Journal Réactivité des distributions en terme de sécurité

Posté par  (site web personnel) .
Étiquettes : aucune
0
4
août
2006
Je suis tombé sur cet article : http://searchsecurity.techtarget.com/originalContent/0,28914(...)

En se basant sur 30 bulletins d'alertes Secunia, searchsecurity a analysé le temps mis par 9 distributions pour corriger ces différents bulletins. Dans le trio de tête on retrouve :

  • Ubuntu

  • Fedora Code

  • Red Hat enterprise



Je vous laisse découvrir le reste du classement ...

Je suis un peu étonné par la position de certaine distribution (pas de nom pour éviter les trolls)

  • # La slack !

    Posté par  . Évalué à 0.

    Slackware 9 ème, c'est étonnant !

    • [^] # Re: La slack !

      Posté par  . Évalué à -8.

      pour ubuntu c'est normal qu'ils arrivent en premier pour la réactivigé, en fait leurs failles viennent sans doute principalement d'une mauvaise copie de la Debian, d'étourderies et d'erreurs de jeunesses, genre "oooops j'ai laissé le mot de passe en clair dans /var/log/installer/cdebconf/questions.dat, pof pof pof, et voilà c'est corrigé, quelle réactivité quand même, en plus on est payé pour le faire, au moins on est mieux là que lorsque l'on était chez Debian !"
      cf. http://linuxfr.org/2006/03/13/20494.html

      Pour Slackware qui a sans doute très peu de boulettes failles de ce genre, les vraies failles sont forcément plus longues à corriger.

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: La slack !

        Posté par  (site web personnel) . Évalué à 5.

        Tu n'as visiblement même regardé l'article. Si tu l'avais lu tu aurais vu la liste des failles par rapport auxquelles cette étude a été menée...

        Aller je t'aide, c'est la colonne de gauche sur fond gris juste en dessous de "Vulnerabilities examined and their severity".

        https://damien.pobel.fr

        • [^] # Re: La slack !

          Posté par  . Évalué à -1.

          oui effectivement j'avoue avoir zappé le "En se basant sur 30 bulletins d'alertes Secunia,", j'ai juste lu slackware, failles et "ubuntu dans le trio de tête", et là j'ai perdu toute raison et tout esprit critique, ma peau est devenue verte, et j'ai trollé comme un malade. D'un autre coté la face du monde n'en a pas été changée alors c'est pas bien grave.

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: La slack !

        Posté par  . Évalué à 2.

        bien entendu, au delà de la petite vanne anti-ubuntu sponsorisée par le comité international des distributions aigries, s'il faut vraiment retenir quelque chose de cette étude c'est surtout cela :

        Naturally, it's unwise to put too much stock in the absolute numbers themselves; it's better to think about what is causing these results. For example, both Ubuntu and Fedora are free, but are sponsored by commercial vendors (Canonical Ltd. and Red Hat Inc., respectively). This could indicate that having corporate resources to support free efforts is important.


        en gros, les distributions "communautés" soutenues par des entreprises commerciales sont forcément plus réactives puisqu'elles ont les moyens de cette réactivité.

        Et puis comme pour les tests entre linux et windows, il faudrait vraiment pouvoir juger chaque vulnérabilité au coup par coup, par rapport à leur importance.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Un classement qui sert à rien

    Posté par  . Évalué à 4.

    Je veux bien qu'ils s'amusent à classer pour faire troller les gens, mais leur classement + "analyse" font que ça ne mesure pas grand chose.
    extraits

    La conclusion pleine de lumière :
    "The bottom line is that even this informal analysis shows there are definitely differences in how fast Linux distributions develop and issue security patches."

    et la superphrase qui relativise tout et leur fait dire qu'il se peut que ce qu'ils mesure n'ai pas peut-être grand chose à voir avec la sécurité :
    "
    A similar consideration may help explain Trustix Secure Linux's low score of 32: this distribution is oriented toward security, so perhaps its security experts take longer to verify vulnerability fixes.
    "

    De ce classement, que peut-on tirer ?

  • # Ne prends pas compte de tous les paramètres

    Posté par  . Évalué à 6.

    J'avais déja vu ce rapport via le blog d'un membre de la communauté de Fedora Core.

    La vitesse de parution de mise à jour n'est qu'un parametre permettant de juger de la fiabilité de la distribution.

    Par exemple, certains bugs ne sont pas critique pour certaines distribution. Je pense par exemple à la Fedora qui intègre SELinux et qui n'a pas été touché par certaines failles révélées ces derniers temps.

    Donc cette article ne permet pas de juger la fiabilité de la distribution, juste d'un certains aspect...

    Bravo au travail de membres de TOUTES les distribution ainsi que les hackers pour leur travaille afin de faire de GNU/Linux un système d'exploitation fiable, performant et sécurisé.

    ( Je ne fais pas de la publicité pour Fedora, j'utilise Ubuntu. Pas de troll a ce sujet. )

  • # hum...

    Posté par  . Évalué à 2.

    ils pourraient pas présenter ca sous forme graphique ?

    genre : la gravité des failles sur une échelle de 1 à 10, la réactivité sur une échelle de 1 à 10 et présenter les résultats suivant la taille de la communauté, l'aide d'une entreprise privée, etc.... ?

    • [^] # Re: hum...

      Posté par  . Évalué à 5.

      tu es un décideur pressé ?

      • [^] # Re: hum...

        Posté par  . Évalué à 1.

        non, mais je me souviens de mes cours de math du college. Un resultat hors contexte ne sert à rien.

  • # Ubuntu en tête ?

    Posté par  (site web personnel) . Évalué à 4.

    Ils mettent peut-être les paquets à jour rapidement mais si on sait pas se connecter au serveur de mise à jours ça sert pas à grand chose.

    (ce commentaire aura une note négative mais c'est pas grave)

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: Ubuntu en tête ?

      Posté par  . Évalué à 1.

      Ben c'est automatique, ou je me trompe ?

      Dans le /etc/apt/sources.list on a :
      deb http://security.ubuntu.com/ubuntu dapper-security ...

      Ensuite y a un cron job qui est éxecuté quotidiennement, et une fois les mises à jour détectées, y a une notification graphique qui apparaît sur le bureau gnome "de nouvelles mises à jour sont disponibles".
      Tu cliques sur l'icône, tu mets ton mot de passe utilisateur, et voila :)

      D'ailleur ubuntu est un peu a la bourre ces jours ci sur firefox y a toujours pas la version 1.5.0.6, ca va casser les stats...

      • [^] # Re: Ubuntu en tête ?

        Posté par  (site web personnel) . Évalué à 2.

        Non, sous gnome il y a update-manager qui tourne en tâche de fond et verifie les mises à jour, par contre je ne pense pas qu'il s'occupe tout seul de faire un apt-get update

        • [^] # Re: Ubuntu en tête ?

          Posté par  . Évalué à 1.

          Pour les mises à jour de sécurité c'est possible si tu le configures pour

      • [^] # Re: Ubuntu en tête ?

        Posté par  (site web personnel) . Évalué à 2.

        Sauf que quand security.ubuntu.com est inaccessible (comme ça a été le cas une bonne partie de la semaine, peut-être encore maintenant), ça marche pas.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: Ubuntu en tête ?

          Posté par  . Évalué à 1.

          C'est pour ça que les miroirs existent

          • [^] # Re: Ubuntu en tête ?

            Posté par  (site web personnel) . Évalué à 4.

            Et comment font les miroirs pour se synchroniser avec un serveur inaccessible ?

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: Ubuntu en tête ?

        Posté par  (site web personnel) . Évalué à 1.

        La version 1.5.0.6 de firefox corrige uniquement un seul bug, un problème qui bloquait la lecture en flux des fichiers Windows Media Player

        Changelog : http://www.mozilla.com/firefox/releases/1.5.0.6.html

        Le bug corrigé est donc le suivant : 346167
        https://bugzilla.mozilla.org/show_bug.cgi?id=346167


        D'ailleur ubuntu est un peu a la bourre ces jours ci sur firefox y a toujours pas la version 1.5.0.6, ca va casser les stats...


        Il serait étonnant de voir une version 1.5.0.6 sortir dans les dépots, en effet, le bug 346167 a déjà été corrigé dans le dernier package firefox 1.5.0.5.

        http://changelogs.ubuntu.com/changelogs/pool/main/f/firefox/(...)


        firefox (1.5.dfsg+1.5.0.5-0ubuntu6.06.1) dapper-security; urgency=low

        * Fix to non-HTTP loading of <object ...>'s (eg, streaming media
        files). Mozilla Bugzilla #346167. Expected to be the sole
        change in Firefox upstream 1.5.0.6.



        Ce qui revient à dire : que le dernier package 1.5.0.5 que tu as sûrement installé ya quelques jours correspond à la version 1.5.0.6 de la fondation Mozilla.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.