Original post of genma.Votez pour ce billet sur Planet Libre.

Pour la 42ème semaine de l'année 2019, voici 12 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Firefox fait un sans faute lors d'un audit réalisé par l'agence allemande de sécurité informatique
• Python 3.8 : opérateur d'assignation, REPL async, Pickle v5 et plus
• Edward Snowden : «Sans le chiffrement, nous perdrons toute confidentialité»
• Unix/Linux : importante faille dans Sudo, le correctif disponible
• Mobilizon : on lève le voile sur la bêta
• Ransomware : comment Fleury Michon a évité de se faire charcuter
• Les sceptiques ont, heureusement, leur instance Peertube
• Politique de sécurité des mots de passe
• Créer sa propre distribution WSL
• Et si on codait des appli web ultra-dynamiques... sans une ligne de JS ?
• Alicem : démarrage chaotique pour l'identité numérique à la française
• Publication d'OpenBSD 6.6 !

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Bonjour à toutes et à tous, Dans un article en date du 5/09/2019 , je vous ai expliqué comment j'avais créé un menu cascade de mon répertoire utilisateur intégré au menu du gestionnaire de fenêtres Openbox. Pour être plus précis, il s'agissait en fait d'un pipe-menu. Eh bien, figurez -vous que je n'en suis pas [...]

Original post of Benoît Boud@ud.Votez pour ce billet sur Planet Libre.

La version 3.0.2 de LibreSSL est sortie. Elle est inclue dans OpenBSD 6.6.

Changements et améliorations :

• Utilisation d'une courbe valide lors de la construction d'une clé EC_KEY similaire à X25519. Le récent changement de cofacteur du groupe EC entraîne une validation plus stricte, ce qui fait échouer l'appel EC_GROUP_set_generator(). Issue rapportée et correctif testé par rsadowski@.
• Correction d'un "padding oracle" dans PKCS7_dataDecode and CMS_decrypt_set1_pkey. (Notez que le code CMS est actuellement désactivé). Port du correctif d'Edlinger pour CVE-2019-1563 depuis OpenSSL 1.1.1 (ancienne license) 
• Empêche un bogue de traversée de chemin dans s_server sous Windows lors de son exécution avec les option -WWW ou -HTTP, en raison d'une logique de contrôle de chemin incomplète. Issue rapportée et correctif testé par Jobert Abma.

Cette version inclut aussi les changements et améliorations suivantes depuis LibreSSL 2.9.X :

Améliorations de l'API et de la Documentation

• Le port des accesseurs RSA_METHOD depuis l'API d'OpenSSL 1.1 est achevé.
• Documentation des options non décrites et suppression de la description des options non fonctionnelles dans le manuel d'openssl(1).

Tests et Sécurité Pro-Active

• De nombreux petits correctifs dû au test oss-fuzz régulier.
• Divers canaux dans DSA et ECDSA ont été adressés. Ce sont quelques uns des nombreux problèmes trouvés par une analyse systématique approfondie de l'utilisation du bignum par Samuel Weiser, David Schrammel et al.
• Essaye de calculer le cofacteur si une valeur absurde a été fournie par les paramètres ECC. Correctif de Billy Brumley.

Améliorations pour la portabilité

• Active les optimisations de performance lors de la construction par Visual Studio sous Windows.
• Active les sous-commandes de vitesse d'openssl(1) sur la plateforme Windows.

Corrections de bogues

• Correction du problème lorsque l'extension SRTP n'est pas envoyé par le serveur.
• Correction d'une opération de portage incorrect dans l'addition 512 pour Streebog.
• Correction de l'option -modulus pour la sous-commande dsa d'openssl(1).
• Correction du problème de sortie du format PVK avec les sous-commandes dsa et rsa dans openssl(1).
• Correction de l'attaque du "padding oracle" dans PKCS7_dataDecode() and CMS_decrypt_set1_pkey() (CMS est actuellement désactivé). Par Bernd Edlinger.

Le projet LibreSSL continue d'améliorer la base du code en tenant compte des pratiques modernes pour créer du code sécurisé. Chacun est invité à faire part de commentaires et autres améliorations à la communauté. Merci à tous les contributeurs qui aident à rendre possible cette version du projet.

 

Original post of Thuban.Votez pour ce billet sur Planet Libre.

La version 3.0.2 de LibreSSL est sortie. Elle est inclue dans OpenBSD 6.6.

Changements et améliorations :

• Utilisation d'une courbe valide lors de la construction d'une clé EC_KEY similaire à X25519. Le récent changement de cofacteur du groupe EC entraîne une validation plus stricte, ce qui fait échouer l'appel EC_GROUP_set_generator(). Issue rapportée et correctif testé par rsadowski@.
• Correction d'un "padding oracle" dans PKCS7_dataDecode and CMS_decrypt_set1_pkey. (Notez que le code CMS est actuellement désactivé). Port du correctif d'Edlinger pour CVE-2019-1563 depuis OpenSSL 1.1.1 (ancienne license) 
• Empêche un bogue de traversée de chemin dans s_server sous Windows lors de son exécution avec les option -WWW ou -HTTP, en raison d'une logique de contrôle de chemin incomplète. Issue rapportée et correctif testé par Jobert Abma.

Cette version inclut aussi les changements et améliorations suivantes depuis LibreSSL 2.9.X :

Améliorations de l'API et de la Documentation

• Le port des accesseurs RSA_METHOD depuis l'API d'OpenSSL 1.1 est achevé.
• Documentation des options non décrites et suppression de la description des options non fonctionnelles dans le manuel d'openssl(1).

Tests et Sécurité Pro-Active

• De nombreux petits correctifs dû au test oss-fuzz régulier.
• Divers canaux dans DSA et ECDSA ont été adressés. Ce sont quelques uns des nombreux problèmes trouvés par une analyse systématique approfondie de l'utilisation du bignum par Samuel Weiser, David Schrammel et al.
• Essaye de calculer le cofacteur si une valeur absurde a été fournie par les paramètres ECC. Correctif de Billy Brumley.

Améliorations pour la portabilité

• Active les optimisations de performance lors de la construction par Visual Studio sous Windows.
• Active les sous-commandes de vitesse d'openssl(1) sur la plateforme Windows.

Corrections de bogues

• Correction du problème lorsque l'extension SRTP n'est pas envoyé par le serveur.
• Correction d'une opération de portage incorrect dans l'addition 512 pour Streebog.
• Correction de l'option -modulus pour la sous-commande dsa d'openssl(1).
• Correction du problème de sortie du format PVK avec les sous-commandes dsa et rsa dans openssl(1).
• Correction de l'attaque du "padding oracle" dans PKCS7_dataDecode() and CMS_decrypt_set1_pkey() (CMS est actuellement désactivé). Par Bernd Edlinger.

Le projet LibreSSL continue d'améliorer la base du code en tenant compte des pratiques modernes pour créer du code sécurisé. Chacun est invité à faire part de commentaires et autres améliorations à la communauté. Merci à tous les contributeurs qui aident à rendre possible cette version du projet.

 

Original post of Thuban.Votez pour ce billet sur Planet Libre.