samedi 22 novembre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Derniers journaux de niconux :

Journal : Réactivité des distributions en terme de sécurité

Posté par niconux (page perso, ) le 04 août 2006
0
Je suis tombé sur cet article : http://searchsecurity.techtarget.com/originalContent/0,28914(...)

En se basant sur 30 bulletins d'alertes Secunia, searchsecurity a analysé le temps mis par 9 distributions pour corriger ces différents bulletins. Dans le trio de tête on retrouve :

  • Ubuntu

  • Fedora Code

  • Red Hat enterprise



Je vous laisse découvrir le reste du classement ...

Je suis un peu étonné par la position de certaine distribution (pas de nom pour éviter les trolls)

> Lire le journal (23 commentaires, moyenne: 1,9).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

La slack !

Posté par pasPierre pasTramo () le 04/08/2006 à 19:27. (lien). Évalué à 0.

Slackware 9 ème, c'est étonnant !

  • [+] [^]Re: La slack !

    Posté par Farvardin (page perso, ) le 04/08/2006 à 19:59. (lien). Évalué à -8.

    pour ubuntu c'est normal qu'ils arrivent en premier pour la réactivigé, en fait leurs failles viennent sans doute principalement d'une mauvaise copie de la Debian, d'étourderies et d'erreurs de jeunesses, genre "oooops j'ai laissé le mot de passe en clair dans /var/log/installer/cdebconf/questions.dat, pof pof pof, et voilà c'est corrigé, quelle réactivité quand même, en plus on est payé pour le faire, au moins on est mieux là que lorsque l'on était chez Debian !"
    cf. http://linuxfr.org/2006/03/13/20494.html

    Pour Slackware qui a sans doute très peu de boulettes failles de ce genre, les vraies failles sont forcément plus longues à corriger.

    --
    Et si vous essayiez un *BSD pour quelques temps ?

    • [^]Re: La slack !

      Posté par Damien POBEL (page perso, ) le 04/08/2006 à 20:06. (lien). Évalué à 5.

      Tu n'as visiblement même regardé l'article. Si tu l'avais lu tu aurais vu la liste des failles par rapport auxquelles cette étude a été menée...

      Aller je t'aide, c'est la colonne de gauche sur fond gris juste en dessous de "Vulnerabilities examined and their severity".

      --
      Album de photos numériques - Pages du manuel Linux

      • [+] [^]Re: La slack !

        Posté par Farvardin (page perso, ) le 04/08/2006 à 21:04. (lien). Évalué à -1.

        oui effectivement j'avoue avoir zappé le "En se basant sur 30 bulletins d'alertes Secunia,", j'ai juste lu slackware, failles et "ubuntu dans le trio de tête", et là j'ai perdu toute raison et tout esprit critique, ma peau est devenue verte, et j'ai trollé comme un malade. D'un autre coté la face du monde n'en a pas été changée alors c'est pas bien grave.

        --
        Et si vous essayiez un *BSD pour quelques temps ?

    • [^]Re: La slack !

      Posté par Farvardin (page perso, ) le 04/08/2006 à 20:08. (lien). Évalué à 2.

      bien entendu, au delà de la petite vanne anti-ubuntu sponsorisée par le comité international des distributions aigries, s'il faut vraiment retenir quelque chose de cette étude c'est surtout cela :

      Naturally, it's unwise to put too much stock in the absolute numbers themselves; it's better to think about what is causing these results. For example, both Ubuntu and Fedora are free, but are sponsored by commercial vendors (Canonical Ltd. and Red Hat Inc., respectively). This could indicate that having corporate resources to support free efforts is important.


      en gros, les distributions "communautés" soutenues par des entreprises commerciales sont forcément plus réactives puisqu'elles ont les moyens de cette réactivité.

      Et puis comme pour les tests entre linux et windows, il faudrait vraiment pouvoir juger chaque vulnérabilité au coup par coup, par rapport à leur importance.

      --
      Et si vous essayiez un *BSD pour quelques temps ?

Un classement qui sert à rien

Posté par Hrundi V. Bakshi () le 04/08/2006 à 19:49. (lien). Évalué à 4.

Je veux bien qu'ils s'amusent à classer pour faire troller les gens, mais leur classement + "analyse" font que ça ne mesure pas grand chose.
extraits

La conclusion pleine de lumière :
"The bottom line is that even this informal analysis shows there are definitely differences in how fast Linux distributions develop and issue security patches."

et la superphrase qui relativise tout et leur fait dire qu'il se peut que ce qu'ils mesure n'ai pas peut-être grand chose à voir avec la sécurité :
"
A similar consideration may help explain Trustix Secure Linux's low score of 32: this distribution is oriented toward security, so perhaps its security experts take longer to verify vulnerability fixes.
"

De ce classement, que peut-on tirer ?

  • [^]Re: Un classement qui sert à rien

    Posté par patrick_g (page perso, ) le 04/08/2006 à 20:17. (lien). Évalué à 5.

    >> De ce classement, que peut-on tirer ?

    Des trolls du vendredi ?

  • [^]Re: Un classement qui sert à rien

    Posté par moramarth () le 04/08/2006 à 20:18. (lien). Évalué à 2.

    De ce classement, que peut-on tirer ?


    De la pub…

    --
    Citoyen moramarth

    • [^]Re: Un classement qui sert à rien

      Posté par imalip (page perso, ) le 04/08/2006 à 20:33. (lien). Évalué à 3.

      Genre comme ca ?

      http://fridge.ubuntu.com/node/481

      --
      "While a monkey can be a manager, it takes a human to be an engineer" Erik Zapletal

      • [^]Re: Un classement qui sert à rien

        Posté par moramarth () le 05/08/2006 à 04:16. (lien). Évalué à 1.

        Oui, mais aussi simplement pour l'institut de recherche qui a fait le classement, déjà…

        --
        Citoyen moramarth

        • [^]Re: Un classement qui sert à rien

          Posté par plagiats () le 07/08/2006 à 08:54. (lien). Évalué à 1.

          en même temps ce n'est que justice, ils font un boulot, ils le publient, ils sont clairs sur les méthodes utilisées dans l'étude...

          --
          La mort est un phénomène naturel qui se produit par l'avalement répété de petites quantités de salive au cours d'une grande période de temps. - George Carlin

Ne prends pas compte de tous les paramètres

Posté par Lokthare (Jabber id, page perso, ) le 04/08/2006 à 21:07. (lien). Évalué à 6.

J'avais déja vu ce rapport via le blog d'un membre de la communauté de Fedora Core.

La vitesse de parution de mise à jour n'est qu'un parametre permettant de juger de la fiabilité de la distribution.

Par exemple, certains bugs ne sont pas critique pour certaines distribution. Je pense par exemple à la Fedora qui intègre SELinux et qui n'a pas été touché par certaines failles révélées ces derniers temps.

Donc cette article ne permet pas de juger la fiabilité de la distribution, juste d'un certains aspect...

Bravo au travail de membres de TOUTES les distribution ainsi que les hackers pour leur travaille afin de faire de GNU/Linux un système d'exploitation fiable, performant et sécurisé.

( Je ne fais pas de la publicité pour Fedora, j'utilise Ubuntu. Pas de troll a ce sujet. )

hum...

Posté par jijin () le 05/08/2006 à 03:29. (lien). Évalué à 2.

ils pourraient pas présenter ca sous forme graphique ?

genre : la gravité des failles sur une échelle de 1 à 10, la réactivité sur une échelle de 1 à 10 et présenter les résultats suivant la taille de la communauté, l'aide d'une entreprise privée, etc.... ?

  • [^]Re: hum...

    Posté par Matthieu MARC () le 05/08/2006 à 06:31. (lien). Évalué à 5.

    tu es un décideur pressé ?

    • [^]Re: hum...

      Posté par jijin () le 05/08/2006 à 13:35. (lien). Évalué à 1.

      non, mais je me souviens de mes cours de math du college. Un resultat hors contexte ne sert à rien.

Ubuntu en tête ?

Posté par Krunch (Jabber id, page perso, ) le 05/08/2006 à 09:50. (lien). Évalué à 4.

Ils mettent peut-être les paquets à jour rapidement mais si on sait pas se connecter au serveur de mise à jours ça sert pas à grand chose.

(ce commentaire aura une note négative mais c'est pas grave)

--
Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.

  • [^]Re: Ubuntu en tête ?

    Posté par bsheep () le 06/08/2006 à 07:30. (lien). Évalué à 1.

    Ben c'est automatique, ou je me trompe ?

    Dans le /etc/apt/sources.list on a :
    deb http://security.ubuntu.com/ubuntu dapper-security ...

    Ensuite y a un cron job qui est éxecuté quotidiennement, et une fois les mises à jour détectées, y a une notification graphique qui apparaît sur le bureau gnome "de nouvelles mises à jour sont disponibles".
    Tu cliques sur l'icône, tu mets ton mot de passe utilisateur, et voila :)

    D'ailleur ubuntu est un peu a la bourre ces jours ci sur firefox y a toujours pas la version 1.5.0.6, ca va casser les stats...

    • [^]Re: Ubuntu en tête ?

      Posté par Jean-Philippe (page perso, ) le 06/08/2006 à 09:43. (lien). Évalué à 2.

      Non, sous gnome il y a update-manager qui tourne en tâche de fond et verifie les mises à jour, par contre je ne pense pas qu'il s'occupe tout seul de faire un apt-get update

      • [^]Re: Ubuntu en tête ?

        Posté par Donk (Jabber id, ) le 06/08/2006 à 21:09. (lien). Évalué à 1.

        Pour les mises à jour de sécurité c'est possible si tu le configures pour

        --
        JabberID: donk@jabber.fr

    • [^]Re: Ubuntu en tête ?

      Posté par Krunch (Jabber id, page perso, ) le 06/08/2006 à 10:57. (lien). Évalué à 2.

      Sauf que quand security.ubuntu.com est inaccessible (comme ça a été le cas une bonne partie de la semaine, peut-être encore maintenant), ça marche pas.

      --
      Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
      pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.

      • [^]Re: Ubuntu en tête ?

        Posté par Donk (Jabber id, ) le 06/08/2006 à 21:18. (lien). Évalué à 1.

        C'est pour ça que les miroirs existent

        --
        JabberID: donk@jabber.fr

        • [^]Re: Ubuntu en tête ?

          Posté par Krunch (Jabber id, page perso, ) le 06/08/2006 à 21:39. (lien). Évalué à 4.

          Et comment font les miroirs pour se synchroniser avec un serveur inaccessible ?

          --
          Free Softwares Users Group Arlon (Sud Luxembourg, Belgique)
          pertinent, e adj. Approprié ; qui se rapporte exactement à ce dont il est question.

    • [^]Re: Ubuntu en tête ?

      Posté par niconux (page perso, ) le 07/08/2006 à 04:58. (lien). Évalué à 1.

      La version 1.5.0.6 de firefox corrige uniquement un seul bug, un problème qui bloquait la lecture en flux des fichiers Windows Media Player

      Changelog : http://www.mozilla.com/firefox/releases/1.5.0.6.html

      Le bug corrigé est donc le suivant : 346167
      https://bugzilla.mozilla.org/show_bug.cgi?id=346167


      D'ailleur ubuntu est un peu a la bourre ces jours ci sur firefox y a toujours pas la version 1.5.0.6, ca va casser les stats...


      Il serait étonnant de voir une version 1.5.0.6 sortir dans les dépots, en effet, le bug 346167 a déjà été corrigé dans le dernier package firefox 1.5.0.5.

      http://changelogs.ubuntu.com/changelogs/pool/main/f/firefox/(...)


      firefox (1.5.dfsg+1.5.0.5-0ubuntu6.06.1) dapper-security; urgency=low

      * Fix to non-HTTP loading of <object ...>'s (eg, streaming media
      files). Mozilla Bugzilla #346167. Expected to be the sole
      change in Firefox upstream 1.5.0.6.



      Ce qui revient à dire : que le dernier package 1.5.0.5 que tu as sûrement installé ya quelques jours correspond à la version 1.5.0.6 de la fondation Mozilla.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1041s (dont 0.0096 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !