Journal Fedora 10 prend un peu de retard

Posté par  (site web personnel) .
Étiquettes :
3
25
sept.
2008
Toutes les dates des prochaines étapes amenant à la sortie de la Fedora 10 viennent d'être reculé d'une semaine. La Beta officielle devrait sortir le 30 septembre prochain. La Finale sortira le 25 novembre et avant cela ils ont comblé le vide par une "Preview Release" qui devrait sortir le 4 novembre.

Ce n'est pas énorme et je n'ai pas trouvé d'annonce officielle, si quelqu'un sait le pourquoi du comment? On imagine certainement quelques bugs recalcitrant...

  • # Parlez moi !

    Posté par  . Évalué à 1.

    "pas trouvé d'annonce officielle" -> Fedora ne communique pas comme il le faudrait ?

  • # Comme d'habitude, deux poids deux mesures

    Posté par  . Évalué à 6.

    Quand Debian sarge accuse un petit retard insignifiant, on dit pis-que-pendre des projets 100% communautaires, mais quand c'est fedora qui a UNE SEMAINE ENTIÈRE de retard, bizarrement, ça passe en un petit journal insignifiant, et il va sûrement y avoir des tas de gens pour trouver des excuses. Dégueulasse !

    • [^] # Re: Comme d'habitude, deux poids deux mesures

      Posté par  . Évalué à 1.

      Ouai, moi ch'uis pas d'accord non plus!
      Tout fournisseur doit respecter les délais annoncés de sortie coûte que coûte.

      Ils pourront toujours sortir une Fedora SP1 deux semaines plus tard...

      Au fait, c'est pas un peu communautaire, Fedora?

      Au fait, on n'est pas que jeudi là??

  • # Quel calme

    Posté par  . Évalué à 2.

    Woah une news sur Fedora qui part à peine en troll dans les commentaires.

    Je ne m'en étais pas rendu compte, mais IzNotGood nous a quitté ?

  • # Et au fait

    Posté par  . Évalué à 2.

    En parlant de Fedora, quelqu'un a des nouvelles de l'intrusion sur ses serveurs ? Je n'ai vu aucune nouvelle et explication sur linuxfr suite à ce journal :

    https://linuxfr.org/~patrick_g/27082.html

    Si quelqu'un a des détails je serais pas contre les lire.

    • [^] # Re: Et au fait

      Posté par  (site web personnel) . Évalué à 2.

      Y'a eu un update : http://lwn.net/Articles/299413/

      En gros ils disent que tout est revenu à la normale et que l'enquête sur l'intrusion continue. Quand elle sera terminée ils publieront un rapport pour tout expliquer.

      The security investigation into the intrusion is still in progress.
      When that investigation is completed, the Fedora Project's intention is
      to publish a more detailed report on the matter.

    • [^] # Re: Et au fait

      Posté par  . Évalué à 4.

      > Si quelqu'un a des détails je serais pas contre les lire.

      J'ai peu de détails.
      Car Red Hat a vu ses serveurs attaqués (je parle des serveurs RHN, etc et pas des serveurs Fedora), Red Hat a semble-t-il lancé un procès (du moins une plainte). Red Hat, au moins pour ses clients, doit montrer qu'il défend son "business".
      Tant que ce n'est pas terminé, Red Hat (et donc Fedora car Fedora dépend juridiquement de Red Hat) ne peut communiquer sur le problème.

      La situation est embarrassante pour Fedora (distrubtion certe "massivement" sponsorisée par Red Hat mais aussi voulue communautaire). Mais, c'est peut-être un préjugé, j'ai confiance en Fedora et Red Hat pour nous donner, lorsqu'ils le pourront, toutes les informations.

      • [^] # Re: Et au fait

        Posté par  (site web personnel) . Évalué à 2.

        Attaqué est un faible mot.
        Quiconque a un accès redhat s' est bien rendu compte (j espère) de la zizanie actuelle : ça a commencé avec OpenSSL, qu on le reocniasse ou non, la 'faille' OpenSSL est un point de similitude temporelle, du moins, avec les graves problèmes de redhat. Leur ré-activité est épatante par contre.

        • [^] # Re: Et au fait

          Posté par  . Évalué à 3.

          > Quiconque a un accès redhat s' est bien rendu compte (j espère) de la zizanie actuelle

          Tu délires complètement.

          > ça a commencé avec OpenSSL

          OpenSSL n'a pas été compromis.

          Le problème est que des personnes non autorisées ont signé des paquets avec la signature de Red Hat !
          Comment on-t-il fait ça ?
          Pour l'instant on ne sait pas ! Mais Red Hat a été clair et indique que ses clés GPG (RHEL) n'ont pas été volée n'y qu'il y a un problème avec OpenSSL ou autre.

          Par contre, pour Fedora les clés GPG ont peut-être été volée. Par contre la passphrase ne l'a pas été. Mais c'est une question de temps pour qu'elle soit crackée. Donc Fedora a dû changer de clée GPG ce qui est TRES lourd à réaliser (Plusieurs centaines (!) de Go à resigner).

          Il y a eu abus de l'infrastructure de RHEL et Fedora. Le problème est de savoir si des paquets sont sortis de l'infrastructure RHEL et Fedora. Ici Red Hat n'est pas sûr. Par contre Red Hat garantit qu'il n'y a pas eu de mauvais paquets fournit par RHN (RHN est utilisé par les clients (payant) de RHEL). Néanmoins, les clés GPG de Red Hat ont été utilisée de façons frauduleuses pour des paquets connus par Red Hat de RHEL. Red Hat a sorti des mises à jours pour que les utilisateurs qui n'utilisent pas RHN (c'est à dire qui ne payent pas Red Hat !) soient tranquilles (ce qui est assez cool).

          Je ne vais pas tortiller du cul, le problème est grave. Mais la réaction de Red Hat et Fedora a été parfaitement adaptée. Cette réaction est certe musclée et non sans conséquence (notamment pour Fedora). Mais tout a été, me semble-t-il, bien maitrisé.


          Pour l'instant, on ne connait rien de la faille.
          Et si c'était (seulement) un ancien employé/stagiaire de Red Hat qui a "fait le con" ?

          Inutile de délirer, Red Hat a promis des explications lorsqu'il pourrait les donner. La parole de Red Hat a une solide crédibilité, on peut les croire.

          • [^] # Re: Et au fait

            Posté par  (site web personnel) . Évalué à 2.

            On dit grosso modo la même chose, mais moi "je délire"... isnotgood tu es lassant parfois. La zizanie car jamais, du moins depuis 2 ans, autant d' updates n' ont été proposées. Quant une boite comme RedHat propose les mises à jour de ce type, on peux se douter de l' ampleur du pb derrière. RedHat vient de connaitre de gros soucis (apparement pas uniquement celui qui a été communiqué). Oui je leur fait confiance pour la communication à postériori, à froid, lorsque toute pression sera redescendue. De plus cette épreuve va leur être certainement bénéfique en terme d' image.
            Car il semble, supputation, que les problèmes restent de gravité secondaire. Malgrès cela, le traitement est stupéfiant. Et la com' parfaite.

            Je soulignais aussi l' étrange similitude temporelle entre ceci et cela. Je ne retire rien de mes propos. Bien que techniquement très différent et ne touchant pas la même chose de la même manière, oui la quasi similtude temporelle est troublante. Reste à chacun de faire ses interprétations dessus ?

            Ce qui n' est pas le cas de tout le monde... mais je vais pas troller sur Canonical qui assure sa distribution serveur sans même vérifier les paquets openssl. La il y a de quoi rigoler.

            • [^] # Re: Et au fait

              Posté par  . Évalué à 2.

              On ne doit pas avoir la même défintion de zizanie :
              http://www.linternaute.com/dictionnaire/fr/definition/zizani(...)
              Discorde, mésentente.

              Où est la zizanie ? Tu m'expliques ?
              Il y a eu un grave problème (personne le contexte, pas de zizanie), et une action derrière qui n'a pas prêté à "zizanie", ni discode, ni mésentente. L'action derrière est logique et ne prête pas à discussion. C'est même quasiment la calme plat. Ce que certains n'apprécient pas dans la communauté Fedora (une minorité mais je les comprend très bien) c'est le manque d'information sur ce qui a causé ce grave problème. Red Hat c'est engager à donner toutes les informations lorsqu'il le pourront (on suppose jusqu'à maintenant qu'ils ne le peuvent pas pour des raisons légales).

              > La zizanie car jamais, du moins depuis 2 ans, autant d' updates n' ont été proposées.

              Je me demande si tu connais bien Fedora... Un Go de mise à jours en 2 mois est "classique" chez Fedora.
              Suite à ce problème, Red Hat n'a sorti qu'une mise à jours spécifique pour RHEL. Seulement une ! C'est le paquet openssh (puisqu'il y a eu un paquet openssh signé sur l'infrastructure de RHEL). Cette mise à jour est là pour virer le paquet signé illégalement. NB: jusqu'à maintenant il n'y a aucun preuve que le paquet signé illégalement soit sorti de l'infrastructure de Red Hat. C'est seulement une mesure de protection tout le monde accèpte sans discuter (sans zizanie).

              Pour Fedora, qu'une mise à jour spécique ! Une ! C'est fedora-release avec la nouvelle clée GPG et l'url des nouveaux dépôts.

              Notons que jusqu'à maintenant (plusieurs semaines après l'incident !) aucun paquet signé illégalement n'a été découvert ! Hors, évidement, ceux que Red Hat et Fedora ont trouvé dans l'infrastructure. Red Hat et Fedora n'ont diffusé aucun paquet signé illégalement ! Et on en a la preuve. Le doute est de savoir si les "pirates" ont sorti d'eux même des paquets. Il semble que non puisque aucun paquet n'a été encore découvert. Fedora sait que les "pirates" avait un accès à la clés GPG de Fedora. Le doute est s'ils l'ont sorti (copié) *ET* trouvé la passphrase. Ici encore, seulement par mesure de précaution, tous les paquets ont été signés avec une nouvelle clée. Ceci n'a encore une fois pas prêté à discussion, voire zizanie.

              > isnotgood tu es lassant parfois.

              Ce qui est lassant, ce sont les gens qui affirment des conneries, évidement sans se renseigner et sans la moindre preuve.

              • [^] # Re: Et au fait

                Posté par  . Évalué à 2.

                En passant, ce qui n'est pas apprécié par une partie de la communauté Fedora, c'est ça :
                http://lwn.net/Articles/297568/
                Red Hat is clearly holding all information about the intrusion as a closely guarded secret—whether that is at the behest of law enforcement or just lawyers is unclear. While there was no timeline given, the clear sense that one got from the meeting is that it might be weeks or months before clearance will be granted to even confirm that they know how the intrusion occurred. In addition, the Fedora board has not been officially briefed on the incident; some members have knowledge because of their Red Hat responsibilities, but the rest are in the dark. If one needed a reminder that Fedora is not an independent distribution, but instead is subject to the whims of Red Hat, this is a clear demonstration.

                Mais beaucoup apprécie l'investissement de Red Hat dans Fedora. Donc qu'en passer ?

  • # ssl

    Posté par  (site web personnel) . Évalué à 2.

    faille OpenSSL de Debian. Il n' y a pas peut être pas d' autre rapport (certainement d ailleurs) que le rapport temporel, mais cela reste troublant.

    • [^] # Re: ssl

      Posté par  . Évalué à 2.

      > faille OpenSSL de Debian

      Elle est spécifique à Debian.
      C'est "merde" a imposer de revalider il y a quelques mois TOUTES les clées GPG qui avait accès à l'infrastructure de Fedora (des centaines de clés GPG). Merci Debian...

      • [^] # Re: ssl

        Posté par  . Évalué à 4.

        Euh GPG n'a pas été touché par la faille Debian vu que cela ne dépend pas de Openssl (et j'aurais envie de dire heureusement, sinon le bazar aurait été encore plus monstreux). Tu veux parler des clefs ssh ?

        • [^] # Re: ssl

          Posté par  . Évalué à 2.

          Je te plussois, j'ai dit une connerie.

          > Tu veux parler des clefs ssh ?

          Oui, mais oublions ça.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.