Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de Lorifix :
- [22/04@11:44] Gnome 3 Fork de Gnome 2 ??
- [12/04@07:49] Le "succès" d'Ubuntu serait-il gènant pour ... Debian ?
- [29/03@06:56] Gnome ne fera plus parti de Slackware
- [17/03@08:47] Et si Debian ne sortait plus de distribution stable......?
Journal : Debian aurait-il des problèmes de sécurités
Posté par Unixfix le Gaulois () le 27 juin 2005Selon Heise.de se serait le cas.
http://www.heise.de/newsticker/meldung/61076(...)
Debian depuis plusieurs semaines sans mises à jour de sécurité
Depuis des semaines, aucune annonce et encore plus mal, aucun Security-Patch pour Debian n'a éte publié . Pourtant Il y a eu une série entière de points faibles liés à la sécurité
dans des logiciels, que l'on retrouve sous forme de paquets Debian
Par exemple :
SquirrelMail, SpamAssassin ou sudo pour ne citer qu'eux....
La dernière annonce date du 3. Juin, soit avant la sortie de Debian 3.1 (Sarge). Le courriel de Heise Security à L'Email oficielle de Debian Security ainsi qu'à l'éditeur des Advisories est depuis 4 jours resté sans réponses.
Selon nos recherches différents Patches liés à la sécurité sont déjà marqués par les mainteneurs des packets dans la base de donnée comme finis et transmis au security-team.
Mais les mises à jour dues se font attendre, le Debian-Security-Team est manifestement "disparu".
Des Debian-Insider confirment, qu'il y a eu au départ des problèmes avec l'infrastructure d'essai
pour le Debian 3.1. Ceux-ci sont toutefois resolus. Le long délai pourrait toutefois pouvoir être attribué à des problèmes et différences personnels dans le Debian-Security-Teams.
Les adminstrateurs de Systèmes Debian ne devraient pas momentanément compter sur le Debian-Update-System et doivent avoir bon gré, mal gré avoir un oeil vigilant sur les problèmes de sécurité possibles des logiciels utilisés.
Avec quelques Patches "en attente" on peut franchir la période
d'attente par des Workarounds, avec d'autres, un Patch installé à la main peut éventuellement aider .
On peut aussi utiliser des Repositories comme sarge-proposed-updates et/ou
stable-proposed-updates . L'université Essen met un miroir de ces Repositories à la
disposition:
deb http ://debian.uni-essen.DE/debian/ Main sarge-proposed-updates contrib non-free
/etc./apt/sources.l'adresse peut être activée.
Toutefois, -- probablement faute de Release-- les mises à jour de sécurité ne se trouvent pas encore là aussi.
Déjà, la sortie de Debian 3.1 a été accompagnée de panne de sécurité:
La première version n'a pas contenu d'entrée active pour les mises à jour de sécurité.
Celle-ci a seulement été ajoutée à posteriori avec la version 3.1_r0a présentée ultérieurement.
L'équipe de Debian doit faire attention de ne pas perde en quelques semaines la confiance batie sur des années du haut niveau de sécurité de la distribution.
> Lire le journal (11 commentaires, moyenne: 4,5).
...
On peut aussi utiliser des Repositories comme sarge-proposed-updates et/ou
stable-proposed-updates . L'université Essen met un miroir de ces Repositories à la
disposition:
Quelle bonne idee t'utiliser des correctifs non officiel. Je serais un mechant pirate j'ouvirais mon propre mirroir de correctif qui condiendrait des patchs a ma sauce ;)
-
[^]Re: ...
Posté par Nap () le 27/06/2005 à 14:42. (lien). Évalué à 8.un méchant pirate qui s'appelle l'université d'Essen, il faut du culot quand même
sinon pour l'auteur du journal, on peut traduire "repositories" par "dépôts", parce que là, ça ressemble plus à "suppositoires" qu'à autre chose :-)-
[^]Re: ...
Posté par Sylvain Briole (page perso, ) le 27/06/2005 à 14:48. (lien). Évalué à 4.Le problème : avec le dépôt officiel de sécurité de Debian, on est obligé de croire en l'origine des paquets et d'y faire confiance.
Avec l'université d'Essen, on est obligé de lui faire confiance, et autant j'ai confiance en l'équipe de maintenance sécurité de Debian (faute de mieux, c'est encore la source!), autant celle de l'université d'Essen m'est inconnue, et donc je ne vois pas en quoi je devrais y placer ma confiance.-
[^]Re: ...
Posté par free2.org (page perso, ) le 27/06/2005 à 16:35. (lien). Évalué à 5.avec le dépôt officiel de sécurité de Debian, on est obligé de croire en l'origine des paquets et d'y faire confiance.
tu as meme un systeme de signature pour tous les paquets officiels debian, y compris security
-
[^]Re: ...
Posté par Farvardin (page perso, ) le 27/06/2005 à 20:18. (lien). Évalué à 0.allez, l'université de Redmond, je ne dis pas, et je ne ferais pas trop confiance (quoique les hackers là bas ne sont pas au top), mais "université d'Essen" fait quand même plus sérieux :)
--
You can't grep dead trees...
-
-
Moui...
"La première version n'a pas contenu d'entrée active pour les mises à jour de sécurité.
Celle-ci a seulement été ajoutée à posteriori avec la version 3.1_r0a présentée ultérieurement."
En même temps, si tu installes une debian et que tu connais ce bug très mediatisé, il te suffit d'ouvrir /etc/apt/sources.list et de virer un caractere qui commente la ligne...
-
[^]Re: Moui...
Posté par Sylvain Briole (page perso, ) le 27/06/2005 à 14:52. (lien). Évalué à 4.version 3.1_r0a présentée ultérieurement
Sans compter qu'il a fallu un temps considérable pour mettre à jour! Quand on compte le nombre d'images ISO à mettre à jour, à diffuser sur les miroirs, cela a pris à peine une journée une fois le "bug" connu.
C'est clair que question sécurité, ce sont vraiment des rigolos, et cette faille était terrible et non corrigible par l'administrateur debian moyen! ;-)
En fait...
...toute l'équipe Debian est à Honolulu pour fêter la sortie de la Sarge, à bronzer en sirotant du lait de coco !
hop hop hop ------> []
-
[^]Re: En fait...LinuxTag, volontaires pour aider ?
Posté par free2.org (page perso, ) le 27/06/2005 à 16:45. (lien). Évalué à 5.Pas loin :)
Ils sont à LinuxTag:
http://lists.debian.org/debian-security/2005/06/msg00145.html(...)
Le problème est que ils manquent des volontaires pour aider Martin.
Paradoxalement l'équipe de sécurité de testing semble plus active que celle de stable:
http://secure-testing.alioth.debian.org/(...)
Il se pourait que testing devienne le meilleur choix pour les serveurs (il l'était deja peut-etre pour le desktop).
Ubuntu serait-il à l'origine du problème ?
Certains responsables de la sécurité pour Debian sont aussi responsable de la sécurité pour Ubuntu. Chez Ubuntu les mise-a-jours et le suivi sont trés réactifs tandis que chez Debian c'est le silence radio .....
info (en Allemand) http://www.pro-linux.de/news/2005/8322.html.(...)
PS. C'est étonant que seuls les germains en parlent ouvertement. Peut-être que le choix de Debian par la ville de Munich est resté sur l'estomac de quelques-uns....(180 Km plus au nord !)
Slackware depuis 1996
Entendu ?
Je sais pas si tu as été entendu ou quoi, mais ce matin sur la liste debian-security, on trouvait les annonces des correctifs pour sudo et spamassassin :)
DSA 735-1
DSA 736-1
- Sam
Cette page a été générée par Templeet en 0.0807s (dont 0.0067 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.