Le site Distrowatch propose un très intéressant tableau comparatif pour voir le temps de réaction des principales distributions lors de la récente alerte de sécurité du noyau Linux.
Quel a été le délai entre la publication générale de l'alerte sur tous les sites (le 11 février) et la mise à disposition du patch correcteur par les différentes distributions ?
Distribution => Delay
Debian GNU/Linux => +0 hours
Fedora => +8 hours
Slackware Linux => +12 hours
Mandriva Linux => +19 hours
Frugalware Linux => +21 hours
openSUSE => +23 hours
rPath Linux => +26 hours
Red Hat Enterprise Linux => +27 hours
Ubuntu => +27 hours
CentOS => +37 hours
Le site Distrowatch souligne néanmoins qu'il ne faut pas surinterpréter ces chiffres. Certaines distros proposent le support de diverses architectures alors que d'autres ne sont disponibles pour les CPU les plus répandus. Il est évident que le temps de réaction ne sera pas le même.
De même les grosses distros commerciales (Red et Suse) testent certainement plus longtemps leurs patchs car les clients qui payent n'aiment pas les problèmes lors des mises à jour.
L'article de Distrowatch indique également que certaines distros (Arch ou Zenwalk par exemple) n'ont toujours pas proposé le patch correcteur à leurs utilisateurs.
Quel a été le délai entre la publication générale de l'alerte sur tous les sites (le 11 février) et la mise à disposition du patch correcteur par les différentes distributions ?
Distribution => Delay
Debian GNU/Linux => +0 hours
Fedora => +8 hours
Slackware Linux => +12 hours
Mandriva Linux => +19 hours
Frugalware Linux => +21 hours
openSUSE => +23 hours
rPath Linux => +26 hours
Red Hat Enterprise Linux => +27 hours
Ubuntu => +27 hours
CentOS => +37 hours
Le site Distrowatch souligne néanmoins qu'il ne faut pas surinterpréter ces chiffres. Certaines distros proposent le support de diverses architectures alors que d'autres ne sont disponibles pour les CPU les plus répandus. Il est évident que le temps de réaction ne sera pas le même.
De même les grosses distros commerciales (Red et Suse) testent certainement plus longtemps leurs patchs car les clients qui payent n'aiment pas les problèmes lors des mises à jour.
L'article de Distrowatch indique également que certaines distros (Arch ou Zenwalk par exemple) n'ont toujours pas proposé le patch correcteur à leurs utilisateurs.
> Lire le journal (33 commentaires, moyenne: 2,9).
Vous avez demandé le commentaire #905555.
Run by 
Cette page a été générée par Templeet en 0.0627s (dont 0.0055 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
ArchLinux...
Doit y'avoir comme un bug pour arch : le noyau 2.6.24 patché était dans les tuyaux le dimanche 10 février au soir...
J'ai fait le test avec l'exploit : il ne fonctionne plus sur ma machine depuis cette mise à jour.
\_o< Coin ! Coin !
[^]Re: ArchLinux...
Ladislav s'est basé sur les alertes de sécurité des distros.
Peut-être que Arch patche ses noyaux mais ne publie pas d'alerte de sécurité ? (auquel cas c'est mieux que pas de patch mais c'est quand même pas terrible).
[^]Re: ArchLinux...
La dernière mise à jour du noyau archlinux date du 10 février et un communiqué en première page du site officiel est diponible à l'adresse http://www.archlinux.org/.
Il ne s'agit pas, en effet, d'une alerte de sécurité en tant que t elle. La mise à jour devait, initialement, être une "remise à niveau" du noyau vers une version plus récente. Cette remise à niveau s'est accompagnée du patch correctif de la récente alerte de sécurité du noyau Linux. Il s'agit d'un très chanceux hazard que la date de mise à jour du noyau concordait avec l'application d'un correctif de sécurité important du noyau.
Il est vrai que la référence au correctif est discret dans le communiqué.
[^]Re: ArchLinux...
Sous Arch, dès la faille connu, le paquetage kernel26 fût mis à jour et distribué. C'était le noyau 2.6.24.1 avec le prepatch 2.6.24.2.
Que ArchLinux ne fasse pas de patch de sécurité est normal, la mise à jour suffit.
"Debian est un ancien mot Africain qui signifie "Je m'la pête".
[^]Re: ArchLinux...
Il y a un point que je ne comprend pas bien : cette mise à jour a-t-elle été proposée comme une mise à jour "classique" ou bien comme une mise à jour qui faisait également office de mise à jour de sécurité ?
[^]Re: ArchLinux...
Comme une mise à jour classique.
Bien que je comprends pas la différence entre les deux, c'est une mise à jour, après c'est que littérature !
"Debian est un ancien mot Africain qui signifie "Je m'la pête".
[^]Re: ArchLinux...
La différence, c'est qu'une mise à jour classique (surtout du noyau), tu peux prendre ton temps pour la faire. Une mise à jour de sécu, en général, tu agis avec plus de célérité.
Mr Lapinot - Electrons prisonniers (blog)
[^]Re: ArchLinux...
Tu pars du principe que ArchLinux fonctionne comme toutes les autres distributions, ce qui n'est pas le cas.
Nous faisons des mises à jour de noyau à chaque changement mineurs, cad :
* 2.6.23.1
* 2.6.23.2
* 2.6.23.3
…
* 2.6.24.1
Pour archlinux une mise à jour est un un élément normal, donc lorsque le correctif fût dispo, le mainteneur a diffuser le noyau 2.6.24.1-2 (où -2 est propre à Arch) avec le prepatch du noyau 2.6.24.2.
Effectivement, on télécharge et installe tout le noyau.
En espérant avoir éclairé ce point sombre sur la compréhension du fonctionnement de ArchLinux.
"Debian est un ancien mot Africain qui signifie "Je m'la pête".
[^]Re: ArchLinux...
Ce n'est pas une raison. Une mise à jour de noyau, ça nécessite un redémarrage du serveur. Si le serveur est critique, on peut retarder ce redémarrage jusqu'au prochain week-end / vacances par exemple. Mais si la faille de sécurité est encore plus critique, alors on assume de couper le service pendant 5 minutes, le temps d'un redémarrage (ou alors on met en place un serveur de backup pour la transition, etc.). Reste que pour savoir si la faille est critique ou pas, il faut communiquer dessus.
Mr Lapinot - Electrons prisonniers (blog)
[^]Re: ArchLinux...
Sauf que archlinux est une distribution desktop.
Tu utiliserais une distribution bleeding edge pour un serveur critique ?
:-D !!!NOUVEAU!!!
[^]Re: ArchLinux...
certains placent bien du ubuntu ou même du fedora...
Voir même du gentoo
[^]Re: ArchLinux...
> le noyau 2.6.24 patché était dans les tuyaux le dimanche 10 février au soir...
Comme pour Fedora et Red Hat et Debian (celui-ci avait de l'avance) et d'autres.
C'est un chose de pousser un patch dans un cvs, c'est une autre de tout construire ,synchroniser sur les mirroirs et faire l'annonce.
Un exemple pour F8 :
http://koji.fedoraproject.org/koji/buildinfo?buildID=35322
Started Sun, 10 Feb 2008 14:23:20 MST
Completed Sun, 10 Feb 2008 18:15:31 MST
Pour i686, x86_64, ppc, ppc64 (les architectures supportées par Fedora).
Donc c'était en download (les binaires) depuis 10 Feb 2008 18:15:31 MST. Mais pas sur les mirroirs, sans annonces, etc.