. La nouvelle version se distingue par l'octroi d'une nouvelle licence. Le code du projet est passé d'une licence GPLv2 pure à une licence combinée, dans laquelle le texte de la GPLv2 est complété par une exception qui permet de lier le code à la licence Apache 2.0, ce qui est impossible dans des conditions normales sans redélivrer le code en raison de l'incompatibilité entre les licences GPLv2 et Apache 2.0. | Une nouvelle version 2.6.9 d'OpenVPN a été préparée, un paquet pour la création de réseaux privés virtuels qui permet d'établir une connexion cryptée entre deux machines clientes ou de fournir un serveur VPN centralisé pour le fonctionnement simultané de plusieurs clients. La nouvelle version se distingue par l'octroi d'une nouvelle licence. Le code du projet est passé d'une licence GPLv2 pure à une licence combinée, dans laquelle le texte de la GPLv2 est complété par une exception qui permet de lier le code à la licence Apache 2.0, ce qui est impossible dans des conditions normales sans accorder une nouvelle licence au code en raison de l'incompatibilité entre les licences GPLv2 et Apache 2.0. |
| |
| L'exception vous permet de lier le code OpenVPN au code des bibliothèques distribuées sous la licence Apache 2.0 et de distribuer le travail dérivé combiné sans se conformer à l'exigence de la GPLv2 de distribuer les bibliothèques liées sous la même licence, mais toujours sous réserve de toutes les autres conditions, telles que la fourniture du code source pour le travail dérivé. L'objectif principal de ce changement est de permettre la liaison avec la bibliothèque OpenSSL, qui est sous licence Apache 2.0. Tout le code OpenVPN qui n'a pas pu être traduit selon les nouvelles conditions de licence, par exemple en raison de l'impossibilité de contacter les auteurs, a été supprimé ou complètement réécrit. | L'exception vous permet de lier le code OpenVPN au code des bibliothèques distribuées sous la licence Apache 2.0 et de distribuer le travail dérivé combiné sans se conformer à l'exigence de la GPLv2 de distribuer les bibliothèques liées sous la même licence, mais toujours sous réserve de toutes les autres conditions, telles que la fourniture du code source pour le travail dérivé. L'objectif principal de ce changement est de permettre la liaison avec la bibliothèque OpenSSL, qui est sous licence Apache 2.0. Tout le code OpenVPN qui n'a pas pu être traduit selon les nouvelles conditions de licence, par exemple en raison de l'impossibilité de contacter les auteurs, a été supprimé ou complètement réécrit. |
| Des chercheurs d'Aqua Security ont attiré l'attention sur la possibilité d'une attaque contre les utilisateurs d'Ubuntu, en utilisant les caractéristiques de mise en œuvre du gestionnaire « command-not-found », qui fournit un indice en cas de tentative de lancement d'un programme qui n'est pas présent dans le système. Le problème est qu'en évaluant les commandes à exécuter qui ne sont pas présentes dans le système, « command-not-found » utilise non seulement les paquets des dépôts standard, mais aussi les paquets snap du répertoire snapcraft.io lorsqu'il choisit des recommandations. | Des chercheurs d'Aqua Security ont attiré l'attention sur la possibilité d'une attaque contre les utilisateurs d'Ubuntu, en utilisant les caractéristiques de mise en œuvre du gestionnaire « command-not-found », qui fournit un indice en cas de tentative de lancement d'un programme qui n'est pas présent dans le système. Le problème est qu'en évaluant les commandes à exécuter qui ne sont pas présentes dans le système, « command-not-found » utilise non seulement les paquets des dépôts standard, mais aussi les paquets snap du répertoire snapcraft.io lorsqu'il choisit des recommandations. |
| |
| Lorsqu'il fait une recommandation basée sur le contenu du répertoire snapcraft.io, le gestionnaire « command-not-found » ne tient pas compte de l'état des paquets et ne couvre que les paquets ajoutés au répertoire par des utilisateurs non approuvés. Ainsi, un attaquant peut placer dans snapcraft.io un paquet avec un contenu malveillant caché et un nom qui chevauche des paquets DEB existants, des programmes qui n'étaient pas à l'origine dans le référentiel, ou des applications fictives dont les noms reflètent des fautes de frappe typiques et des erreurs d'utilisateurs lorsqu'ils tapent les noms d'utilitaires populaires. | Lorsqu'il fait une recommandation basée sur le contenu du répertoire snapcraft.io, le gestionnaire « command-not-found » ne tient pas compte de l'état des paquets et ne couvre que les paquets ajoutés au répertoire par des utilisateurs non approuvés. Ainsi, un attaquant peut placer dans snapcraft.io un paquet avec un contenu malveillant caché et un nom qui chevauche ceux des paquets DEB existants, des programmes qui n'étaient pas à l'origine dans le dépôt, ou des applications fictives dont les noms reflètent des fautes de frappe typiques et des erreurs d'utilisateurs lorsqu'ils tapent les noms d'utilitaires populaires. |
| |
| https://www.aquasec.com/blog/snap-trap-the-hidden-dangers-within-ubuntus-package-suggestion-system/ | https://www.aquasec.com/blog/snap-trap-the-hidden-dangers-within-ubuntus-package-suggestion-system/ |
| 18/02/2024 | 18/02/2024 |
| |
| La nouvelle version 0.10.0 du SGBD DuckDB est sortie, combinant les propriétés de SQLite, telles que la compacité, la possibilité de se connecter via une bibliothèque intégrée, le stockage de la base de données dans un seul fichier et une interface CLI pratique, avec des outils et des optimisations pour l'exécution de requêtes analytiques couvrant une partie importante des données stockées, par exemple, qui agrègent le contenu entier des tables ou qui fusionnent plusieurs tables de grande taille. Le code du projet est distribué sous la licence MIT. Le développement en est encore au stade des versions expérimentales, car le format de stockage n'est pas encore stabilisé et change d'une version à l'autre. | La nouvelle version 0.10.0 du SGBD DuckDB est sortie, combinant les propriétés de SQLite, telles que la compacité, la possibilité de se connecter via une bibliothèque intégrée, le stockage de la base de données dans un seul fichier et une interface CLI pratique, avec des outils et des optimisations pour l'exécution de requêtes analytiques couvrant une partie importante des données stockées, par exemple, qui agrègent le contenu entier des tables ou qui fusionnent plusieurs tables de grande taille. Le code du projet est distribué sous la licence du MIT. Le développement en est encore au stade des versions expérimentales, car le format de stockage n'est pas encore stabilisé et change d'une version à l'autre. |
| |
| DuckDB fournit un dialecte SQL avancé qui inclut des capacités supplémentaires pour traiter des requêtes très complexes et longues. L'utilisation de types complexes (tableaux, structures, unions) et la possibilité d'exécuter des sous-requêtes corrélatives arbitraires et imbriquées sont prises en charge. Il est possible d'exécuter plusieurs requêtes simultanément, d'exécuter des requêtes directement à partir de fichiers CSV et Parquet. Il est possible d'importer des données à partir du SGBD PostgreSQL. | DuckDB fournit un dialecte SQL avancé qui inclut des capacités supplémentaires pour traiter des requêtes très complexes et longues. L'utilisation de types complexes (tableaux, structures, unions) et la possibilité d'exécuter des sous-requêtes corrélatives arbitraires et imbriquées sont prises en charge. Il est possible d'exécuter plusieurs requêtes simultanément, d'exécuter des requêtes directement à partir de fichiers CSV et Parquet. Il est possible d'importer des données à partir du SGBD PostgreSQL. |
