Cet état de fait était plutôt passé inaperçu jusqu'à ce qu'un magazine d'outre-Rhin ait lancé la nouvelle, et mis en cause la réputation de Debian. Depuis, cela discute ferme sur la liste sécurité de Debian... Cette absence de mise-à-jour est d'autant plus étonnante qu'une série de logiciels présents dans Sarge ont des points faibles connus liés à la sécurité (SquirrelMail, SpamAssassin ou sudo, pour ne citer qu'eux).
Un magazine en-ligne très populaire outre-Rhin, Heise-Online, a bien essayé de contacter les responsables de la sécurité chez Debian, mais ceux-ci sont restés jusqu'ici aux abonnés absents...
Les journalistes ont fait des recherches et ont découvert que les mainteneurs des paquets concernés ont déjà fourni les patches, mais que ceux-ci n'ont toujours pas été validés par les responsables de Debian.
Apparemment cet article de Heise a fait des vagues et dans la security mailing list de Debian une discussion assez chaude a commencé.
À la lecture des discussions on s'aperçoit que le problème est plus important que l'on pouvait penser. A priori, on aurait pu croire qu'il ne s'agissait que d'un contretemps, mais il est vite apparu que 5 membres de l'équipe de sécurité ne sont plus du tout actifs. Ce qui a terme pourrait poser de sérieux problèmes.
Dans un autre magazine d'outre-Rhin, on accuse un membre de l'équipe de sécurité de Debian d'avoir délaissé (pour ne pas dire déserté) son poste pour une fonction équivalente chez Ubuntu...
Aller plus loin
- heise.de (début) (2 clics)
- heise.de (la suite) (2 clics)
- pro-linux.de (dénonciation) (2 clics)
- debian-security (1 clic)
# Aie :)
Posté par Dafatfab . Évalué à 10.
Bon plus sérieusement, c'est vrai que ces patchs (notement sudo) ont été tres rapidement distribué pour ubuntu... pour les autres distrib aussi ?
En attendant,il va falloir qu'une info claire francisée arrive car pour l'instant l'allemand...ca fait un bout de temps que je n'ais pas pratiqué..A suivre !
[^] # Re: Aie :)
Posté par Elrik de Melnibone . Évalué à 6.
troll++
Même Mandriva, plutôt orientée desktop à mis à jour sudo le 21 Juin !
Là ya
[^] # Re: Aie :)
Posté par Dragon . Évalué à 4.
Même Fedora a mis à jour sudo le 21 Juin !
Là ya
http://fedoranews.org/mediawiki/index.php/Fedora_Core_4_Update:_sud(...)
[^] # Re: Aie :)
Posté par domi . Évalué à 4.
ftp://ftp.slackware.com/pub/slackware/slackware-current/ChangeLog.(...)
[^] # Re: Aie :)
Posté par gc (site web personnel) . Évalué à 10.
[^] # Re: Aie :)
Posté par 桃白白 . Évalué à 10.
[^] # Re: Aie :)
Posté par igor38 . Évalué à 4.
[^] # Re: Aie :)
Posté par briaeros007 . Évalué à 4.
-->[]
[^] # Re: Aie :)
Posté par Unixfix le Gaulois . Évalué à 10.
En Allemagne par contre depuis que la ville de Munich a choisi Debian pour sa migration sous Linux (à la place de Suse...) , cette distribution suscite beaucoup plus d'attention.
Si pour les initiés les développeurs de Debian sont connus pour leur (mauvaise ?) habitude a 'étendre dans des discussions sans fin au lieu d'agir cela est "nouveau" pour le "grand" public.
Ce qui est dommage c'est que certains risquent à la suite de cette affaire de mettre au même plan linux et M$ Windows concernabt la sécurité.
[^] # Re: Aie :)
Posté par erik_lallemand . Évalué à 3.
Visiblement, M$ est mieux pour la sécurité ;-)
+1 pour Jean-Marc... réanimateur de troll officiel de LinuxFr
[^] # Re: Aie :)
Posté par jimee (site web personnel) . Évalué à 2.
C'est dommage... Tous les DSLAMs de free tournent sous Debian. Ca pourrait motiver certains grands groupes à apporter ne serait-ce qu'un soutien communautaire.
Moi, utopiste?
[^] # Re: Aie :)
Posté par Ph Husson (site web personnel) . Évalué à -1.
C'est pour ça qu'ils arrêtent!
Ils ont le tournis!
[]<--------
|
|
|
|
|
* *
o <- splash
* *
[^] # Re: Aie :)
Posté par mekare . Évalué à 2.
[^] # Re: Aie :)
Posté par lezardbreton . Évalué à 3.
[^] # Re: Aie :)
Posté par ouah (site web personnel) . Évalué à 4.
au même plan? certainement pas, Windows est assurément meilleur.
"Study Shows Windows Beats Linux on Security", 23 juin 2005, source Linuxlookup.com
http://www.linuxlookup.com/modules.php?op=modload&name=News&(...)
[^] # Re: Aie :)
Posté par tuiu pol . Évalué à 3.
Une collaboration plus étroite avec Ubuntu qui gagne en popularité (j'en fais partie) sera sans doute la meilleure chose à faire pour Debian...
[^] # Re: Aie :)
Posté par Pierre Tramo (site web personnel) . Évalué à 3.
[^] # Re: Aie :)
Posté par briaeros007 . Évalué à 10.
Mais c'est vrai vu qu'ils sont benevoles et volontaires ca veux dire qu'ils n'ont que ca a faire.
[^] # Logiciels libres, debian, individualisme et ego
Posté par Neo Futur (site web personnel) . Évalué à 1.
La première époque linuzienne ( je dirai avant 1998 en gros ) réunissait des idéalistes qui faisaient avancer le schmillblick.
Depuis quelques années, l'individualisme, le corporatisme, l'égoisme, et j'en passe semblent avoir pris le pas sur l'idéalisme fondateur . . .
Je n'irai pas jusqu'a dire que cela me semble particulierement vrai pour debian mais . . .
"You have enemies? Good. That means you've stood up for something in your life." Winston Churchill
[^] # Re: Aie :)
Posté par iznogoud . Évalué à -4.
[^] # Re: Aie :)
Posté par gallenza . Évalué à -6.
[^] # Re: Aie :)
Posté par olosta . Évalué à 5.
En plus la lecture de la liste a l'air de montrer que le problème n'est pas vraiment d'avoir des patchs mais de les valider et de les faire passer dans les mises a jour et sur ce point l'organisation de l'équipe sécurité a l'air de ne reposer que sur une seule personne.
[^] # Re: Aie :)
Posté par Sylvain Briole (site web personnel) . Évalué à 5.
Ben, surtout Ubuntu n'a pas les mêmes contraintes : Desktop (bien qu'on parle d'une version "serveur") et surtout nombre d'architectures supportées bien plus réduit.
(sudo doit etre un contre-exemple)
Bah, sudo, c'est une base pour Ubuntu : sinon difficile d'avoir accès à "root".
[^] # Re: Aie :)
Posté par Ozz . Évalué à 9.
J'ose espérer que l'équipe d'ubuntu gère la sécurité des paquets qu'elles supportent en fonction de la criticité(?) de la faille et pas en fonction de son public cible. Je ne vois pas en quoi ils pourraient se permettre de laisser trainer une faille apache (hautement exposé) sous pretexte que la distribution est plutot orienté desktop. Ils fournissent apache, ils supportent apache...
[^] # Debian vs Ubuntu
Posté par maximegb . Évalué à 1.
Oui un exemple : PhpMyadmin et Apache 1.33 ne sont pas dans Ubuntu standard, mais dans Universe.
De plus, PhpMyAdmin impose une dépendance vers des paquets d'Apache 2.
Donc finalement, pour faire du développement Web, et pour coller à la configuration de mon hébergeur, je reste sous Sarge.
# Le futur de Debian
Posté par Marc Poiroud (site web personnel) . Évalué à 10.
au risque de me faire moinsser violement !
Il semble que Debian souffre de disfonctionnement majeur, pénalisant aussi bien la sortie de version stable que l'entretien de cette distribution ...
Peut etre que la remarque de la collaboration de Mandriva et Debian est plus un appel au secours qu'un simple projet de collaboration.
Il semblerai que Ubuntu ai fait plus de mal que de bien à Debian.
La seule chose qui m'attriste vraiment, ce sont les retombés que peuvent avoir ce genre d'affaire, en effet Debian est souvent cité en exemple de stabilité et de fiabilité, cependant les conséquences négatives de cette crise vont avoir des répercutions sur l'ensemble des distributions Libres. Et ça c'est grave !!!
Il est difficile de faire un réputation mais il est très facile de perdre sa crédibilté à cause d'une faute et nos adversaires seront tirer profit de cette faiblesse ... pendant longtemps malheureusement !
[^] # volontaires font ce qu'ils veulent; testing
Posté par free2.org . Évalué à 10.
En ce moment il y a apparemment + de volontaires pour s'occuper de la sécurité de testing que de celle de stable. http://secure-testing.alioth.debian.org/(...)
Mais cela devrait changer rapidement, d'après la liste debian-security, il y a deja de nouveaux volontaires pour satble et une annonce imminente sur les mises à jour.
D'ailleurs l'équipe de testing vient de voler au secours de stable en publiant une page de sécurité pour stable: http://newraff.debian.org/~joeyh/stable-security.html(...)
Pour ceux qui ne veulent pas attendre, on peut installer (même temporairement) certains paquets de testing ou unstable dans une distribution stable. J'ai d'ailleurs fait une page à ce sujet:
http://free2.org/d/(...)
[^] # Re: volontaires font ce qu'ils veulent; testing
Posté par kra . Évalué à 8.
chez moi volontaire, ca veut dire que la personne s'est engagee de son propre chef.
ca veut pas dire yala c'est la teuf, ca me gave de faire ca alors je le fais pas, youyou c'est fun.
[^] # Re: volontaires font ce qu'ils veulent; testing
Posté par free2.org . Évalué à 10.
Dans la pratique un volontaire qui en a marre arrête, quitte à trouver de bonnes excuses dans le cas d'un engagement type "armée du salut" (fatigue, maladie, surmenage, ...).
Au niveau de la la loi française, si on est obligé de faire des trucs qu'on n'a pas envie de faire, cela peut être requalifié en contrat de travail. Ce n'est pas pour rien que de nombreuses associations caritatives ont des salariés et pas seulement des bénévoles.
Je pense qu'avec des outils comme Internet, on peut s'organiser pour que chaque bénévole puisse se consacrer aux taches qui le motive, et pour trouver rapidement des remplaçants dans le cas d'une future défection (la principale erreur de security.debian.org ici).
Le plus important, c'est que les gens aient du plaisir à faire des choses utiles au lieu de regarder la télé !
[^] # Re: volontaires font ce qu'ils veulent; testing
Posté par N/A . Évalué à 2.
Bon blague à part, le volontariat est un problème complexe. Dans une équipe comme celle de debian-security, qui a des règles strictes et vit en régime fermé, effectivement avec un seul membre sur les cinq qui gère tout, ça peut poser de gros problèmes quand son temps vient à manquer.
Il leur faut manifestement changer leur façon de fonctionner, mais à la lecture de la discussion sur leur liste de diff, ce n'est pas trivial (problèmes de confidentialité, toussa quoi...)
[^] # Re: Le futur de Debian
Posté par ragoutoutou . Évalué à 10.
ça reste à prouver... d'un autre côté, ubuntu fait plus de bien aux utilisateurs que Debian...
Le problème de debian est qu'il s'est trop éparpillé entre différentes architectures, sans parler de hurd, qu'il est trop gros, que par définition il faut attendre tout le monde pour faire un pas en avant, ce qui doit rendre le projet de plus en plus chiant pour les participants...
Le côté sexy d'Ubuntu c'est que ça avance, c'est plus à la page et ça ose plus...
Debian est un projet formidable, mais ses problèmes ne datent pas d'hier. Sarge était supposé sortir il y a bien longtemps, bien avant qu'apparaisse Ubuntu... Blâmer ubuntu pour les lenteurs de Debian n'est donc pas très pertinent.
Debian est souvent cité en exemple de stabilité et de fiabilité
surtout d'obsolescence, en tout cas en ce qui concerne la version "stable"... le nombre de consultants avec qui j'ai parlé qui en arrivent à maintenir des versions stabilisées de sid pour leurs clients parceque la version stable est trop vieille et n'offre pas les avantages technologiques dont on peut bénéficier avec les distributions commerciales.
Perso, ça fait un bout de temps que je me dis que Debian devrait être séparé en deux projets: un projet distribution qui continue à s'occuper des distributions en tant que telles, et un projet méthodologie Debian qui mette au point des lignes directrices, des boîtes à outils, des procédures, ... pour unifier un peu le monde des distributions basées sur Debian, et ce afin de permettre une meilleure compatibilité entre les packages et aussi d'attirer plus de produits commerciaux dans le monde de Debian en stabilisant les éléments clef entre les divers dérivatifs de debian.
[^] # Re: Le futur de Debian
Posté par Pierre Jarillon (site web personnel) . Évalué à 0.
Je regrette que Ubuntu n'ait pas une participation efficace dans Debian, car les problèmes de sécurité auraient été résolu. Mais comme les débianistes veulent décider de tout et y arrivent difficilement, on arrive inévitablement à ce genre d'écueil.
[^] # Re: Le futur de Debian
Posté par jeanmarc . Évalué à 10.
Je pense que ce dont à besoin linux dans l'avenir, c'est de plus de solidarité et d'entraide entre les différentes distributions.
Regarde ta réaction. Debian a un problème et tout de suite, tu sautes sur l'occasion pour les enfoncer et vendre ta propre tambouille.
C'est ce genre d'attitude qui est nocive et qui porte le plus préjudice à linux.
De plus, pour démontrer la véracité de ta théorie, tu prends un trés mauvais exemple.
La communauté Debian n'est pas prête de disparaitre suite à la décision d'un tribunal de commerce contrairement à ce qui a faillit se passer pour mandrake.
C'est ça l'avenir de Linux pour toi? Tu as une vision trop mercantile et pro-distrib de Linux je trouve.
Mais comme les débianistes veulent décider de tout et y arrivent difficilement, on arrive inévitablement à ce genre d'écueil.
Je ne comprends pas là. C'est leur distribution non? Qui voudrais-tu qui décide pour eux?
Microsoft? La Caisse d'Epargne? Pinocchio?
Ca sent la rancoeur à plein nez là.
[^] # Re: Le futur de Debian
Posté par ragoutoutou . Évalué à 4.
Je trouve pas...
Le fait est que la solidarité entre distributions ne peut exister qu'avec un bon dialogue et une bonne confiance.
La politique "c'est ma distribution, je fais comme je veux", c'est le premier frein à l'interopérabilité dans le logiciel libre... si personne ne fait de concessions, on continuera encore longtemps à repackager 20 fois la même mise à jour d'un soft pour les différentes distros... Si au moins dans le monde debian il y avait un peu de standardisation...
[^] # Re: Le futur de Debian
Posté par Raphaël SurcouF (site web personnel) . Évalué à 7.
En fait, je ne vois pas en quoi Mandriva, RedHat ou même Gentoo seraient plus "standart" que Debian.
Même quand les distributions utilisent le même système de paquets, par exemple RPM, les paquets n'ont rien à voir entre eux. Tu parles d'une collaboration basée sur un "standart"...
Au moins, entre Debian et Ubuntu, les paquets circulent davantage (bien qu'il ne soit pas conseillé ni recommandé d'installer un paquet debian sous ubuntu et vice-versa: je parle d'échanges au niveau des développeurs uniquement).
[^] # Re: Le futur de Debian
Posté par Ozz . Évalué à 4.
[^] # Re: Le futur de Debian
Posté par jeanmarc . Évalué à 0.
Normal....
Si au moins dans le monde debian il y avait un peu de standardisation...
Bien essayé mais regarde le nombre de distributions libres et commerciales qui sont basées sur Debian et pour lesqu'elles tout se passe bien........
Il faut chercher ailleurs si tu veux trouver un exemple collant à la distribution fermée que tu décris.
[^] # Re: Le futur de Debian
Posté par ragoutoutou . Évalué à 1.
Moi pour ce que j'en dis... Ce n'est pas une distribution fermée dont je parle, c'est une distribution organisée... ce n'est pas parcequ'une distro est organisée qu'elle est fermée, et ce n'est pas non-plus parcequ'une distro est est fermée qu'elle est organisée.
[^] # Re: Le futur de Debian
Posté par ouah (site web personnel) . Évalué à 5.
Je pense plutôt que le salut de Linux tient à une distribution unique et officielle. Par exemple une distribution Linux châpeautée par GNU (il y aurait enfin une légitimité à utiliser le mot GNU/Linux).
Cela aurait à mon avis plusieurs avantages: meilleure visibilité , moins d'efforts dispersés et des liens plus renforcés entre les développeurs du noyaux et ceux de la distribution. Mais cela permettrait surtout d'avoir une distribution libre et émanant une libre plus forte où chacun tirerait à la même corde et aurait une vision commune.
La situation actuelle avec plusieurs distributions qui pèsent (Red Hat, Debian, Mandriva etc.) n'est à mon sens pas un avantage et ce qu'elle apporte en diversité, on le perd ailleurs (antagonismes, doublons etc.).
[^] # Re: Le futur de Debian
Posté par Ph Husson (site web personnel) . Évalué à -2.
Se rassembler risque de mener à ce que fait MS, certes en différent
Je vais essayer d'expliquer:
Déjà plus de concurence, moins de ""stress"" et moins envie d'inover:
Actuellement Linux approche du niveau des OS proprio (bon est largement au dessus dans certains domaines mais je m'attarderais pas dessus), donc la volonté de devenir au dessus des autres va s'estomper
Bon évidement la communauté restera importante, mais est-ce qu'elle restera aussi forte que ce qu'elle l'est actuellement?
J'aurais bien envie de continuer mais j'arrive pas à trouver les mots....
[^] # Re: Le futur de Debian
Posté par term . Évalué à 10.
Déjà plus de concurence, moins de ""stress"" et moins envie d'inover
T'as besoin d'être en concurrence et stressé pour bien travailler ? Tu n'imagines pas travailler pour ton plaisir personnel, pour le plaisir de l'innovation et du travail bien fait ?
Ta vie doit être pénible :-/
[^] # Re: Le futur de Debian
Posté par reno . Évalué à 1.
Oui, euh, ce n'est pas gagné la..
1. Les distributions commerciales n'ont pas vraiment intérét à aider les distributions concurrentes (à part leur version "communautaire" si elles en ont une).
2.Pour que les distributions puissent s'aider efficacement, il faudrait qu'elles adoptes des standard communs au moins pour le format des packages au mieux aussi pour les scripts de démarrage, de configurations (autrement le partage de package serait plutot boiteux)..
Et la ce n'est pas gagné, le symbole NIH est tres puissant, essaye de suggerer aux débianistes de passer du format deb au format rpm (en gardant apt hein) pour 'faciliter la solidarité entre les distributions'..
Le résultat devrait être "intéressant" comme dise les Chinois.
[^] # Re: Le futur de Debian
Posté par Raphaël SurcouF (site web personnel) . Évalué à 7.
Et essaie donc de suggérer aux distributions rpm-based d'utiliser un outil de type apt commun au lieu de se disperser en apt, yum, up2date, urpmi et j'en passe. Ce n'est même pas comparable avec un débat deb/rpm puisqu'il s'agit dans ce cas de concepts de construction fondamentalement différents.
[^] # Re: Le futur de Debian
Posté par ouah (site web personnel) . Évalué à 4.
Personnellement j'avais été un peu étonné qu'une dépêche d'OSnews de début juin sur "Debian ships with disabled security feature" ne soit pas passée sur DLFP (comprenez, que personne n'ait voulu l'écrire).
En gros, il était dit cela:
"New installs [of Debian 3.1 from CD and DVD]... will not get security updates by default," said Debian developer Colin Watson in an e-mail warning. Installations from floppy disks or network servers were not affected. Watson apologised and asked vendors to delay burning CDs or DVDs of Debian 3.1, adding an update would be available shortly.
Alors évidemment quand soit disant on prend tout son temps pour que quelque chose de bien sorte, un truc pareil de dernière minute semble invraisemblable.
Donc en parlant de dysfonctionnements, il semblairerait bien que ceux-ci sont multiples et que les problèmes sont chez Debian d'ordre structurels.
[^] # Re: Le futur de Debian
Posté par tinodeleste . Évalué à 8.
# FUD
Posté par atmaniak (site web personnel) . Évalué à -10.
[^] # Re: FUD
Posté par Pierre Tramonson . Évalué à 5.
# On est sauvés...
Posté par galactikboulay . Évalué à 7.
commencé." Si c'est du même accabit que les discussions habituelles,
à savoir que les développeurs trollent au lieu de développer, on est
pas sortis de l'auberge...
-->[]
[^] # Re: On est sauvés...
Posté par demik . Évalué à 8.
[^] # Re: On est sauvés...
Posté par Christophe Merlet (site web personnel) . Évalué à 1.
Je rajouterais que les 1000 développeurs Debian tel qu'annoncé dans le communiqué de presse de la Sarge sont très subjectifs aussi...
N'en déplaise aux zelots de la Debian, il faut bien prendre debian pour ce qu'elle est, une distrib développée par des volontaires qui du jour au lendemain peuvent être aux abonnés absents. une distrib dont le mode de développement est tellement compliqué que la moindre décision prend une éternité à être prise et mise en application.
Une distribution à ne déployer en milieu professionnelle qu'a ses risques et périls en connaissance de cause !
[^] # Re: On est sauvés...
Posté par Jonathan ILIAS-PILLET (site web personnel) . Évalué à 10.
Je rajouterais que les 1000 développeurs Debian tel qu'annoncé dans le communiqué de presse de la Sarge sont très subjectifs aussi...
N'en déplaise aux zelots de la Debian, il faut bien prendre debian pour ce qu'elle est, une distrib développée par des volontaires qui du jour au lendemain peuvent être aux abonnés absents. une distrib dont le mode de développement est tellement compliqué que la moindre décision prend une éternité à être prise et mise en application.
Une distribution à ne déployer en milieu professionnelle qu'a ses risques et périls en connaissance de cause !
En substance, une fois les qualificatifs inutiles et autres hostilités barrés, j'en retire :
- il y a eu un communiqué de presse à propos de Debian
- Debian compte 1000 développeurs
- les développeurs sont des volontaires
- les volontaires sont libres de se désengager
- le développement de Debian est compliqué, les prises de décision sont de ce fait ralenties
- on installe une Debian sachant qu'aucune garantie n'est proposée par le(s) développeur(s)
Et je peux faire ça avec la moitié des commentaires de cette news... Choisir une distribution n'est pas choisir un camp. Si vous avez du temps à tuer ou de la cancoeur à dépenser, je vous invite cordialement à installer une Debian pour la détruire de la façon qu'il vous plaira le plus... Et pendant ce temps, épargnez vos sarcasmes à l'innocente population du coin.
[^] # Re: On est sauvés...
Posté par Barnabé . Évalué à 9.
Je suis certainement un vieux con avec un fond d'anarchisme, mais je pense qu'aucune distribution ne protège ma liberté autant que Debian, justement car ses développeurs sont libres eux même, y compris d'être aux abonnés absents.
Quand au déploiement en milieu professionnel, la lenteur de Debian est aussi un gage de pérennité, et dans bien des domaines, la pérennité est le critère le plus important pour le choix d'un système d'exploitation.
[^] # pérennité
Posté par Antoine . Évalué à 3.
[^] # Re: pérennité
Posté par Barnabé . Évalué à 0.
[^] # Re: pérennité
Posté par Raphaël SurcouF (site web personnel) . Évalué à 1.
[^] # Re: pérennité
Posté par Antoine . Évalué à 2.
# Infos dans la tirade "Bad press related to (missing) Debian security"
Posté par Victor STINNER (site web personnel) . Évalué à 10.
Pour la mention "inactif" :
Solutions :
* [Matt] Faire grossir l'équipe, mais il y a un problème de confiance ...
* [Noah] Autoriser les secrétaires à uploader
* ...
Par contre, je ne trouve pas cette discution très violente. C'est plutôt calme et réfléchit. Bon, moi je dois y aller, j'ai pas eu le temps de lire les 3000 messages.
Allez une dernière tirade de [Mickael] qui en dit long :
@+ Haypo
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Jonathan ILIAS-PILLET (site web personnel) . Évalué à 3.
J'avais remarqué qu'aucune mise à jour n'avait circulé après la sortie de Sarge, alors que Woody avait encore assez régulièrement des mises à jour de sécurité.
Au départ, j'ai pensé à un délai dû à la mise en place du système de MAJ de sécurité pour Sarge. Est-ce le cas ? Sait-on si l'équipe a volontairement démissionné ou si ils ont simplement levé le pied quelques temps ?
On peut rapidement penser c'est lié à la sortie de Sarge, puisque la dernière alerte de sécurité date du 3 juin et Sarge du 6 juin.
Je suis preneur de toute info... Et n'ayant pas pris le fil de discussion assez tôt, je suis un peu découragé de tout éplucher ;-)
PS (pour les éternels insatisfaits) : juste pour prévenir... merci de troller ailleurs, c'est un peu trop facile sur ce coup là et je pense que beaucoup de Debianistes sont curieux d'en savoir plus sans être gêné par du bruit
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Raoul Volfoni (site web personnel) . Évalué à 10.
Je répond à sa place car on peut trouver l'info dans un message de la ML:
http://lists.debian.org/debian-security/2005/06/msg00152.html(...)
> Sait-on quel était l'état d'activité de l'équipe de sécurité avant la sortie de Sarge ?
Tout pareil.
> Je suis preneur de toute info...
Ben la lecture du thread t'en dira long. En clair seul Martin Schulze (alias Joey) est vraiment actif dans l'équipe de sécurité. Les deux secrétaires ne peuvent pas faire d'upload. Et il est délicat de répondre à toutes les propositions d'aide qui ne vont pas manquer d'affluer car la sécurité d'une distrib est un domaine sensible. Voici ce qu'en dit Matt Zimmerman à la fin de son post:
The security team has always been a difficult one to expand. A strong level of trust is necessary due to confidentiality issues, and security support is a lot of (mostly boring and thankless) work.
J'ajouterai qu'un problème identique s'est présenté pour Gentoo ce qui a donné lieu à une discussion similaire, mais en l'occurence c'était du préventif. L'équipe de sécurité de Gentoo est extrèmement active (Cf. les GLSA sur bugtraq) mais Thierry Carrez co-manager de l'équipe avait particulièrement insisté sur l'aspect ingrat du travail.
Tout celà pour dire que les personnes qui ont en charge la sécurité d'une distrib font un boulot énorme et ne doivent pas être blamés en lieu et place de l'organisation des équipes. N'oublions pas que ces distribs communautaires fonctionnent sur le principe de la méritocratie et que l'on ne va pas confier les rennes de la sécurité à de parfaits inconnus.
mes 0.2¤.
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Éric (site web personnel) . Évalué à 7.
Dites, pourquoi personne n'envisage de demander à ceux qui ne sont pas actifs depuis longtemps de passer la main pour être remplacés ?
Le problème semble ici très proche de tout ce que j'ai pu voir dans les milieux associatifs:
- ce n'est pas qu'on manque de volontaire,
- ce n'est pas que les volontaires peuvent se désengager
- ce n'est pas qu'un volontaire puisse être indisponnible parfois temporairement
Le problème c'est quand un volontaire occupe la place, ne fait rien depuis longtemps et cède pas la place pour remettre la charge à un autre.
S'ils sont inactifs depuis longtemps, que c'est connu, que eux même le disent, pourquoi sont-ils en postent et ne voient-ils pas comme solution de se faire remplacer (et non de grossir l'équipe) ?
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Raphaël SurcouF (site web personnel) . Évalué à 3.
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Éric (site web personnel) . Évalué à 4.
Et euh .. "entre les membres de l'équipe" ? si dans l'équipe on remplace tous les membres inactif il n'y aura plus de problème de confiance avec les membres actuels vu qu'ils ne seront plus là ;)
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Raphaël SurcouF (site web personnel) . Évalué à 2.
Essaie un peu d'intégrer l'équipe de sécurité d'OpenBSD pour voir...
Cette question de confiance (par le mérite) n'est pas si impertinente que ça.
[^] # Re: Infos dans la tirade "Bad press related to (missing) Debian security
Posté par Sylvain Briole (site web personnel) . Évalué à 2.
Bah, chez OpenBSD l'équipe de sécurité c'est simple : c'est toute l'équipe d'OpenBSD ;-).
# le vilain méchant Ubuntu
Posté par qstone . Évalué à 10.
Ils n'ont pas peur du ridicule : UN mec sort de l'équipe sécurité pour aller chez Canonical (l'éditeur d'Ubuntu), et vlan, y'a plus personne pour gérer les patches ! Pour moi ça veut surtout dire qu'il y avait un souci avant. Si le départ/la non disponibilité d'une personne met en péril la sécurité de Debian, alors ça signifie qu'elle ne tient qu'à un fil, autrement dit : Debian n'est pas fiable !
< ma vie >
Je suis utilisateur Ubuntu depuis la sortie de la 4.10, et je tire mon chapeau à Canonical pour sa distro bien "léchée", mais aussi à Debian à qui Ubuntu doit énormément. Sans Ubuntu je serais toujours avec une Mandrake, donc mes contribs actuelles n'iraient pas davantage à Debian...
< mes visions >
Je vois bien Debian quitter progressivement le statut de distribution pour servir de base à un tas d'autres distros, comme Ubuntu pour le desktop...
< / mes visions >
< / ma vie >
[^] # Re: le vilain méchant Ubuntu
Posté par briaeros007 . Évalué à 3.
Je connais pas les circonstances du depart ; mais si il dit par exemple "vous inquiétez pas je vais bossez et chez eux et chez vous" et que finalement il ne bosse que chez eux car c'etait plus important que ce qu'il pensait ; et sans prevenir l'equipe d'ou il vient. Je vois pas forcement ou est le disfonctionnement avant.
Encore une fois je sais pas comment il est partis , ce n'est qu'un exemple.
[^] # Re: le vilain méchant Ubuntu
Posté par Vincent Pelletier . Évalué à 7.
Il y a déjà assez de bonnes raisons pour un contributeur de passer innactif sans même parler de changement de distribution.
Ce genre d'évènement peut arriver à n'importe quelle distribution. De là à prophétiser la mort de debian en tant que distribution (là je me demande ce que Debian est si ce n'est une distribution, et donc ce qu'il en resterai si elle ne devait plus l'être), il y a de la marge.
> Debian n'est pas fiable !
Don't feed the troll.
Aparement celui-ci fait doublon avec celui sur la mailing list citée ci-dessus (peut-être es-ce un rejeton, les trolls trop nourris auraient tendance à se dupliquer).
> Sans Ubuntu je serais toujours avec une Mandrake
Oh, un deuxième !
Pauvre Mandr[ake|iva], quelle réputation elle a.
> mes contribs actuelles n'iraient pas davantage à Debian
Intéressant. Chacun ne contribuerai donc que pour sa paroisse ?
Désolé, mes contributions vont indifféremment à toutes les distributions. Si quelqu'un a remarqué que maintenant les sous-titres dans les applications utilisant libxine ne changent pas de taille suivant la longueur de la ligne, c'est une de mes contributions. Et il est hors de question que cette contribution n'aille qu'à Debian pour la seule raison que c'est la distribution que j'utilise.
J'utilise Debien pour 2 raisons principales :
-J'y suis habitué : un ami m'a aidé à installer une woody il y a 2 ans, et depuis je continue sur cette lancée.
-Elle fait partie des distributions qui mettent en valeur l'aspect libre des logiciels.
En tant que contributeur convaincu des bienfaits du libre, il est hors de question pour moi de limiter le champ de mes contributions en fonction de ma distribution : je les fait toutes "upstream", directement avec l'équipe du projet auquel je souhaite contribuer.
Je n'ai pas de temps à perdre à faire des mesquineries de contributeur atitré.
[^] # Re: le vilain méchant Ubuntu
Posté par ragoutoutou . Évalué à 3.
Je crois que tout est dit... malheureusement c'est une situation fréquente dans le monde du logiciel libre, ce qui fait encore les beaux jours des distros commerciales. C'est pour ça qu'au boulot, c'est SuSE et Redhat et que Debian reste dans la catégorie "jouets expérimentaux" ... par contre, ubuntu commence à séduire...
[^] # Re: le vilain méchant Ubuntu
Posté par Croconux . Évalué à 8.
En même temps, si les développeurs cessent de bosser sur Debian, Ubuntu risque de se retrouver dans une belle merde. Debian fournit 90% du boulot et Ubuntu n'a plus qu'à faire les 10% qui restent pour avoir une belle distro bien léchée. Si Debian stagne, Ubuntu va devoir assumer seul l'évolution de toute la distribution et je ne suis pas sûr qu'ils aient les effectifs pour ça...
[^] # Re: le vilain méchant Ubuntu
Posté par qstone . Évalué à 6.
1 - debian c'est super
2 - debian j'adore et je respecte, surtout vu le nombre de volontaires impliqués
3 - debian c'est une base énorme (plein d'architectures*plein de paquets)
4 - debian c'est pas nécessairement "un produit fini". Pas de troll, juste un avis personnel (c'est pas 100% adapté à un besoin particulier juste "out-of-the-box")
3 - vu le nombre de dérivés de Debian (knoppix, Ubuntu, Mepis, ...), plus spécialisés et plus "léchés", je vois comme une tendance se dégager : Debian servant de "fond" générique de plusieurs distributions plus spécialisées. Evidemment, si les distros en question ne contribuent pas en retour à Debian, c'est la mort assurée pour tout. Mais si elles jouent le jeu, elles mutualisent leurs efforts... et leurs coûts pour les distros commerciales. Tout le monde a donc intérêt à tenir ce genre de partenariat.
[^] # Re: le vilain méchant Ubuntu
Posté par CyrrusSmith (site web personnel) . Évalué à -1.
<mode parano>
Et si c'était le véritable effet recherché par le milliardaire sud africain et ses millions de cdroms?
Un agent de µ$? de la Cia? Des services nord coréens?
Autre question, existe il quelque part dans le monde, quelqu'un qui vérifie les paquetages ubuntu de manière indépendante du financeur?
Ce sont des debians à l'origine. Mais quelles modifications ont ils subit?
Même question pour le paquetages sur les cdrom de certaines revues apparues récement.
Qui vérifie qu'il n'y a pas de spywares dans leur cédéroms de aurox,mandrake, ou fedora?
</mode parano>
# Trop bête
Posté par maximegb . Évalué à -8.
Si c'est pour devoir recommencer avec Hoary, bof bof...
Je trouvais cela un peu bizarre qu'en faisant des apt-get dist-upgrade il n'y ai aucune mise à jour.
# Arf...
Posté par krumtrash . Évalué à -8.
# La sécurité, c'est important
Posté par jeanmarc . Évalué à 6.
Le rythme de linuxfr est loin d'être trés élevé en terme de news et nous ne sommes pas habitués à venir chercher des scoop ici.
Je pense qu'il aurait été assez sympathique de garder celle-là sous le coude le temps de voir comment Debian se sort de ce problème.
En dehors du troll formidable que représente cette news, il faut penser que la Debian n'est pas une distribution confidentielle.
Certaines personnes mals intentionnées vont s'en doute se lancer à la chasse aux serveurs Debian vulnérables dés qu'ils seront au courant
et ce n'est pas seulement Debian qui va en partir mais linux tout entier.
Bref, qu'elle que soit la distribution se retrouvant dans cette situation, je ne comprends pas qu'aucun des modérateurs n'ai pensé au principe de précaution quand la sécurité est en jeu.
Je pense qu'ils connaissent le fonctionnement des alertes de sécurité pourtant. L'info est tenue secrète le temps que les correctifs arrivent.
Ici, ils parlent d'un problème de sécurité qui n'est pas encore réglé....
Ce n'est pas parce que heise.de a fait dans le sensationalisme qu'il faut faire pareil.
Quand on détient une information pouvant permettre à quelqu'un de compromettre la sécurité d'une machine, on vérifie d'abord si une solution a été trouvée avant de la diffuser, surtout si son auditoire est trés important.
Les mailing-list de Debian ne sont pas lues par le même auditoire que linuxfr.
Je ne vous félicite pas pour ce coup-bas à Debian et Linux.
[^] # Re: La sécurité, c'est important
Posté par tinodeleste . Évalué à 10.
et dans deux jours, on aurait eu le journal d'un gars écoeuré "oui, ma news elle n'est pas passée mais que font donc les modéros, sont tous à Linuxtag ou aux RMLL ou quoi, c'est quoi cette bande de volontaires feignants qui se désengagent de leurs responsabilités"
[^] # Re: La sécurité, c'est important
Posté par CrEv (site web personnel) . Évalué à 8.
[^] # Re: La sécurité, c'est important
Posté par gallenza . Évalué à 0.
Pour toi l'information est un coup-bas ??
Penses-tu travailler bientôt pour Microsoft, tu partages les mêmes idées??
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à -4.
Où as-tu vu parler de censure?
Je parle de principe de précaution qui est appliqué en trés grande majorité par les acteurs de la sécurité ou lorsqu'il s'agit de sécurité.
Je vais prendre un exemple trés simple:
Si tu développes un logiciel libre, quelque soit sont importence.
Aprés une release, tu te rends compte qu'il y a une faille de sécurité dans celle-ci.
Que fais-tu?
Apparemment, tu n'est pas pour la censure donc tu annonces sur le site où l'on peut télécharger le logiciel que la dernière version en date posséde un trou de sécurité.
Comme la censure est ta phobie, tu donnes un exemple permettant d'exploiter cette faille.
J'espère que cet exemple te permettra de remettre en perspective mon commentaire et t'indiquera à quel point j'ai trouvé stupide et déplacée ta dernière remarque concernant Microsoft.....
[^] # Re: La sécurité, c'est important
Posté par Unixfix le Gaulois . Évalué à 7.
Comme tu le dis la sécurité c'est important surtout dans le cadre d'une utilisation "en production".
Il est donc important de signaler que Debian n'est pour l'instant pas en mesure de remédier aux problèmes de sécurité.
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à 4.
Tu sembles trés préoccupé par ce problème mais tout ce que tu proposes, c'est de faire part au monde de la trés grande faute de la Debian qui n'est pas une distribution digne de confiance.
Tu veux faire croire que c'est la sécurité qui t'intéresse mais à aucun moment dans ta news tu n'incites les personnes concernées à se protéger. Tu proposes encore moins de solutions.
Tout ce que tu fais, c'est relater le déroulement des faits selon heise.de
Ne vient pas ensuite faire des leçons de morale à Debian puisque ta morale elle-même est totalement douteuse dans cette news.
Sais-tu qu'elle est la vraie origine du problème? As-tu cherché des solutions à proposer avant de poster ta news?
Je peux te prouver que non puisque si tu t'étais vraiment intéressé au problème et que ton envie était d'aider à le régler, tu serais tombé sur ce lien qui est à l'origine de tout:
http://www.infodrom.org/~joey/log/?200506142140(...)
Voilà le point de départ du problème auquel est confronté Debian en ce moment.
Tu aurais aussi parlé des solutions qui sont en train d'emmerger des discussions actuelles sur Debian-security comme celle qui préconise une augmentation du team security en prenant des personnes ayant fait leurs preuves en assurant la securité de testing.
Bref, ta news et tes commentaires où tu fais fi du passé de la Debian qui n'est pas connue pour avoir une sécurité laxiste, loin de là, renseignent sur ton état d'esprit.
Le jour où gentoo ou autre a un grave problème de sécurité, jamais il ne me viendrait à l'esprit d'en informer des gens par l'intermédiaire d'un site de news sans être assuré que le problème est réglé.
Aprés, chacun sa conscience et ses pratiques.....
[^] # Re: La sécurité, c'est important
Posté par ragoutoutou . Évalué à 3.
C'est juste très microsoftien comme délai de réponse, et ça mérite commentaire. On ne laisse pas passer ça de la part de 'crosoft, pas de raisons de laisser passer ça chez debian, même si c'est du libre, du gratuit, ... un bug sécurité non patché reste un bug sécurité sécurité non patché.
Debian pas digne de confiance? Je dirais pas ça sur un cas particulier, mais c'est clair que si ce genre de choses devenait coutume, ce serait une bonne raison de mettre ça comme argument défavorable pour Debian.
Debian ferait bien de s'organiser un peu mieux si il veut rester la distro rétro libre et qualité pro qu'il a été jusqu'à présent.
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à 1.
Qu'est-ce qu'ils viennent faire dans l'affaire?
Je ne comprends pas trop pourquoi tu inclues ton traumatisme microsoft dans l'histoire mais ce que je peux te dire, c'est qu'un utilisateur de windows n'est pas un ennemi pour moi.
Quand à ta dernière phrase à troll, elle m'indique qu'il n'est pas nécessaire de continuer à chercher un argumentaire sérieux et intéressant venant de toi....
[^] # Re: La sécurité, c'est important
Posté par ragoutoutou . Évalué à 6.
Franchement, ça te dérangerait d'arrèter d'utiliser des termes psychologiques à tort et à travers à chaque fois qu'un propos te déplaît?
Mon propos est simplement que si une distribution comme Debian prétend offrir mieux que le monde fermé de windows, il faut montrer une bonne cohérence et du professionnalisme...
Pour le reste, tu peux m'appeler "troll" et te retrancher derrière celà pour ne pas avoir à débattre, mais force est de constater qu'à part dire aux uns et aux autres qu'ils sont frustrés, ont de l'amertume, traumatisés et blah blah blah... tu ne démontre pas une grande capacité à faire avancer le débat... mais bon, peut-être est-ce le but d'essayer désespérément d'énerver le monde ...
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à 3.
Je suis désolé ragoutoutou. Je t'ai confondu avac gallenza. Mea culpa.
Mon propos est simplement que si une distribution comme Debian prétend offrir mieux que le monde fermé de windows, il faut montrer une bonne cohérence et du professionnalisme...
Peux-tu me donner un lien officiel où tu vois écrit que Debian s'engage à fournir mieux que Windows?.
Tu fais des affirmations totalement fantaisistes et erronées pour assoir ton argumentaire.
Pour le reste, tu peux m'appeler "troll" et te retrancher derrière celà pour ne pas avoir à débattre, mais force est de constater qu'à part dire aux uns et aux autres qu'ils sont frustrés, ont de l'amertume, traumatisés et blah blah blah... tu ne démontre pas une grande capacité à faire avancer le débat...
Tu trouves que je ne débat pas et que je ne fais pas avancer les choses?
Relis mes postes et tu verras que j'essaye toujours d'argumenter mes propos, j'essaye de me renseigner sur ce dont je parle contrairement à l'auteur de cette news qui n'était même pas au courant de l'origine de ce problème chez Debian.
De ton côté, je note des affirmations totalement erronées:
Si au moins dans le monde debian il y avait un peu de standardisation...
Des contributions mémorables qui font bien avancer le débat:
ce n'est pas parcequ'une distro est organisée qu'elle est fermée, et ce n'est pas non-plus parcequ'une distro est est fermée qu'elle est organisée.
des autoproclamations de ton ignorance de la vraie vie:
C'est pour ça qu'au boulot, c'est SuSE et Redhat et que Debian reste dans la catégorie "jouets expérimentaux"
(à moins que tu ne parles pour toi et dans ce cas là, il faut le préciser).
Je ne résiste pas à cette nouvelle tentative d'avancée du schmilblick:
un bug sécurité non patché reste un bug sécurité sécurité non patché
Tu pratiques le troll à peine dissimulé:
Debian ferait bien de s'organiser un peu mieux si il veut rester la distro rétro libre et qualité pro qu'il a été jusqu'à présent.
Tu m'as jugé un peu vite sans analyser ta propre contribution à cette news. Je peux en dire facilement autant à ton sujet et c'est à nouveau toi qui nous éloigne du sujet avec tes récriminations.
mais bon, peut-être est-ce le but d'essayer désespérément d'énerver le monde ...
Je ne pratique pas la langue de bois. Excuses-moi de ne pas t'avoir carressé dans le sens du poil mais c'est justement ça qui fait avancer les choses.
Linuxfr est un espace de libre expression et je l'utilise pour m'exprimer. Je suis insensible à la mode du moment, au courant qu'il faut suivre donc quand je trouve que les modérateurs ont agit avec légèreté, je le dis.
[^] # Re: La sécurité, c'est important
Posté par ragoutoutou . Évalué à 2.
Nulle part... toutefois, la majorité des partisants de linux parle toujours de meilleure conduite au niveau sécurité dans le monde du logiciel libre que dans le monde du logiciel fermé... un truc aussi important que sudo, ça reste risqué pour une utilisation en millieux professionnel.
Relis mes postes et tu verras que j'essaye toujours d'argumenter mes propos,
Oui oui, c'est vrai... pas sur ce site sans doutes, mais je te crois sur parole ;)
De ton côté, je note des affirmations totalement erronées:
Je ne vois pas en quoi c'est erronné, Debian part dans tous les sens avec des distributions dérivées qui finissent par offrir une meilleure qualité que l'original... le projet original a besoin d'un sérieux coup de fouet pour rester la référence... la progression faite par des dérivatifs comme ubuntu est stupéfiante, et on peut vraiment commencer à parler de fork de Debian vu la vitesse à laquelle le dérivatif s'éloigne de l'original.
des autoproclamations de ton ignorance de la vraie vie:
Tu m'épargnera ta mesquinerie... Je ne parle pas de moi, je parle de l'entreprise pour laquelle je bosse et qui se focalise sur SuSE. J'essaye depuis déjà un bout de temps de montrer les possibilités de Debian, mais malheureusement sans grands succès pour le moment, et l'épisode sudo ne tardera pas à être utilisé par le commercial de Novell pour convaincre un peu plus ma hiérarchie que Debian n'a pas un niveau suffisant de support pour être utilisé en entreprise...
Pour le reste, franchement, après avoir lu tes remarques adressées aux autres dans ce sujet , la seule conclusion que je puisse tirer est que tu n'as pas de respect pour tes interlocuteurs, je n'ai plus de temps à perdre avec un cornichon comme toi... amuse toi bien :)
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à 1.
Tu parles de ta propre expérience an sein de ton entreprise pour extrapoler sur la place des différentes distros pour toutes les entreprises.
Tu affirmes que Debian s'engage elle-même à fournir mieux que windows et quand je t'épingle sur ce point, qu'est-ce que tu réponds?
Nulle part... toutefois, la majorité des partisants de linux parle toujours de meilleure conduite au niveau sécurité dans le monde du logiciel libre que dans le monde du logiciel fermé...
Ce que tu racontes ne tiens pas la route parce que tu ne te bases pas sur du concrêt. Tu te mets à raconter des choses totalement subjectives que tu veux faire passer pour des vérités absolues:
on peut vraiment commencer à parler de fork de Debian vu la vitesse à laquelle le dérivatif s'éloigne de l'original.
Tout celà n'est pas trés interessant au final et un peu plus de rigueur dans ce que tu affirmes ne te ferait pas de mal.
Pour conclure, évite de traiter de cornichon quelqu'un que tu accuses dans la même phrase de ne pas prendre en considération ses interlocuteurs et qui n'a proféré aucune injure avant toi.
Tu montres que tu ne te maitrises pas et tu passes pour un rigolo en même temps.....
Par contre, c'est vrai que je m'amuse bien, merci.
[^] # Re: La sécurité, c'est important
Posté par Zenitram (site web personnel) . Évalué à 3.
Pardon???
L'argument classique des Linuxiens convaincus est (après "windows ca pue c'est pas libre") "windows c'est un gruyère".
Ca sous-entend clairement que Linux est mieux en sécurité.
Donc faudrait savoir : soit les linuxiens patchent toutes les distributions correctement, soit il arrettent de sortir cet argument de sécurité...
[^] # Re: La sécurité, c'est important
Posté par briaeros007 . Évalué à 3.
Marrant mais je crois qu'il y en a qui ont distribuer ces correctifs...
Les principaux argument que j'ai "contre" windows et que j'entend c'est
-l'aspect clickodrome/pas tres clair pour faire les configurations sous windows (oui j'aime bien les fichiers de conf ; et modifier des cles de registres a la main j'ai pas accroche)
-la sécurité entre autre; mais surtout au niveau des services utilisé par defaut , jusqu'au sp2 tout du moins.
-l'aspect propriétaire.
-le manque de gestionnaire de paquetage.
-fonction non disponible directement (tc par exemple)
La sécurité fait partie d'un tout. Si tu as un système hyper secure mais vraiment lourd a administrer , verifier etc... a moins d'avoir besoin de ce niveau de sécurité ; tu vas viser plus bas pour un truc plus sympa a administrer, enfin je pense.
Ca sous-entend clairement que Linux est mieux en sécurité.
Ca sous entend clairement qu'on peux faire mieux avec une base linux. Mais je dis aussi (et je suis pas le seul) qu'un serveur windows bien administré est plus securisé qu'un serveur linux mal administré.
Donc linux ca reste un noyau ; et ensuite depend ce qu'on met autour (distribution /administration toussa).
Donc faudrait savoir : soit les linuxiens patchent toutes les distributions correctement, soit il arrettent de sortir cet argument de sécurité...
Pourquoi "toutes"?
Qu'il y en ait une suffit a prouver le predicat .
Et ah mon avis deb va sortir des correctifs; c'est juste une question de délais (moi troller ? mais non....)
[^] # Re: La sécurité, c'est important
Posté par bz31 . Évalué à 3.
Debian n'est pas Ubuntu. Le paquet sudo n'est pas si important que tu crois. Il est "optional" dans la section "System Administration". On peut vivre très bien sans sudo.
>Debian part dans tous les sens avec des distributions dérivées qui finissent par offrir une meilleure qualité que l'original...
meilleur qualité ? Comment tu peux la prouver ? C'est une question très subjective. Si c'est basée sur l'effet de mode ou le nombre d'utilisateurs, Windows est le meilleur.
>la progression faite par des dérivatifs comme ubuntu est stupéfiante, et on peut vraiment commencer à parler de fork de Debian vu la vitesse à laquelle le dérivatif s'éloigne de l'original.
Je te souhaite bon "fork" et le plus tôt possible.
[^] # Re: La sécurité, c'est important
Posté par ragoutoutou . Évalué à 1.
ça dépend si on parle d'un desktop chez sois ou d'un serveur applicatif multi utilisateur où la gestion de certains applicatifs est déléguée à une autre équippe...
meilleur qualité ? Comment tu peux la prouver ? C'est une question très subjective. Si c'est basée sur l'effet de mode ou le nombre d'utilisateurs, Windows est le meilleur.Effectivement, c'est en partie subjectif, d'ailleurs on ne peut parler de qualité sans se demander d'abord "pourquoi faire"... (Pour une utilisation desktop de base, Ubuntu offre plus que Debian "stable", pour une application serveur, Debian reste pour le moment plus intéressant.)
Je ne souhaite pas un "fork" réel de Debian, mais il semble bien que c'est ce qui est occupé à se passer... On se plaint qu'Ubuntu fait du mal à Debian en s'en éloignant de plus en plus tout en monpolisant les développeurs de Debian (c'est pas moi qui le dit, c'est Ian Murdock) , mais la question à se poser est: est-ce que Debian arrive encore à motiver ses troupes?
Debian est un projet formidable, mais il se retrouve confronté à un dérivatif de lui-même qui avance plus vite et qui attire de plus en plus de développeurs qui s'occupent aussi de Debian... Un formidable anachronisme dans Debian est que Sarge est sortit officiellement pour les Motorola 68000, mais pas pour les AMD64...
Si Ubuntu est juste un effet de mode, Debian n'a pas grand-chose à craindre, mais si Ubuntu est là pour rester, on pourrait voir le projet Debian initial ralentir encore plus au profit d'un Ubuntu fédérant de plus en plus de développeurs Debian...
[^] # Re: La sécurité, c'est important
Posté par Marc Poiroud (site web personnel) . Évalué à 4.
Là tu vas peut être un peu loin dans l'absurde !
LE seul moyen de se protéger est d'installer la dernière version des paquets incriminés ...
Si sur ton poste personnel, tu peux compiler les sources avec un outil comme Checkinstall afin de patienter pour le paquet officiel, c'est un luxe que tu ne peux risquer sur une machine en production car tu risques provoquer une cata pour une dépendance mal gérer.
De plus le sujet de la news ne concerne pas une faille particulière mais TOUTE les failles depuis le 3 juin, donc c'est bien un problème d'organisation de Debian.
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à 1.
A aucun moment je n'ai nié ce fait, je ne comprends pas trop ton poste.
Je ne minimise ni n'occulte le problème.
Je dit juste que ce n'est pas formidable de se repaître des problèmes d'une distribution surtout quand il s'agit de sécurité.
[^] # Re: La sécurité, c'est important
Posté par Antoine . Évalué à 6.
"Faire part au monde" ?
Linuxfr n'est pas le premier à annoncer l'info (la preuve, voir les liens), et je ne pense pas que les crackers en culotte courte attendent la parution des failles sur Linuxfr (qui n'annonce pratiquement jamais de failles) pour les exploiter. Bref, argument foireux.
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à 0.
Tu sais ce qu'est une image?
Linuxfr n'est pas le premier à annoncer l'info
On est pas dans la court de recré à jouer à prems. La décision de publier une news ne doit pas dépendre de qui l'a déjà publiée mais de la pertinence pour le site de la publier.
Linuxfr n'est pas un site où l'on trouve les nouvelles les plus fraiches et sur ce coup là, ils sont trés réactifs.
Ca ne t'étonne pas de ne pas avoir lu celà d'abord sur slashdot qui fait pourtant régulièrement dans le sensationnel? Sur linuxnews?
je ne pense pas que les crackers en culotte courte attendent la parution des failles sur Linuxfr
Quand on parle de sécurité, on n'utilise pas des termes comme "je ne pense pas" si on ne veut pas passer pour un comique.
Ici, il s'agit de diffuser une information potentiellement dangereuse.
Tu fais confiance à tous les lecteurs de linuxfr alors? D'ailleurs, tu les connais tous?
Bref, imaginer que quelqu'un apprenne la nouvelle sur linuxfr, s'en serve pour cibler ses attaques et/ou la diffuse à d'autres personnes mal intentionnées est une hypothése tout à fait plausible dans l'état actuel des choses sur internet.
Celui qui écarte cette hypothése, ce qu'ont fait les modérateurs et l'auteur de cette news, font preuve de laxisme et font courir un risque à d'autres personnes aussi minime soit-il.
Bref, argument foireux.
En matière de sécurité, je préfère avoir mon attitude méfiante que la désinvolture de la tienne.
Tu n'es pas directement concerné donc tu t'en fous, c'est ça?
Pas trés sympathique comme attitude...
[^] # Re: La sécurité, c'est important
Posté par Antoine . Évalué à 2.
Non, car je ne lis pas Slashdot.
Sur linuxnews?
Connais pas, désolé.
Linuxfr n'est pas un site où l'on trouve les nouvelles les plus fraiches et sur ce coup là, ils sont trés réactifs.
C'est qui "ils" ? Le boulot des modérateurs Linuxfr, c'est de valider ou non les dépêches proposées. Si un utilisateur a été rapide à proposer une dépêche correctement rédigée, c'est idiot de reprocher aux modérateurs de l'avoir publiée tout de suite.
J'ai l'impression que tu ne comprends pas bien comment fonctionne un site communautaire.
Quand on parle de sécurité, on n'utilise pas des termes comme "je ne pense pas" si on ne veut pas passer pour un comique.
Quand on répond à un message, on essaie de comprendre les figures de style si on ne veut pas passer pour un comique. Cherche "euphémisme" dans un dictionnaire.
Tu fais confiance à tous les lecteurs de linuxfr alors?
Tu n'es pas fatigué de ressortir cet argument à longueur de fil de discussion ?
Les crackers potentiels ont déjà l'information **sur les mailing-lists Debian elles-mêmes** : il faut le dire dans quelle langue ?
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à -2.
Le problème avec toi, c'est que tu n'essayes pas d'élever le débat.
Tu ne lis pas Slashdot.....
C'est tout ce que tu peux produire comme réflexion sur ce point?
Tu n'as pas besoin de le lire puisque je t'informe que cette information ne s'y trouve pas....
Si tu n'as rien de mieux à produire, tu devrais économiser ton clavier non?
C'est qui "ils" ? Le boulot des modérateurs Linuxfr, c'est de valider ou non les dépêches proposées. Si un utilisateur a été rapide à proposer une dépêche correctement rédigée, c'est idiot de reprocher aux modérateurs de l'avoir publiée tout de suite.
Tu te rappelles de quoi traite la news? Tu m'obliges à expliquer mes reproches aux modérateurs une enième fois.
Je pense qu'ils auraient dû attendre qu'il y ai une solution à ce problème de sécurité avant de poster la news. C'est clair pourtant.
J'ai l'impression que tu ne comprends pas bien comment fonctionne un site communautaire.
Merci à toi de m'expliquer qu'un modérateur modère mais ce n'est pas là le problème. Leur boulot consiste aussi à ne pas faire passer d'information pouvant mettre en péril la sécurité d'autrui. Ils ont la possibilité de temporiser ou de demander à l'auteur de rajouter à sa news un moyen de régler ce problème de sécurité.
Quand à ton attitude laxiste qui consiste à dire que l'info est déjà disponible sur les mailing-listes debian donc ça ne fait rien si on continue à la diffuser, elle prouve ton manque de considération pour la sécurité et celle des autres en particulier.
[^] # Re: La sécurité, c'est important
Posté par Éric (site web personnel) . Évalué à 4.
> problème de sécurité avant de poster la news.
Ca serait valable pour un problème de sécurité relativement inconnu, pas pour un débat qui a déjà rage en public partout et que même les concernés font en public.
Il n'y a pas de mal à dire "il y a un problème" quand c'est le cas. D'ailleurs je pense que sur ce coup là on aide beaucoup plus d'admin qui n'étaient pas conscients du problème que de méchants. Je pense que ceux là sont contents de l'avoir le débat.
[^] # Re: La sécurité, c'est important
Posté par TuxPierre . Évalué à 6.
La sécurité par l'obscurité n'est pas une bonne méthode.
Quand à croire que "a cause" de cette news, il va y avoir plus d'attaques..c'est n'importe quoi. Les personnes véritablement mal intentionnées n'auront pas attendu si longtemps !!!
Tu rejoins un certain groupe de pensée qui juge "bon" de ne pas (plus ?) dévoiler les failles de sécurité des logiciels... Et la ce sera toujours le même problème : le "grand public" ne saura rien (mon logiciel n'est pas buggé) et le "petit monde des spécialistes" sera au courant. Conclusion ?? On éloigne quelques scripts-kiddies et on reste confronté aux "vrais méchants".
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à -2.
Qui te parles de sécurité par l'obscurité? C'est quoi cette histoire de groupe de pensée?
Je te rappel qu'Openbsd a pour priorité la sécurité donc leur approche de ce problème leur est propre et ne peux pas forcément être appliqué partout.
Ensuite, tu part déjà en live alors qu'on ne parle pas d'annonce de sécurité ici.....
Les failles ont déjà été annoncées et les patchs existent.
Ici, on parle du problème actuel de mise à jour de sécurité de la Debian.
Je ne dis pas de ne pas parler des failles de sécurité.
Je dis juste que ce n'est pas trés malin et responsable de se réjouir du problème de mise à jour d'une distribution linux surtout si on prétend appartenir à cette communauté.
Leur laisser le temps de se retourner n'aurait fait de mal à personne et comme je le dis à l'auteur de la news, pas la peine de venir me faire croire qu'il s'agit uniquement ici d'informer les utilisateurs de sarge.
Pour terminer et pour mettre à l'épreuve tes arguments, je te poserai une seule question:
Si tu découvres une faille de sécurité dans un logiciel que tu publies, tu annonces la faille avant de la corriger?
[^] # Re: La sécurité, c'est important
Posté par ouah (site web personnel) . Évalué à 8.
Je ne vous félicite pas pour ce coup-bas à Debian et Linux.
et
Je dis juste que ce n'est pas trés malin et responsable de se réjouir du problème de mise à jour d'une distribution linux surtout si on prétend appartenir à cette communauté.
Moi, c'est ce genre d'attitude que je déplore.
Cette attitude nombriliste et hypocrite qui consiste à dire qu'on ne devrait passer que des news qui glorifient Linux et racontent ses haut faits, ainsi que les news qui montrent les concurrents de Linux avaler la poussière. Par contre, il faut bien sûr éviter d'évoquer tout problème que pourrait rencontrer Linux et surtout taire les initiatives louables et les bonnes idées des autres OS.
Le logiciel libre c'est aussi l'information libre et je pense pas que cacher la merde au chat soit une bonne solution pour aller de l'avant,.
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à -1.
Tu n'as pas noté que ce que je leur reproche c'est de l'avoir passée trop vite?
Allons, un peu de bonne foi avant de partir dans ces grandes tirades sur l'équité envers les OS, le nombrilisme des linuxiens, etc. Tu t'égares là.
Relis à nouveau mes posts avec l'esprit ouvert et tu verras que ce que je dénonce, ce n'est pas la critique de Debian ou de Linux mais le manque de responsabilité des modérateurs.
La news informe de l'existence de failles de sécurités non corrigées sur une distribution majeure alors qu'il n'y a pas encore de solution officielle au problème.
La news elle-même ne propose aucune ébauche de solution parmis celles, temporaires, qui ont pourtant été proposées.
La news propose juste 3 liens en allemand et un autre en anglais. J'ai déjà vu mieux pour un site francophone.
L'auteur de la news n'était même pas au courant de ce qui a provoqué cet état de fait chez Debian.
Aucun autre site majeur de news n'a relayé cette nouvelle pourtant disponible publiquement sur les listes Debian.
N'oublions pas que nous parlons ici de sécurité. Il est vrai que Debian ne fait pas l'unanimité ici, ce qui est normal, mais l'auteur de la news et les modérateurs devraient faire passer celà APRES la sécurité.
Ma réaction aurait été la même quelle que soit la distribution concernée.
Imagine que je poste une news annonçant une faille de sécurité dans dacode avec exemple à l'appui.
Tu penses qu'ils vont modérer tranquillement, se chamailler à propos de mes fautes d'orthographe avant de passer ma news?
Non, ils vont bouger leurs fesses pour aller vérifier s'il y a effectivement faille et la corriger avant de penser à en parler.
Leur attitude est donc impardonnable sur ce coup là, pas parce que c'est Debian ou Linux mais parce qu'ils prennent la sécurité des autres à la légère.
[^] # Re: La sécurité, c'est important
Posté par CrEv (site web personnel) . Évalué à 3.
Sans vouloir rentrer dans le troll (ou pas trop...)
Je pens que c'est pas tout à fait comme ça qu'il faut voir les choses.
Certaines de ces failles ont été corrigées sur d'autres distribution, donc de ce point de vue il y a déjà des solutions au problème.
Le problème pointé du doigt n'est pas tant la faille en elle-même, mais plutôt l'absence de correction alors qu'elle serait possible.
Ce n'est pas debian qui est mis en cause, ni la faille qui est mise en avant, mais simplement un problème de gestion humaine au sein de l'équipe debian.
Enfin moi c'est comme ça que je l'ai compris...
Tu penses qu'ils vont modérer tranquillement, se chamailler à propos de mes fautes d'orthographe avant de passer ma news?
Non, ils vont bouger leurs fesses pour aller vérifier s'il y a effectivement faille et la corriger avant de penser à en parler.
Non, pas totalement d'accord...
Les modérateurs ne sont pas nécessairement développeurs...
Et s'ils avaient eu connaissance d'une faille non corrigée, non connues alors oui il faudrait signaler le problème aux personnes compétentes avant de publier à tout vas. Mais étant donné que les personnes compétentes (team debian) étaient déjà au courant et que les corrections existent, je ne vois pas bien où est le problème...
[^] # Re: La sécurité, c'est important
Posté par jeanmarc . Évalué à 2.
Ce n'est pas debian qui est mis en cause, ni la faille qui est mise en avant, mais simplement un problème de gestion humaine au sein de l'équipe debian.
Tout à fait mais toujours est-il qu'il ne faut pas oublier les gens qui se reposent sur le suivi de sécurité debian pour assurer la sécurité de leur machine.
Les correctifs existent mais le moyen de les appliquer en suivant la méthode Debian ne fonctionne pas et il n'est pas normal de proposer juste cette information sans y accoler une tentative d'aide sous la forme d'une solution même temporaire.
Les modérateurs ne sont pas nécessairement développeurs...
J'ai justement pris l'exemple de dacode parce que l'un des modérateurs est Fabien Penso et qu'il doit un peu connaitre....
Mais étant donné que les personnes compétentes (team debian) étaient déjà au courant et que les corrections existent, je ne vois pas bien où est le problème...
Pour la 20 éme fois :-), le problème vient du fait qu'on n'annonce pas sur un site de news à forte audience l'existence d'une défaillance de sécurité au niveau de machines identifiées sans proposer de solution immédiate quand on est responsable.
[^] # Re: La sécurité, c'est important
Posté par Gniarf . Évalué à 3.
c'est ton avis et figure-toi que tout le monde ne le partage pas avec toi, loin de là.
ah, et ce n'est *PAS* une question d'audience, parce que les petits crétins qui pourraient chercher à en profiter sont ceux qui font la forte audience des sites de sécurité et sites plus louches. ce n'est pas ici qu'ils apprendraient quoi que ce soit, loin de là.
[^] # Re: La sécurité, c'est important
Posté par Éric (site web personnel) . Évalué à 5.
> de mes fautes d'orthographe avant de passer ma news?
> Non, ils vont bouger leurs fesses pour aller vérifier s'il y a
> effectivement faille et la corriger avant de penser à en parler.
Hé ! mais pour quasiment tous les softs les correctifs ils existent déjà. Ils sont dans les autres distrib, ils sont dans les dépots officiels des différents softs, ils sont même souvent dans testing.
Effectivement tout n'est pas reprenable tel quel mais si j'ai bien suivi le débat ce qui manque ce n'est pas le correctif, c'est la personne pour le valider et l'uploader.
Alors quoi ? à part nous présenter nous-même en tant que manager sécurité pour debian non, nous n'avions rien à faire.
> Leur attitude est donc impardonnable sur ce coup là, pas parce que
> c'est Debian ou Linux mais parce qu'ils prennent la sécurité des
> autres à la légère.
On ne va pas faire le débat du full disclosure, mais quand une distrib complète n'est pas patchée depuis longtemps la distrib est déjà attaquable par n'importe quel script kiddie qui teste les failles des derniers mois.
Tu préfères qu'on ne dise rien et qu'on laisse tous les gens qui utilisent des debian sans rien et sans comm ? tu crois que ça ne serait pas ça prendre la sécurité à la légère ?
Laisser une faille sous silence c'est déjà à double tranchant. Quand elle est déjà plus que publique continuer à la cacher ça ne laisse plus vraiment de positif.
[^] # Re: La sécurité, c'est important
Posté par Raphaël SurcouF (site web personnel) . Évalué à 2.
Effectivement tout n'est pas reprenable tel quel mais si j'ai bien suivi le débat ce qui manque ce n'est pas le correctif, c'est la personne pour le valider et l'uploader.
Alors quoi ? à part nous présenter nous-même en tant que manager sécurité pour debian non, nous n'avions rien à faire.
Alors, en production, on ne s'amuse pas à mettre à jour un serveur avec un paquet qui n'a pas encore été validé officiellement.
On peut toujours le faire soi-même, évidemment (d'ailleurs, on devrait même le faire pour une mise à jour de sécurité normale), les serveurs en pré-production sont généralement là pour ça.
[^] # Un problème de prise de décisions chronique chez Debian
Posté par herodiade . Évalué à 5.
Même les membres autorisés de l'équipe de sécurité (déclarés "inactifs", certes, mais qui se manifestent pour participer au bruit général) préfèrent troller sur le problème sur les mailing-lists plutôt que de le résoudre (sachant qu'il s'agit en gros de poser des paquets déjà prets sur un ftp).
Le fonctionement de Debian est devenu tellement bureaucratique que rien n'avance, que les décisions urgentes ne sont jamais prises à temps.
Il suffit de se souvenir de la façon dont a été géré le problème des dépôts trojannés il y a un an ou deux pour voir que le problème est chronique, que le problème actuel n'est pas une exception. Sans parler de tout ce qui a conduit à un tel délai pour la release de Sarge (avec, au passage, 0 décision pour rectifier le tir pour etch, alors que tout le monde est conscient du problème).
Autrement dit, ce n'est plus seulement un problème de l'équipe de sécurité, c'est devenu (ou ça révèle) un problème plus profond de prises de décisions et de passage à l'action. Le timing de la dépêche linuxfr est donc parfait, il permet de se rendre compte de l'ampleur des dégats.
[^] # Re: Un problème de prise de décisions chronique chez Debian
Posté par jeanmarc . Évalué à -1.
Ce sont ceux qui contribuent effectivement qui ont des responsabilités et qui font avancer la distribution.
Personnellement, pour une distribution gérée par des bénévoles se trouvant aux quatre coins de la planète, je trouve que le projet Debian s'en sort vraiment bien. Mieux même que des distributions commerciales qui promettent souvent la lune en bouteille mais qui sont au même niveau que Debian sinon moins évoluées.
Celà étant dit, il ne faut pas nier les graves problèmes structurels qui existent au sein du projet.
On se rend compte aujourd'hui que la sécurité debian, si efficace par ailleurs, ne repose que sur les épaules de 3 personnes dont 2 sont justes secrétaires sans droit d'upload.....
Avant tout, il faut féliciter ces développeurs qui effectuent un travail énorme qui serait resté inconnu de la plupart s'il n'y avait pas eu ce loupé.
Concernant le bruit sur les listes debian, il ne faut pas se fier à celà pour quantifier le travail effectué.
Ce sont justes des espaces ouverts de dialogue où tout le monde est libre de s'exprimer avec les dérives que celà comporte.
Ca n'empêche pas la Debian de posséder le plus grand nombre de paquets, d'architectures et de développeurs parmis les distributions linux majeures.
Dans certaines distributions, on avance par acquisitions, par décisions sans appel et autres modes de fonctionnement où la discussion n'est pas de mise.
Ne nous plaignons pas de voir s'exprimer la démocratie reignant chez Debian surtout qu'il y a toujours des solutions concrètes qui ressortent de ces flames incessants.
Le timing de linuxfr est parfait en effet pour lancer un troll aussi inutile et stérile que les discussions sans fin que tu critiques.
[^] # Re: Un problème de prise de décisions chronique chez Debian
Posté par Antoine . Évalué à 1.
Discussions auxquelles tu prends plaisir à participer, visiblement... ;)
[^] # Re: Un problème de prise de décisions chronique chez Debian
Posté par jeanmarc . Évalué à -1.
[^] # Re: Un problème de prise de décisions chronique chez Debian
Posté par jeanmarc . Évalué à -1.
Si je m'en étais aperçu, je t'aurais répondu quelquechose de plus corsé, dommage :-)
[^] # Re: Un problème de prise de décisions chronique chez Debian
Posté par herodiade . Évalué à 1.
Mon propos était seulement de faire remarquer qu'il y a de sérieux problèmes de prise de décision et de passage à l'action, à tout les niveaux.
En termes d'éfficacité et de résultats, je crois que la démarche un peu "despotique" des projets comme OpenBSD ou Slackware tient souvent la dragée haute à la démarche "démocratique" de Debian. Et ce malgrè des ressources (nombre de developpeurs) très restreintes.
[^] # Re: Un problème de prise de décisions chronique chez Debian
Posté par jeanmarc . Évalué à 1.
Tu as bien raison de mettre démocratique entre guillemet parce que lorsqu'on analyse la situation, on constate que le fonctionnement de Debian suit plutôt le modèle "despotique" dont tu parles.
Quand je regarde bien, j'ai l'impression de voir une démocratie dirigée par des despotes :-)
Le cas des ftpmasters est symptomatique de celà. Personne ne sait ce qu'ils font et pourtant leur tâche est primordiale pour la distribution.
Dans le cas de la security team, on s'aperçoit qu'il y a des secrétaires qui effectuent la même tâche que le "master" mais ils n'ont pas le droit d'uploader leur travail. Seul lui peut le faire. Pas trés pratique comme on le voit et encore moins démocratique.
Celui qui occupe cette position aurait dû de lui-même demander à ce que ça change.
On peut aussi parler de la décision de supprimer certaines architectures pour la prochaine release qui n'était pas un modèle d'ouverture.
Pour rejoindre ton propos, on constate que même chez une distribution régie par un contrat social, totalement ouverte et trés active dans la défense du libre, il faut des espaces de totalitarisme où les décisions importantes sont prises avec les dérives que celà peu comporter mais avec le garde-fou du pouvoir démocratique conservé.
Maintenant, on constate aussi que le mode de fonctionnement de Debian est en train de changer vers un système constitué de groupe de développeur pour prendre en charge les tâches importantes.
Qu'il s'agisse de team kde, gnome, kernel ou autre au niveau des packages ou team security-testing, etc...
L'émergence d'alioth http://alioth.debian.org/(...) comme incubateur de projets Debian a fortement aidé à l'émergence de ce nouveau mode de fonctionnement qui est trés prometteur pour l'avenir de la distribution s'ils arrivent à trouver plus qu'un mec parti boire de la bière à la Linuxtag pour s'occuper de leur sécurité.....
[^] # Re: La sécurité, c'est important
Posté par Éric (site web personnel) . Évalué à 6.
> ne sommes pas habitués à venir chercher des scoop ici.
> Je pense qu'il aurait été assez sympathique de garder celle-là sous le
> coude le temps de voir comment Debian se sort de ce problème.
Oui, retenons les infos d'actu pour ne les publier que quand c'est à notre avantage. Désolé ce n'est pas ma politique (et heureusement visiblement ce n'est pas la politique des autres relecteurs/modéros puisque la seule personne a voter contre l'a fait à cause d'une rédaction perfectible)
C'est une actu, une actu importante, qui concerne le libre et une distribution Linux majeure. Elle est vérifiée, elle fait déjà débat, elle pose de réelles problématiques. Pourquoi ne pas la passer ? C'est mal de donner la connaissance aux gens ?
Quand l'affaire sera résolue, que tu propose une news documentée, elle passera probablement aussi.
Pour le rythme de linuxfr il n'est pas faramineux en ce moment, ce n'est pas slashdot ni freshmeat (et ça ne cherche pas à l'être), mais sur les 21 news sur la page d'accueil (phare, 10 principales et 10 secondaires), aucune n'a plus d'une semaine. Ca me parait suffisant pour dire que les actus ont leur place.
# Et sous MacOS X ?
Posté par maximegb . Évalué à -5.
Je me demande comment sont gérés les patchs de sécurité chez Apple.
Est-on obligé de racheter chaque nouvelle version de Mac OS X, ou bien y-a-t-il un suivi des versions anciennes ?
(Je n'ai rien trouvé à ce sujet sur le site web d'apple).
[^] # Re: Et sous MacOS X ?
Posté par Sylvain Briole (site web personnel) . Évalué à 2.
Est-on obligé de racheter chaque nouvelle version de Mac OS X, ou bien y-a-t-il un suivi des versions anciennes ?
(Je n'ai rien trouvé à ce sujet sur le site web d'apple).
En cherchant un peu plus loin :
http://docs.info.apple.com/article.html?artnum=106704(...)
# Qui veut de la stable ?
Posté par Arthur Accroc . Évalué à 2.
Il y a eu l'affaire de la faille de sécurité sur le noyau 2.4 qui avait valu la sortie d'un noyau patché pour toutes les distribs, y compris pour la Debian stable... sauf que pendant plusieurs mois personne ne l'a mis dans les mises à jour de la version i86 (elle y était pour la version Mips !) et qu'il fallait fouiller dans la mail list devel pour savoir où la trouver...
Bon, les développeurs travaillent bénévolement, on ne peut pas se plaindre.
Mais s'il est très long de sortir la stable, que presque personne n'est intéressé à la maintenir et que du côté utilisateur tout le monde la conseille, mais que personne ne l'utilise, parce qu'elle contient des trucs trop anciens, peut-être vaudrait-il mieux carrément l'abandonner, rebatiser testing "current" et concentrer l'énergie des développeurs dessus...
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Correctif
Posté par Arthur Accroc . Évalué à 1.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Qui veut de la stable ?
Posté par lezardbreton . Évalué à 4.
Tu n'aurais pas un lien ?
Parce qu'à mon avis tu te rappelles mal. Tu parles plutôt du serveur supportant debian.org dont le noyau n'avait pas été mis à jour, non ?
[^] # Bug ptrace
Posté par Arthur Accroc . Évalué à 4.
Non, c'est juste que ça a fait très peu de bruit parce que très peu d'utilisateurs avancés de Debian utilisent la stable : ils se contentent de la conseiller aux autres plutôt que celle qu'ils utilisent...
Pour ma part, ayant vu passer des alertes de sécurité pour la Debian Mips, la Debian S390, la SuSE x86, la Mandrake, etc., je m'étais dit qu'il y avait un problème, et j'avais fini par trouver péniblement un message sur la liste de développement Debian avec la référence à un correctif, similaire à ceux des autres versions.
Même plusieurs, et difficilement contestables, puisqu'il s'agit de liens sur les annonces de sécurité Debian. La faille en question est un bug sur ptrace, référencé comme CAN-2003-0127.
Les alertes au moment de la faille pour les versions Mips et S390 :
http://www.debian.org/security/2003/dsa-270(...) (27 mars 2003),
http://www.debian.org/security/2003/dsa-276(...) (3 avril 2003).
Pour les versions i386 et PowerPC, plus de deux mois plus tard, regroupée avec d'autres correctifs :
http://www.debian.org/security/2003/dsa-311(...) (8 juin 2003),
http://www.debian.org/security/2003/dsa-312(...) (9 juin 2003).
Tu peux vérifier sur la page http://www.debian.org/security/2003/(...) qu'il n'y a pas eu d'alerte sur le kernel entre les deux.
Tiens, juste par curiosité : quelle version de Debian utilises-tu ?
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Bug ptrace
Posté par lezardbreton . Évalué à 1.
# Pour dédramatiser un peu...
Posté par ragoutoutou . Évalué à 4.
# En écrivant cette dépèche, je savais que cela ferait des vagues.
Posté par Unixfix le Gaulois . Évalué à -2.
La réputation de Debian a pris du bas de l'aile et il appartient aux mainteneurs de Debian de rattrapper au mieux ces problèmes. Il faut qu'ils ragissent au plus vite. S'ils se perdent dans des discussions aussi chaudes que stériles ils vont se mettre hors-jeu tout au moins dans le monde professionnel.
[^] # Re: En écrivant cette dépèche, je savais que cela ferait des vagues.
Posté par briaeros007 . Évalué à 5.
Feed the troll a la rigueur ; mais ressortir le meme troll est antiproductif dans tous les sens du terme.
-->[]
[^] # Re: En écrivant cette dépèche, je savais que cela ferait des vagues.
Posté par Unixfix le Gaulois . Évalué à 1.
Sur LinuxFr des Zélotes de Debian sont mécontents que leur Distribution préférée soit prise en défaut, et préconise un comportement à la M$ => la censure....
Sur la Maillingliste de Debian on trouve des messages expliquant que la sécurté est relative....!
Sur les sites anglo-saxons il n'y a pas une remarque sur ce sujet.
Maintenant il est vrai que ce problème ne touche pas grand monde. Sarge n'est Stable que depuis peu et les quelques Admins utilisant Debian en production n'ont surement pas migrer leur machine sous Sarge et sont encore en Woody. D'autre part ceux qui l'on fait se taisent car ils ne veulent pas que leur hiérarchie (C'est humain !) apprenne ce comportement peu responsable...
[^] # Re: En écrivant cette dépèche, je savais que cela ferait des vagues.
Posté par Éric (site web personnel) . Évalué à 5.
> pas migrer leur machine sous Sarge et sont encore en Woody
Ou (pas impossible non plus) .... ils étaient déjà sous sarge avant la sortie stable parce que woody il lui manquait plein de trucs récents qui peuvent être utiles.
[^] # Re: En écrivant cette dépèche, je savais que cela ferait des vagues.
Posté par Raphaël SurcouF (site web personnel) . Évalué à 3.
# Nouvelle du front
Posté par Unixfix le Gaulois . Évalué à 3.
http://www.heise.de/newsticker/meldung/61270(...)
http://newraff.debian.org/~joeyh/stable-security.html(...)
http://lists.debian.org/debian-security/2005/06/msg00251.html(...)
http://www.infodrom.org/~joey/log/?200506301232(...)
En clair Sarge est sortie trop tôt....
[^] # moi ça me fait doucement rigoler ...
Posté par xylan . Évalué à -4.
deja la 29cds c'est une honte, la au niveau secu ça vaut rien, c'est la pointe de l'iceberg... moi je nutilise plus linux depuis pas mal de temps je suis sous FreeBSD, et bien de nôtre point de vue, ou du moins du mien, on s'apperçoit qu'a lheure actuelle une distrib linux se cree pas semaine, on en est a plus de 315 distrib linux, et tout le monde se tire dans les pattes, tous incapables de se mettre d'accord, que se soit en terme de packaging (les debianneux chient sur les rpm de redhat fondateur et createur du concept meme de paquet), ils refusent de faire une base seine et cohérente en refusant en bloc dun coté la LSB ou de lautre la LSB2 ... on est dans une vrai cour d'ecole (je sais je fais de sfautres d'orthographe) ...
la le problème est plus grave qu'il ny parait. je pense que la team Debian devrait commencer à arrêter de troller des heures en se posant des questions sans réponses, et se mettre a bosser, et surtout à agir, et vite... surtout vite.. pour eux plus on avance et moins ça va vite.. la secu est de nos jour un élément majeur et fondamental dans la secu, cet incident montre bien le manque de serieux derriere cette team....
je ne suis pas aggressif, jai juste trop soupé des troll des debianneux par des gens qui connaissent rien a linux mais qui louvre parcequils savent apt-get install ... pfff
allez bonne continuation, et longue vie au kernel Linux...
[^] # Re: moi ça me fait doucement rigoler ...
Posté par briaeros007 . Évalué à 8.
N'empeche c'est dingue le nombre de gens qui savent tous mieux que tout le monde ce que les autres devraient faire ....
[^] # Re: moi ça me fait doucement rigoler ...
Posté par fry . Évalué à 2.
Dommage que certains viennent polluer.
Maintenant quand je m'absente quelques jours je m'abstiens de lire les commentaires (surtout quand ils dépassent la centaine) ... je me contente de lire l'article.
Dommage ...
# Le réveil de la bête
Posté par tgl . Évalué à 4.
Bon, y'a encore du boulot, mais c'est toujours un début :)
[^] # Re: Le réveil de la bête
Posté par Valéry Beaud (site web personnel) . Évalué à 1.
[^] # Re: Le réveil de la bête
Posté par jeanmarc . Évalué à -4.
Les développeurs Debian sont des bénévoles comme les modérateurs linuxfr. Ces derniers devraient donc savoir que la critique est facile mais le travail ingrat.
J'espère qu'ils réfléchiront à 2 fois la prochaine fois qu'ils auront l'occasion de jeter le discrédit sur le travail d'autres bénévoles, surtout s'il s'agit de sécurité.
Il suffisait d'attendre 2 jours pour que cette news soit de l'information et pas du lynchage gratuit et dangereux...
Quand à l'auteur de la news, c'est dommage que Linux ne lui inspire que haine et bassesse d'esprit comme le montre sa news et ses derniers commentaires.
Pour moi, le monde GNU/Linux a toujours été source de motivation, de joie et d'espoir. Des inconnus me font profiter librement de leur travail et je peux faire parti de cette grande communauté même si je suis vert avec 3 mains.
On ne peut pas empêcher ce genre de dérapages mais il faut avoir le courage de les dénoncer pour que celà ne se reproduise pas, quelque soit la distribution...
[^] # Re: Le réveil de la bête
Posté par tgl . Évalué à 9.
> l'occasion de jeter le discrédit sur le travail d'autres bénévoles,
> surtout s'il s'agit de sécurité.
Merci pour la petite leçon de morale, mais tu vois j'y ai déjà réfléchi à deux fois à l'occasion de cette niouze, et j'ai voté pour, et si ça se reproduit je le ferai encore, justement parce que c'est de sécurité qu'il s'agit.
> Il suffisait d'attendre 2 jours [...]
Désolé, mais ma boule de cristal merdouille ces temps ci, et elle s'est obstiné à me cacher combien de temps le problème allait persister.
> [...] pour que cette news soit de l'information et pas du lynchage
> gratuit et dangereux...
En parler a posteriori aurait été du simple troll, du « z'avez vu comme ça merdouille chez Debian », alors qu'en parler quand le problème existe c'est informer les utilisateurs que leur système est affecté par quelques dizaines de failles connues et qu'il est peut-être temps de prendre des mesures par eux même puisque leur distrib ne le fait pas.
Bref, j'ai compris ton point de vue à ton premier post, et je ne suis pas d'accord, et ça n'est pas un vingtième exemplaire qui va changer ça ou me faire culpabiliser.
[^] # Re: Le réveil de la bête
Posté par jeanmarc . Évalué à -6.
Si tu as accepté la tâche de modérateur, il faut aussi accepter le travail et les responsabilité que cela représente.
Tu ne t'es pas renseigné auprès de l'auteur ou par toi même pour en savoir plus?
D'ailleurs, tu comprends l'allemand j'espère?
Sur les mailing listes Debian, je suis tout de suite tombé sur ce lien http://www.infodrom.org/~joey/log/(...) qui explique le problème et donne une bonne indication du timing du retour à la normale. Ca ne m'a pas pris plus d'une minute et aucune boule de cristal n'a été utilisée pour m'indiquer où aller chercher au cas où j'aurai la volonté d'en savoir plus.
En parler a posteriori aurait été du simple troll, du « z'avez vu comme ça merdouille chez Debian », alors qu'en parler quand le problème existe c'est informer les utilisateurs que leur système est affecté par quelques dizaines de failles connues et qu'il est peut-être temps de prendre des mesures par eux même puisque leur distrib ne le fait pas.
C'est louable comme intention mais dans la pratique, la publication de cette news informe les utilisateurs mais aussi de potentiels attaquants quoi que vous puissiez en dire, surtout qu'il n'y a rien dans cette news qui permettrait à un utilisateur lambda de régler le problème lui-même.
Ceux qui ont les compétences pour le faire sont déjà au courant et ceux qui ne les ont pas n'ont rien pour les aider à se protéger. C'est la meilleure solution que vous avez pris là, tu en es sûr?
Toi qui est modérateur, tu dois être un peu au courant de ce qui se passe ailleurs non?
Sur ce coup là, je constate que la news n'a pas eu un grand succès sur les médiums habituels malgré sa très haute importance.
Aucun site de sécurité n'en parle à part heise.de mais linuxfr lui, le fait.
Ils ont simplement appliqué le principe de précaution qui s'imposait dans ce cas.
Il n'y a pas de solution immédiate donc on n'annonce pas le problème de sécurité surtout si on est pas un site spécialisé.
Bref, j'ai compris ton point de vue à ton premier post, et je ne suis pas d'accord, et ça n'est pas un vingtième exemplaire qui va changer ça ou me faire culpabiliser.
L'objectif n'est pas de te faire culpabiliser mais de vous faire bien entendre que vous avez commis une erreur sur cette news là parce qu'il s'agit avant tout de sécurité.
Après mes multiples interventions (pas de problème pour une 21ème), je suis sûr qu'à la prochaine news de ce style, tu te souviendras de celle-là et certaines alarmes s'allumeront dans ton esprit.
Le fait d'être modérateur ne te donne pas un droit mais un devoir.
D'ailleurs, se remettre en question de temps en temps ne fait pas de mal et j'espère que mon tapage vous a fait au moins réfléchir au problème ou que vous en avez parlé entre vous.
[^] # Ploutch !
Posté par tgl . Évalué à 5.
[^] # Re: Le réveil de la bête
Posté par Éric (site web personnel) . Évalué à 5.
> et les responsabilité que cela représente.
Et si tu ne t'es pas proposé comme tel il faut admettre que ceux qui l'ont fait n'ont pas la même opinion que toi et puissent de pas faire les mêmes choix.
> Après mes multiples interventions (pas de problème pour une
> 21ème), je suis sûr qu'à la prochaine news de ce style, tu te
> souviendras de celle-là et certaines alarmes s'allumeront dans ton
> esprit.
Je vais te décevoir mais moi au moins je t'assures que si cette news repasse telle quelle dans un mois, je ferai tout pour qu'elle soit publiée, parce que je pense que c'est une bonne chose qu'elle l'ai été.
Et non, ce n'est pas en répétant 21 fois la même chose en disant "j'ai raison" que tu risques de convaincre grand monde. Tu commences même à bloquer les gens dans l'option inverse par rejet.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.