openSUSE 11.3 Release Notes

Copyright © 2010 Novell, Inc.

Il est permis de copier, distribuer et/ou modifier ce document selon les conditions de la licence GNU Free Documentation, Version 1.2 ou n'importe quelle version plus récente publiée par la Free Software Foundation ; sans section inaltérable, sans texte de première page de couverture ni texte de dernière page de couverture. Une copie de la licence est incluse dans le fichier fdl.txt.

The release notes are under constant development. Download the newest version as part of the Internet test or refer to http://www.suse.com/relnotes/i386/openSUSE/11.3/RELEASE-NOTES.en.html.

Ces notes de version traitent des points suivants :

Installation
  1. N/A
Généralités
  1. Documentation openSUSE
  2. LXDE—a New Desktop Environment
Mise à niveau du système
  1. Samba: Service smbfs renommé en cifs
  2. Incompatible IPsec and strongSwan Changes
Aspect technique
  1. Initialisation de la carte graphique avec KMS (Kernel Mode Setting)
  2. Samba : mount.cifs n'est plus setuid root
  3. SSH Public Key Authentication

Installation

N/A

Généralités

Documentation openSUSE

LXDE—a New Desktop Environment

LXDE provides a lightweight desktop environment for old and obsolete computers with limited hardware resources.

pcmanfm and libfm (LXDE File Manager and its main library) are released as RC1 versions and will get updated with the official updates (stable versions) as soon as possible.

Mise à niveau du système

Samba: Service smbfs renommé en cifs

Depuis quelques temps, smbfs n'est plus inclus dans le noyau. Le composant cifs l'a remplacé. Pour éviter les confusions avec le nom du service, nous l'avons finalement renommé en conséquence.

Lors de la mise à jour d'un système avec un paquet samba-client installé, l'état du service sera enregistré, /etc/samba/smbfstab sera migré vers /etc/samba/cifstab, et l'état du service sera restauré si nécessaire.

Incompatible IPsec and strongSwan Changes

The "sha256"/"sha2_256" keywords now configure the kernel with 128-bit truncation, not the non-standard 96-bit truncation used by previous releases. If you depend on the 96-bit truncation scheme, use the new "sha256_96" keyword—this might be necessary, if you want to establish a connection with an old kernel (openSUSE 11.2 or earlier).

In those case modify the connection settings to the old and non-standard 96-bit truncation in the ipsec.conf of the new system:

esp=aes128-sha256_96

There is also an incompatible strongSwan change. IPComp in tunnel mode was fixed to strip out the duplicated outer header. This change makes IPComp tunnel mode connections incompatible with previous releases. Disable compression on such tunnels.

Aspect technique

Initialisation de la carte graphique avec KMS (Kernel Mode Setting)

Avec openSUSE 11.3, KMS (Kernel Mode Setting) est activé par défaut pour les cartes graphiques Intel, ATI et NVIDIA. Si vous rencontrez des problèmes avec le support de KMS par les pilotes (intel, radeon, nouveau), désactivez KMS en ajoutant nomodeset à la ligne de commande d'amorçage du noyau. Pour définir ceci de manière permanente, ajoutez-le à la ligne de commande du noyau dans /boot/grub/menu.lst. Cette option permet de s'assurer que le module du noyau (intel, radeon, nvidia) est chargé avec modeset=0 dans initrd, c'est à dire que KMS est désactivé.

Dans les rares cas où le chargement du module DRM depuis initrd pose problème, sans relation avec KMS, il est même possible de désactiver complètement le chargement du module DRM dans initrd. Pour cela, définissez la variable sysconfig NO_KMS_IN_INITRD à yes via YaST, ce qui recrée ensuite initrd. Redémarrez votre machine.

On Intel without KMS the Xserver falls back to the fbdev driver (the intel driver only supports KMS); alternatively, there is the "intellegacy" driver (xorg-x11-driver-video-intel-legacy package) which still supports UMS (User Mode Setting). To use it, edit /etc/X11/xorg.conf.d/50-device.conf and change the driver entry to intellegacy.

On ATI for current GPUs it falls back to radeonhd. On NVIDIA without KMS the nv driver is used (the nouveau driver only supports KMS).

Samba : mount.cifs n'est plus setuid root

Le programme mount.cifs, qui est utilisé pour monter les partages Samba/CIFS, ne sera pas autorisé à s'exécuter comme programme setuid root. mount.cifs a été l'objet de plusieurs failles de sécurité qui se sont produites à cause de son utilisation comme programme setuid root. Par exemple, des outils comme smb4k dans la distribution nécessitent que mount.cifs soit setuid root. Il y donc des chances pour que les utilisateurs de tels outils définissent le bit setuid. Ce programme n'a pas fait l'objet d'un audit de sécurité et l'équipe Samba recommande fortement de ne pas l'installer comme programme setuid root à l'heure actuelle.

Pour rendre cela très clair, cette version désactive par la force la possibilité d'exécuter mount.cifs comme programme setuid root. Les personnes intéressées peuvent retirer cette fonctionnalité, simplement en définissant CIFS_DISABLE_SETUID_CHECK à 1, mais à leurs risques et périls.

Un audit de sécurité et une reconception de ce programme sont en cours de réalisation par l'équipe Samba.

SSH Public Key Authentication

In /etc/ssh/sshd_config relative paths are no longer allowed. When pointing to the authorized_keys file, use %h/ in front of the path. Otherwise logging in using SSH Public Key Authentication will fail with openSSH 5.4 and later.

Example:

PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys