Journal Openssl: de battre mon coeur s'est arrété

• # La bourre

  Posté par Guillaume Rossignol le 08 avril 2014 à 09:49. Évalué à 10.

  

  Ça a été un gros coup de pression ce matin au boulot, mais c'est fait \o/

• # Rolling release

  Posté par StreakyCobra le 08 avril 2014 à 11:05. Évalué à 0.

  

  Maintenant que tu le dis, je n'y ai pas fait attention ce matin:

  $ pacman -Qi openssl
  Name           : openssl
  Version        : 1.0.1.g-1
  Description    : The Open Source toolkit for Secure Sockets Layer and Transport Layer Security
  [...]
  Packager       : Pierre Schmitz <pierre@archlinux.de>
  Build Date     : lun 07 avr 2014 22:28:06 CEST
  Install Date   : mar 08 avr 2014 10:33:40 CEST
  [...]
  

  Sachant que la CVE à été dévoilée hier (le 2014-04-07), la réactivité ça laisse… rêveur.

  • [^] # Re: Rolling release

    Posté par claudex le 08 avril 2014 à 11:19. Évalué à 10.

    

    Ça n'a rien à voir avec les rolling release, Debian aussi est à jour https://www.debian.org/security/2014/dsa-2896

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Rolling release

      Posté par StreakyCobra le 08 avril 2014 à 12:10. Évalué à -1.

      

      (Préambule: je ne connais pas bien le monde de Debian, corrigez moi si je me trompe)

      Il faut bien espérer que toutes les distributions corrigent vite le problème vis à vis de la gravité du problème. Je constatais juste qu'avec du rolling release la correction était rapide et transparente pour l'utilisateur. Mais de toute façon ça n'a pas grande importance, qui utiliserai du rolling release sur un serveur ;-) ? (Pchuuut baissez les bras)

      Cela semble être à jour dans sid (testing), mais pas dans les plus vieilles versions: par exemple jessie semble vulnérable. Après je ne sais pas si une simple mise à jour des packages sur une jessie corrige la faille ou non. Si c'est le cas, mea culpa.

      • [^] # Re: Rolling release

        Posté par Anthony Jaguenaud le 08 avril 2014 à 12:45. Évalué à -4.

        

        jessie semble vulnérable

        Jessie sera vulnérable encore 15 jours trois semaines. C'est dû au processus de validation des paquets. Ils rentrent dans sid, et si ça ne casse rien, au bout de 15 jours trois semaines, c'est automatiquement descendue dans "testing". Après, il est fortement déconseillé d'utiliser testing à d'autre fin que du test. Le bon choix reste stable ou sid.

        • [^] # Re: Rolling release

          Posté par chimrod (site web personnel) le 08 avril 2014 à 12:50. Évalué à 10.

          

          Non c'est faux, il y a une procédure pour faire passer les corrections de sécurités en urgence, voir le projet testing-security pour plus de détail.

          • [^] # Re: Rolling release

            Posté par Anthony Jaguenaud le 08 avril 2014 à 14:59. Évalué à 2.

            

            Merci de l'information.

      • [^] # Re: Rolling release

        Posté par Anonyme le 08 avril 2014 à 20:22. Évalué à 4.

        

        Si personne ne s’occupe du paquet, ce n’est pas parce que c’est du rolling-release que ça changera quelque chose…

• # dans Debian

  Posté par Thomas Debesse (site web personnel) le 08 avril 2014 à 11:13. Évalué à 5.

  

  Dans Debian, la 1.0.1e-2+deb7u5 est ok, cf. https://security-tracker.debian.org/tracker/CVE-2014-0160 ;)

  ce commentaire est sous licence cc by 4 et précédentes

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.