Grosse faille de sécurité dans l’écran de connexion d’Ubuntu 14.04

Ubuntu « Trusty Thar » est disponible depuis le 17 avril dernier, avec son lot de nouveautés, dont un nouvel écran de verrouillage.

Cependant, il vient d’être découvert une grosse faille à cet endroit, avec la possibilité de bypasser le mot de passe.

Il suffit de cliquer plusieurs fois avec le clic droit les indicateurs présents dans la barre du haut, puis appuyer sur ALT+F2 pour avoir accès aux raccourcis (ou CTRL+ALT+T pour ouvrir un terminal). Il devient alors très simple d’accéder à la session de l’utilisateur.

Démonstration vidéo

La faille a été patchée il y a 5 heures, mettez donc à jour au plus vite votre OS.

Ubuntu: Une faille dans sudo permet d’obtenir le droit root en modifiant l’heure

logo-ubuntu_su-orange-hex

Utilisateurs d’Ubuntu, attention…

Il y a 2 semaines, un bug au niveau de sudo révélé sur MacOS permettait à quiconque qui changeait la date de la machine au 1er janvier 1970 (début du temps sur Unix) d’obtenir le droit root (source).

Mais sur Reddit, l’utilisateur tnctic s’est rendu compte qu’une variante de ce bug s’applique à Ubuntu et est assez simple à reproduire.

Comparé à Debian (et certainement d’autres distributions?), Ubuntu et ses variantes (sauf Xubuntu) ne demandent pas de mot de passe root pour modifier l’heure dans les environnements Unity/Gnome/KDE/…

Exemple: Dans un terminal, éditez un fichier avec « sudo vim/nano » ou ouvrez une session root avec « sudo -i » / « sudo -s » pendant 10 minutes de 22h10 à 22h20. Après le timeout de sudo (qui peut être définie dans le fichier sudoers), si vous modifiez l’heure de l’ordinateur entre 22h10 et 22h20, vous pourrez à nouveau exécuter des commandes avec le droit root (sudo..) dans ce terminal.

time-ubuntu

Il y a donc un problème de sécurité, même si il reste assez minime. En effet, il faut avoir accès à la machine et savoir quand une session root a été ouverte (= pouvoir lire le fichier /var/log/auth.log).

Néanmoins, pour protéger un peu plus son ordinateur, on peut réduire à 0 le timeout de sudo dans sudoers et désinstaller le paquet policykit-desktop-privileges pour protéger par mot de passe le changement de date/heure.

Il reste donc à atteindre un changement de la part de Canonical pour empêcher le changement d’heure sans mot de passe (mais pour l’instant, c’est intentionnel) ou une modification de sudo pour qu’il utilise une « autre horloge interne ».

Suivi du bug de sudo
Discussion à propos du bug sur Reddit

Un thème Google Now pour Conky

Conky est un petit outil pratique pour surveiller en temps réel les informations de son ordinateur, en étant entièrement personnalisable.

~satya164 a développé un thème « Google Now » pour Conky, disponible sur Deviantart.

capture

Voici comment l’installer sur Debian/Ubuntu:

  • Installer Conky et Curl avec la commande sudo apt-get update && sudo apt-get install conky curl
  • Télécharger la configuration Conky ici ou sur la page Deviantart (« Download file » dans la colonne de droite) et l’extraire dans votre dossier personnel
  • Ouvrir le fichier .conkyrc et modifier la valeur 2294941 par l’ID Yahoo Weather de votre ville (faire une recherche sur weather.yahoo.com et prendre le numéro affiché dans l’URL de votre ville)
  • Démarrer Conky!

De base, la météo s’affiche pour les 5 jours suivants, le fichier .conkyrc-2 affiche la météo pour les 2 jours suivants. Il existe aussi un thème Dark et Transparent.

Il est bien sur possible d’ajouter d’autres informations avec les variables de Conky 🙂

Ubuntu dévoile Edge, son premier Ubuntu Phone & PC

EDIT suite à l’annonce:

Canonical a annoncé Edge, un smartphone qui peut être utilisé en tant que PC dès qu’il sera branché sur un dock. Voici la vidéo de présentation:

Ubuntu Edge, partie Hardware:

Il est prévu que le téléphone soit aussi puissant qu’un PC, avec :

  • Un processeur multi-core, 4GB de RAM et 128 GB de stockage.
  • Dual boot Android / Ubuntu OS
  • Ecran HD 1280×720
  • Caméra 8 MP

Ubuntu Edge, partie Software:
(suite…)

Télécharger des sous-titres dans VLC avec VLSub

Récupérer un sous titre quand on regarde l’épisode d’une série en version originale peut parfois être long et ennuyant, surtout quand on regarde plusieurs épisodes de différentes séries en même temps.

Le développeur exebetche sur Github a créé VLSub, une extension VLC qui récupère directement le sous titre de l’épisode en cours et l’intègre à la lecture sans avoir à redémarrer le logiciel.

Pour l’instant, l’extension utilise opensubtitles.org comme source.

  • Télécharger l’archive ZIP de l’extension
  • Copier le fichier vlsub.lua dans le dossier « extensions » de VLC (à créer si nécessaire):
    • Windows: C:\Program Files\VideoLAN\VLC\lua\extensions\
    • Linux: /usr/lib/vlc/lua/extensions/
    • Mac OS X: /Applications/VLC.app/Contents/MacOS/share/lua/extensions/
  • Démarrer la lecture d’un épisode et aller dans Vue -> VLSub
  • Normalement les informations « Title », « Season » et « Episode » sont déjà complétées, sélectionner « Search by Name » puis « Download selection » sur le sous-titre choisi.
    vlsub
  • Fermer la fenêtre, le sous-titre est maintenant intégré.

Source

[Tutoriel] Remplacer Google Reader par Tiny Tiny RSS

Avec la disparition programmée du service de flux RSS Google Reader au 1er Juillet 2013, je me suis mis à la recherche d’un nouvel outil pour lire les actualités de certains sites, tout cela en ligne depuis n’importe quel ordinateur, sans devoir installer un logiciel à chaque fois.

Pour correspondre à mes besoins, j’ai trouvé Tiny Tiny RSS (TTRSS), qui peut s’installer sur n’importe quel serveur web Apache2/MySQL/PHP.

ttrss1

Installation

(suite…)

Comment nVidia et Valve ont porté le moteur de jeu Source sur Linux

En mars dernier, lors de la GDC (Game Developers Conference), nVidia et Valve ont présenté lors d’une conférence les leçons apprises lors du portage du moteur de jeu Source sur Linux avec la sortie de Steam sur cette plateforme récemment.

Ils sont revenus sur les différentes raisons qui ont poussé à faire ce portage: Linux est libre, le pourcentage de gamers augmente, la proximité avec Android, les performances et la sortie de Steam.

On peut retrouver dans cette présentation les outils conseillés pour le développement (SDL, Simple Direct Layer, et l’implémentation du C) et l’analyse des performances CPU (vtune, and Telemetry) et GPU (NVIDIA Nsight, PerfStudio, gDEBugger, CodeXL et ApiTrace).

Ils ont aussi évoqué les contraintes de développement par rapport à Windows: les noms de fichiers sensibles à la casse, la gestion des ports pour les serveurs, la gestion de la souris, du multi-écran ou de l’affichage des polices de caractères.

L’intégralité de la conférence est disponible en PDF (90 pages) sur le site d’nVidia (mirroir sur mon blog) et en vidéo (conférence en anglais):

Le jour où KDE a failli perdre l’intégralité de ses dépôts GIT

Le 22 mars dernier, KDE est passé pas loin du désastre de l’année quand ils ont failli perdre l’intégralité de leurs dépôts GIT (+ de 1500)…

klogo-official-oxygen-128x128

Dans un article publié sur son blog, Jeff Mitchell a expliqué que vendredi dernier, le serveur hébergeant git.kde.org a du être redémarré pour appliquer des mises à jour de sécurité. Toutes les machines virtuelles se sont éteintes sans problèmes, les mises à jour ont été appliquées et le serveur a été redémarré.

Un problème est apparu lors de l’allumage des machines virtuelles, le système de fichiers (ext4) était entièrement corrompu, qui a du avoir lieu pendant le redémarrage des VMs ou du serveur général. Les développeurs ont voulu vite vérifier les miroirs qui sont utilisés pour gérer la charge de trafic des 1500 dépôts GIT et qui servent de backup du serveur GIT principal, mais chaque miroir était déjà corrompu et il manquait une bonne partie voir tous les dépôts!
(suite…)

Installer simplement la dernière version d’Owncloud

owncloud

J’avais écrit il y a plus d’un an un tutoriel pour installer Owncloud sur un serveur Linux. Ce tutoriel est toujours d’actualité mais avec les dernières mises à jour, il est dorénavant possible de l’installer via le gestionnaire de paquets sur plusieurs distributions Linux.

Voici les commandes à exécuter sur un serveur Ubuntu 12.10:

  • sudo echo ‘deb http://download.opensuse.org/repositories/isv:ownCloud:community/xUbuntu_12.10/ /’ >> /etc/apt/sources.list.d/owncloud.list
  • sudo wget http://download.opensuse.org/repositories/isv:ownCloud:community/xUbuntu_12.10/Release.key
  • sudo apt-key add – < Release.key
  • sudo apt-get update && apt-get install owncloud

Pour les autres distributions (Debian, OpenSUSE, etc.)

Par rapport à la version 2.0.1 de mon précédent article, le logiciel a bien évolué apportant la lecture en streaming de vidéos, l’édition de fichiers (y compris du code), les contacts, le versionning, le support du WebDAV, les clients Desktop (Windows, Mac & Linux) et probablement un lecteur de flux RSS à venir…

owncloud1
owncloud2
owncloud3

Installer Ubuntu sur la gamme Nexus

ubuntu-tab-phone

Canonical vient de mettre en ligne la procédure pour installer Ubuntu sur la gamme Nexus (Galaxy Nexus, Nexus 4, 7 et 10).
Il faut cependant noter que cette version Alpha est seulement destiné à des tests pour le développement d’applications, toutes les fonctionnalités ne sont pas disponibles et la procédure efface l’intégralité de la tablette (il est possible de restaurer l’OS Android).

Ce qui devrait fonctionner à l’heure actuelle:

  • Applications de base
  • GSM, appels et SMS (Galaxy Nexus et Nexus 4)
  • Wifi
  • Camera
  • adb (Android Developer Bridge)

Etape 1: installer les outils sur Ubuntu

sudo add-apt-repository ppa:phablet-team/tools
sudo apt-get update
sudo apt-get install phablet-tools android-tools-adb android-tools-fastboot

Etape 2: déverrouiller le bootloader de l’appareil

  1. Quand l’appareil est éteint, allumez-le en maintenant les boutons d’alimentation + volume haut + volume bas en même temps
  2. L’appareil s’allume sur le bootloader
  3. Branchez le téléphone sur votre ordinateur avec le câble USB
  4. Exécutez la commande sudo fastboot oem unlock dans un terminal
  5. Acceptez les termes
  6. Quand le processus est fini, débranchez le câble USB et allumez à nouveau l’appareil

Etape 3: installer Ubuntu sur l’appareil

  1. Sur Android, activez le débogage USB (Paramètres -> Système -> Options de développement -> débogage USB)
  2. Branchez le téléphone à l’ordinateur avec le câble USB
  3. Gardez dans un coin le numéro de build installé (Paramètres -> A propos -> Numéro de build)
  4. Exécutez la commande phablet-flash -b dans un terminal
    Ou pour mettre à jour la version déjà installée sur votre appareil, la commande phablet-flash
  5. L’appareil redémarre sous Ubuntu!

En plus: remettre Android sur l’appareil

  1. Se rappeler du nom de build et se rendre sur ce site pour télécharger l’image d’usine de l’appareil
  2. Extraire l’archive et se rendre dans le dossier de l’image avec le terminal
  3. Exécutez les commandes sudo adb reboot-bootloader et sudo ./flash-all.sh
  4. L’appareil redémarre sous Android!

Source