Les joueurs ont eu une très mauvaise surprise durant la nuit : une panne mondiale touche la plupart des services en ligne PlayStation Network. Sony a rapidement communiqué sur le déploiement d'un correctif pour rétablir les services. Le service PlayStation Direct a été rétabli mais la gestion des comptes, les réseaux sociaux, les jeux, les vidéos et la boutique ne sont pas accessibles ou très difficilement. Cela impacte en priorité les PS4 et 5.

La panne a été provoquée par une mise à jour système provoquant un crash général. Sony n'a pas détaillé les causes ni comment le fix sera déployé. 

Il y a quelques jours une nouvelle faille dans le système d'impression Linux : Commun Unix Printing System, ou CUPS. 

« Il est important de replacer cette faille dans son contexte. Il est probable que les scores CVSS attribués aux vulnérabilités du système d'impression CUPS, y compris celle notée 9,9, seront revus à la baisse. La divulgation de ces failles a été accidentellement précipitée avant la date prévue, forçant une publication des détails alors que les éditeurs travaillent encore sur les correctifs et les avis. D'après ce que nous savons, ces failles ne sont pas comparables à des incidents majeurs tels que Log4Shell ou Heartbleed. Dans le monde des logiciels, qu'ils soient open source ou propriétaires, il existe des milliers de vulnérabilités encore non découvertes. La recherche joue donc un rôle fondamental dans leur identification et nous devons exiger des éditeurs une plus grande rigueur. Il est primordial de rappeler aux entreprises qui se concentrent sur ces nouvelles failles que les vulnérabilités les plus graves restent celles qui sont déjà connues et régulièrement exploitées par des groupes d’attaquants liés à des menaces persistantes avancées (APT) par l’intermédiaire d’États ou à des groupes de ransomwares, qui continuent de dérober des millions aux entreprises chaque année. » précise l'équipe recherche de Tenable.

La faille permet une authentification distante non autorisée permettant de remplacer les imprimantes de manière silencieuse. Cela signifie que le remplacement se fait en toute transparence sans avertissement en utilisant les liens IPP pouvant inclure un code non autorisé s'exécutant localement quand une impression est lancée. 

Les systèmes concernés :

- de nombreuses distributions Linux

- des systèmes BSD

- peut-être Chromium

- Solaris

Solutions immédiates : désactiver et retirer cups-browsed, mise à jour de CUPS, si cela n'est pas possible, bloquer tous les trafics UDP sur le port 631 et tous les trafics DNS-SD ! Ce qui n'est pas simple si du zeroconf est utilisée

Tous les détails : https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/#Summary

Une nouvelle caméra arrive sur les cartes Pi : la Pi AI Camera. Elle intègre un capteur Sony IMX500 Intelligent Vision taillé par être utilisé avec des applications IA sans alourdir le développement. La documentation indique une faible latente. Avant de l'utiliser, il ne faut pas oublier de mettre à jour l'OS et le firmware de la caméra. Plusieurs exemplaires d'apps sont disponibles (rpicam-apps) permettant par exemple de faire de la reconnaissance d'objets ou de détecter des mouvements. 

Des exemples s'appuient sur OpenCV, une référence dans le Computer Vision. Le modèle IMX500 inclut le capteur, un accélération IA. Ainsi, la Pi ne supporte pas tout le traitement Tensor permettant ainsi d'être compatible avec d'autres modèles que la Pi 5. 

Quelques specs :

12,3 millions de pixels

Résolution : 4056x3040

Focal : F1,79

Focus manuel

Compatible avec les Pi ayant un connecteur caméra

Documentation technique : https://www.raspberrypi.com/documentation/accessories/ai-camera.html

Elastic Security Labs a mis en évidence une campagne de minage illégal sous Linux exploitant des serveurs vulnérables. Cette campagne exploite des API de jeux. Une porte d'entrée est le serveur Apache 2 et les attaquants ont utilisé une suite logicielle complète pour tromper le noyau et les piles serveurs. Plusieurs malwares y ont été déployés sur les serveurs compromis dont KAIJI et RUDEVIL. 

Outre le minage, cette attaque permet de compromettre les données, d'exécuter du code non autilisé ou faire du déni de service. L'attaque remonte à mars 2024. 

Post détaillé : https://security-labs-elastic-o3p9rb9tj-elastic-dev.vercel.app/security-labs/betting-on-bots

Une vulnérabilité critique permettant l'exécution d'un code distant a été découverte dans le Container Toolkit de NVIDIA. Elleimpacte les environnements IA sur le cloud et on-premise. Cette faille permet d'accéder aux ressources des GPU. 

La faille est détaillée dans la CV-2024-0132. Tous les éléments ne sont pas connus mais elle concerne la version 1.16.1 et les versions antérieures. Seuls les toolkits incluant le Time-of-check time of use (TOCTOU) seraient concernés. L'exploitation de la faille peut générer une exécution de code non autorisé, une attaque par déni de service, récupération de données, etc. 

Le prochain noyau Linux est disponible en version RC. Linus l'a annoncé le 29 septembre. La 6.11 a été lancée mi-septembre. Une des évolutions importantes est le PREEMPT-RT, concernant le temps réel au coeur du noyau, un nouveau scheduler (sched_ext) et le support de Clang dans nolibc et diverses améliorations sur des commandes NVIDIA ou encore sur la libcpupower. Des évolutions sont aussi attendues sur les architectures Intel, AMD, Arm et RISC-V. 

Bref, la 6.12 est une mise à jour majeure sur la sécurité, les architectues CPU ou encore le temps réel. 

Pour en savoir plus : https://linuxexpress.medium.com/linux-kernel-6-12-the-next-evolution-in-amd-and-intel-hardware-performance-and-security-0955dcdf529f

Depuis le printemps dernier, Rabbit R1 est un échec complet après une forte agitation en début d'année. Rabbit voulait révolutionner l'usage du téléphone ou des apps et devenir une sorte d'assistant IA au quotidien. L'usage de l'objet n'a jamais été clairement défini. Plus de 100 000 R1 ont été vendus mais les bugs se sont accumulés. Jesse Lyu, le fondateur, a avoué que le R1 est un fisco complet : à peine 5 000 R1 sont utilisés chaque jour !

Les 16 mises à jour ont corrigé de nombreux bugs et amélioré l'usage mais elles n'ont pas suffi à relancer l'intérêt des utilisateurs. Outre les bugs, le prix est plutôt élevé (199 $) et il doit être constamment connecté. 

Un autre gadget IA est un fiasco tout aussi monumental : Humane AI Pin. Vendu une fortune, 699 $, AI Pin a été massivement retourné par les acheteurs. Dès sa commercialisation, les critiques ont été sévères  sur la qualité du produit et son incapacité à fonctionner correctement. Aujourd'hui, The Verge parle d'à peine 7 000 utilisateurs...

Kotlin a révisé sa roadmap il y a quelques jours. L'équipe garde les principaux objectifs :

- évolution du langage

- K2 based IntelliJ plugin : K2 est le nouveau compilateur Kotlin et doit aussi améliorer l'expérience de développement en amélioration la complétion du code, une meilleure analyse du code

- Kotlin Multiplatform

- simplifier le développement et le support des librairies et des outils tiers

Plusieurs fonctionnalités ont été retirées de la roadmap notamment l'exportation Swift (depuis Multiplatform), support de SwiftPM. Par contre, une intégration plus poussée avec la JVM est toujours d'actualité (notamment la génération des default method JVM). Un autre chantier important est en cours : une évolution majeure des Kotlin Build Tools API pour étendre le système de build vers d'autres outils tels que Bazel.

Roadmap complète : https://kotlinlang.org/docs/roadmap.html 

Le AppSec est un défi pour les équipes et les développeurs. Checkmarx propose déjà une solution DAST (tests dynamiques de sécurité des applications). L'éditeur étend le support des solutions open source en intégrant une des références du domaine : ZAP (Zed Attack Proxy). ZAP a été conçu pour aider les professionnels de la sécurité des applications (AppSec) à identifier et à réduire les vulnérabilités potentielles dans les applications web. Cherckmarx connaît bien le monde open source avec plusieurs projets (KICS, 2MS, CxFlows, Vorpal, ImageX).

Plusieurs points clés sont évoqués pour cet engagement :

• L'engagement renforcé de Checkmarx envers la communauté open source, comme en témoignent les divers outils maintenus par l'entreprise. Les fondateurs de ZAP et les experts open source de Checkmarx contribueront au maintien et à l’amélioration de l’outil DAST.
• L'expertise open source de l'équipe de recherche de Checkmarx, en particulier dans le domaine de la fidélité et de la précision du moteur. Travailler en collaboration avec l'équipe de ZAP permettra d'obtenir des fonctionnalités encore plus robustes et fiables.
• Des informations à valeur ajoutée provenant des clients de Checkmarx pour aider à guider les futurs développements de ZAP, afin de lui permettre de répondre plus efficacement aux besoins du monde réel. 
• Une variété de ressources pour développer les top fonctionnalités plébiscitées par la communauté.

WordPress.org n'est pas content. Matt Mullenweg n'aime pas WP Engine qui héberge plus d'1,5 millions de sites. WordPress.org refuse tout accès gratuit aux services internes à WP Engine. Mullenweg attend simplement la réaction de WP Engine et l'action légale qui pourrait suivre. Il y a quelques semaines, Mullenweg était encore plus clair : WP Engine est un cancer pour WordPress en exploitant la plateforme sans contribuer en retour. Une des causes du conflit est l'utilisation illégale de la marque WordPress. WordPress.org veut que WP Engine paie une licence d'utilisation. 

D'autre part, Mullenweg dit que WP Engine veut contrôler l'expérience WordPress en imposant le systèle de log, les mises à jour serveurs, la répertoire de plugins, le bug track, etc. Bien entendu, en face, WP Engine assure que les méchants sont en face...

Seul problème de cette guerre : les utilisateurs. Ils se retrouvent coincer et les risques d'arrêt du service sont réels tout comme les erreurs d'exécution. D'ailleurs, dans son post, Mullenweg n'évoque pas une seule fois les utilisateurs ni l'avenir des sites WordPress. Il est regrettable que l'utilisateur soit la victine de cette guerre et que Mullenweg ne cherche pas à les rassurer ou les soutenir. WP Engine n'est pas meilleur dans la défense des utilisateurs.

Post de Matt : https://wordpress.org/news/2024/09/wp-engine-banned/

Intel met une nouvelle fois à jour les microcodes des 13e et14e générations d'Intel Core (Raptor Lake). Cette mise à jour est nommée : Microcode 0x12B. Elle doit protéger l'électronique contre une sur-tension non prévue causée par le processeur. Une tension non sollicitée peut altérer plus ou moins gravement la carte mère embarquant les processeurs en cause. 

Intel a déterminé l'instabilité du Vmim Shift et cette update doit régler le problème. Cependant, cette mise à jour ne concerne pas les CPU qui ont déjà crashés. Intel a envoyé ce microcode aux constructeurs pour mettre à jour les cartes mères et les BIOS. Le fondeur ne précise pas combien de CPU sont concernés. 

Annonce officielle : https://community.intel.com/t5/Blogs/Tech-Innovation/Client/Intel-Core-13th-and-14th-Gen-Desktop-Instability-Root-Cause/post/1633239

Article publié par The Verge : https://www.theverge.com/2024/9/25/24254611/intel-13th-14th-gen-crashes-september-2024-microcode-0x12b

Mise à jour mineure de l'IDE Java de JetBrains. La 2024.2.3 apporte surtout des correctifs :

- paramètres de synchronisation ayant un comportement attendu

- ajustement sur le launcher

- navigation correcte entre les variables HCL et HCL2 (Terraform)

Mise à jour depuis le site de l'éditeur ou directement dans l'IDE

Note de version : https://blog.jetbrains.com/idea/2024/09/intellij-idea-2024-2-3/ 

Où en est l'Open Source en Europe et sa maturité ? Le rapport 2024 de la fondation Linux permet d'en savoir un peu plus... Plusieurs éléments clés ressortent du rapport :

- aide à acquérir une indépendance et une souveraineté technologique

- 76 % des répondants pensent que la sécurité est meilleure avec les logiciels open source

- LLM et IA peuvent profiter de l'open source (43 % des répondants)

- 82 % des répondants sont d'accord pour que l'open source soit développé avec de l'argent public

Pour l'industrie, l'open source aide aux standards et à l'interopérabilité, soutient l'innovation et peut réduire les coûts de développement. Par contre, plusieurs freins pèsent sur l'adoption et la contribution active à l'open source : le manque de compétences, la complexité des processus de contributions, et le rejet des contributions peut être un frein.

Sans surprise, le monde technologique bénéficie largement de l'open source, tout comme les institutions publiques et l'éducation. Cependant, plusieurs points doivent être définis ou améliorés : définir une stratégie claire envers l'open source, rejoindre des fondations ou projets open source ou encore en parler publiquement. 

Deux domaines peuvent bénéficier de l'open source : la sécurité et l'IA. Sans surprise, les répondants disent que la sécurité est meilleure en Open Source que les projets fermés. Cependant, il ne faut pas croire que le logiciel open source est plus sécurisé. Les failles sont aussi nombreuses mais les corrections sont plus rapides à arriver.

... il y a des limitations à cette ouverture de code !

Pour rappel, Winamp est un des lecteurs audio les plus connus du monde Windows. La première version remonte à 1997. Pour construire le projet il faut utiliser Visual Studio 2019 et les librairies Intel IPP et plusieurs dépendances : libvpx, libmpg123, OpenSLL, DirectX 9, ATLMFC lib fix. 

Comme l'évoque Korben, cette ouverture est limitée avec la licence imposée : la Winamp Collaborative Licence. Il est possible de voir le code et de le modifier. Ouf. Mais :

- interdiction de distribuer une version modifiée 

- interdiction du forker

- uniquement les mainteneurs du canal officiel peuvent distribuer le logiciel et les corrections

Source : https://github.com/WinampDesktop/winamp

GitHub annonce qu'il est maintenant possible de stocker les données en Europe. Cette possibilité est disponible uniquement avec GitHub Enterprise Cloud et à partir du 29 octobre. L'éditeur annonce ainsi :

• La possibilité de stocker votre code et vos données de référentiel dans la région de votre choix.  

• Un contrôle amélioré des utilisateurs, permettant aux organisations de gérer et de contrôler les comptes d’utilisateurs. 

• Des espaces de noms uniques propres à votre entreprise, isolés du cloud open source. 

• Disponibilité accrue et prise en charge de la continuité des activités et de la reprise après sinistre par zone. 

De nouvelles régions de stockage seront disponibles dans les prochains mois : Australie, Asie, Amérique latine. 

GitLab annonce le support d'OpenSSL 3 sur les versions Linux de GitLab 17.7. OpenSSL 1.x est en fin de vie et la nécessité de migrer était impératif. Attention : cette mise à jour d'OpenSSL modifie les types de connexion côté serveur GitLab. Le support de l'éditeur dit être mobilisé pour vous aider à migrer pour minimiser les problèmes. 

Il est fortement conseillé d'être à jour sur la version de GitLab avec les derniers patchs de sécurité. 

La 17.7 sortira avant la fin de l'année. 

Pour en savoir plus : https://about.gitlab.com/blog/2024/09/18/gitlab-linux-package-being-upgraded-to-openssl-3/

Linux peut-il booter sur un 4004, le premier microprocesseur du marché ? Il fut conçu par Intel et commercialisé en 1971. Techniquement, c'est un exploit que Grinberg a relevé non sans quelques contournement. Le développeur réussit à adapter une Debian. Déjà en 2012, il avait réussi à démarrer Linux sur un vénérable microcontrôleur 8 bits.

En réalité, Linux ne boote pas directement sur le 4004, c'est techniquement impossibe :ROM et RAM trop petites, pas de compilateur C et l'architecture CPU trop archaïque. Pour contourner le problème, il va émuler un MIPS R3000 ! Le développeur a donc créé un émulateur R3000 en assembleur sur le 4004 ! Il faut presque 5 jours pour que Linux boote !

Article complet : https://dmitry.gr/?r=05.Projects&proj=35.%20Linux4004

Real Python propose une présentation de deux fonctionnalités de Python 3.13 :

- Free Threading

- compilateur JIT.

Le Free Threading est un élément important pour mieux exploiter la puissance CPU. "En résumé, le GIL permet à un seul thread d'exécution de fonctionner à un moment donné, quel que soit le nombre de cœurs dont votre processeur est équipé. Cela empêche Python de tirer parti efficacement de la puissance de calcul disponible." Le PEP 703 résume ainsi l'intérêt du Free Threading : "Le verrou global de l'interpréteur (GIL) de CPython empêche plusieurs threads d'exécuter du code Python simultanément. Le GIL constitue un obstacle à l'utilisation efficace des processeurs multi-cœurs avec Python. Cette PEP propose d'ajouter une configuration de compilation (--disable-gil) à CPython pour permettre l'exécution du code Python sans le verrou global de l'interpréteur, ainsi que les modifications nécessaires pour rendre l'interpréteur sécurisé pour les threads."

Cependant, retirer le GIL n'est pas sans conséquence sur l'interpréteur en lui-même et les codes. Actuellement, il n'est pas question de supprimer le GIL du langage mais à le rendre optionnel quand cela sera possible. Un PEP à suivre !

Autre élément important de Python 3.13 : le compilateur JIT. Python est une langage fondamentalement interprété. Le PEP 744 vise à intégrer un compilateur juste à temps, comme nous en trouvons dans d'autres langages, le plus connu étant celui de Java. L'objectif est de fournir des exécutables plus rapides et de produire des bytecodes performants. Il exite plusieurs JIT externes (PyPy, Pyjion). Le compilateur JIT de la 3.13 est une version expérimentale qui pourrait être intégré par défaut au langage. 

Quelques liens :

https://realpython.com/python313-free-threading-jit/

https://peps.python.org/pep-0744/

TYPO3 est une des CMS phares du marché. Il est disponible en version 13.3 qui apporte de nombreuses évolutions :

- blocs contenus : il s'agit d'un contenu définissant un content type. Ce "bloc" contient les content elements, les types page ou encore les record types. Bref, il encapscule tout un ensemble d'éléments dans un composant unique. Content Blocks est le nom de l'extension et il génère le code nécessaire pour les Core API. Les types de contenus actuels restent disponibles

- Site Sets : Les Site Sets vous permettent de regrouper des configurations prédéfinies telles que TypoScript, TSconfig, des modèles, etc. dans une extension, de les inclure dans des sites et de les partager entre les installations. La 13.3 étend les paramètres.

- la gestion des permissions utilisateurs dans le backend a été modifiée pour être plus simple

- nouveaux widgets dans le tableau de bord

- le moteur de templates, Fluid, est mis à jour. Attention : la mise à jour va la nouvelle peut poser problèmes.

- ExpressionBuilder : nouvelle méthode pour créer des expressions if then else

- la 13.3 n'apportera plus de nouvelles fonctionnalités à TYPO3 13. 

Note de version : https://docs.typo3.org/c/typo3/cms-core/main/en-us/Changelog/13.3/Index.html

Comment exécuter des apps .Net nativement sur un matériel Arm64 ? VS 2022 génère des apps natives Arm64 via les paramètres AnyCPU. Mais comment les utiliser directement sur un matériel Arm64 ? 

Windows 24H2 propose de nouveaux paramètres pour les fichiers manifestes des apps. Ils concernent spécifiquement les processeurs arm64. 

Depuis VS 2022, il faut :

- installer la version Windows 24H2 sur son poste de dév et le poste cible Arm64

- ouvrir le projet .Net dans VS 2022 et afficher les propriétés

- dans la partie Build : confirmer AnyCPU et déselectionner Prefer 32-bit

- sélectionner Prefer native ARM64

- enregistrer et faire un rebuild du projet

- déployer l'app sur une machine Arm64. 

Post source : https://devblogs.microsoft.com/visualstudio/how-to-run-net-apps-natively-on-arm64-devices/

A peine la 46.5 disponible, le projet Gnome annonce déjà la 47, alias Denver. Cette version annonce la disponibilité de l'option Accent Colors. L'outil doit permettre de mieux personnaliser les couleurs des éléments de l'interface. Les petits écrans seront mieux supportés, notamment sur la gestion de la taille des icônes. Pour la partie enregistrement de l'écran, Gnome 47 utilisera l'encodage matériel sur Intel et ARM. Autre amélioration attendue, le rendu qui devrait connaître un réel boost sur une mise à jour de GTK. 

Quelques autres améliorations annoncées :

- un nouveau style de boîte de boîte de dialogue

- une fenêtre pour l'enregistrement et l'ouverture des fichiers

- Une nouvelle vue réseau sera disponible pour une meilleure visibilité des différents matériels connectés

- sur les matériels mobiles, la suspension d'activité sera disponible

- le navigateur aura droit à une sérieuse mise à jour : des favoris largement revus, remplissage automatique d'un formulaire,

- l'application Calendrier corrigera de nombreux bugs !

JFrog annonce JFrog Runtime. Il s'agit d'une solution pour tracer et monitorer les runtimes, c'est-à-dire les environnements de déploiement et d'exécution des applications. Jusque-là, rien de bien nouveau. Mais l'éditeur veut mieux sécuriser les applications conteneurisées. Ce qui est un défi car les infrastructures conteneurs ne sont pas toujours simples à surveiller ni à introspecter. « À l’heure où les organisations adoptent de plus en plus une approche shift left pour lutter contre la prolifération des menaces, la déconnexion entre les outils exerce une pression supplémentaire sur les développeurs, ainsi que sur les équipes de MLOps et de sécurité », déclare Asaf Karas, directeur technique de JFrog Security. « Les entreprises peuvent réduire cette charge en adoptant une plateforme unifiée offrant des capacités de visibilité, de correction et de traçabilité tout au long des processus de développement et de sécurité. Grâce à cette solution intégrée, qui associe des capacités d’analyse et de conservation sécurisées de modèles en continu aux indicateurs fournis par JFrog Runtime, les équipes DevOps, de data scientists et d’ingénieurs de plateforme peuvent améliorer considérablement la livraison de logiciels fiables à grande échelle. »

Les principales fonctionnalités de l'outil Runtime :

• Visibilité en temps réel sur les vulnérabilités : profitez d’informations en temps réel sur les vulnérabilités au sein de votre environnement d’exécution.
• Tri accéléré grâce à une hiérarchisation avancée : rationalisez l’identification et la hiérarchisation des incidents de sécurité en fonction de leur impact sur les métiers.
• Atténuation des risques grâce à la gestion de l’exposition : identifiez rapidement la source et les responsables des packages vulnérables, afin d’atténuer plus rapidement les risques.
• Protection des workloads dans le cloud : prenez part aux efforts de protection des applications grâce à une surveillance continue des menaces post-déploiement telles que les attaques de logiciels malveillants et l’élévation des privilèges.
• Des fonctions analytiques complètes pour les clusters Kubernetes : activez l’évaluation en continu du runtime des workloads et des conteneurs, afin de détecter les vulnérabilités en temps réel, et d’assurer leur alignement avec les processus et fichiers correspondant au sein de JFrog Artifactory.
• Surveillance centralisée des incidents : conservez une vue consolidée de votre environnement d’exécution afin de pouvoir identifier tout incident et y répondre avec précision.