Journal Debian aurait-il des problèmes de sécurités

Posté par  .
Étiquettes : aucune
0
27
juin
2005
Les responsables de la sécurités chez Debian serait-il en vacances ou plus grave y aurait-il des dissensions au sein de l'équipe ?

Selon Heise.de se serait le cas.

http://www.heise.de/newsticker/meldung/61076(...)

Debian depuis plusieurs semaines sans mises à jour de sécurité

Depuis des semaines, aucune annonce et encore plus mal, aucun Security-Patch pour Debian n'a éte publié . Pourtant Il y a eu une série entière de points faibles liés à la sécurité
dans des logiciels, que l'on retrouve sous forme de paquets Debian
Par exemple :
SquirrelMail, SpamAssassin ou sudo pour ne citer qu'eux....

La dernière annonce date du 3. Juin, soit avant la sortie de Debian 3.1 (Sarge). Le courriel de Heise Security à L'Email oficielle de Debian Security ainsi qu'à l'éditeur des Advisories est depuis 4 jours resté sans réponses.

Selon nos recherches différents Patches liés à la sécurité sont déjà marqués par les mainteneurs des packets dans la base de donnée comme finis et transmis au security-team.
Mais les mises à jour dues se font attendre, le Debian-Security-Team est manifestement "disparu".

Des Debian-Insider confirment, qu'il y a eu au départ des problèmes avec l'infrastructure d'essai
pour le Debian 3.1. Ceux-ci sont toutefois resolus. Le long délai pourrait toutefois pouvoir être attribué à des problèmes et différences personnels dans le Debian-Security-Teams.
Les adminstrateurs de Systèmes Debian ne devraient pas momentanément compter sur le Debian-Update-System et doivent avoir bon gré, mal gré avoir un oeil vigilant sur les problèmes de sécurité possibles des logiciels utilisés.

Avec quelques Patches "en attente" on peut franchir la période
d'attente par des Workarounds, avec d'autres, un Patch installé à la main peut éventuellement aider .

On peut aussi utiliser des Repositories comme sarge-proposed-updates et/ou
stable-proposed-updates . L'université Essen met un miroir de ces Repositories à la
disposition:

deb http ://debian.uni-essen.DE/debian/ Main sarge-proposed-updates contrib non-free
/etc./apt/sources.l'adresse peut être activée.
Toutefois, -- probablement faute de Release-- les mises à jour de sécurité ne se trouvent pas encore là aussi.

Déjà, la sortie de Debian 3.1 a été accompagnée de panne de sécurité:
La première version n'a pas contenu d'entrée active pour les mises à jour de sécurité.
Celle-ci a seulement été ajoutée à posteriori avec la version 3.1_r0a présentée ultérieurement.

L'équipe de Debian doit faire attention de ne pas perde en quelques semaines la confiance batie sur des années du haut niveau de sécurité de la distribution.
  • # ...

    Posté par  . Évalué à 8.

    On peut aussi utiliser des Repositories comme sarge-proposed-updates et/ou
    stable-proposed-updates . L'université Essen met un miroir de ces Repositories à la
    disposition:

    Quelle bonne idee t'utiliser des correctifs non officiel. Je serais un mechant pirate j'ouvirais mon propre mirroir de correctif qui condiendrait des patchs a ma sauce ;)
    • [^] # Re: ...

      Posté par  . Évalué à 8.

      un méchant pirate qui s'appelle l'université d'Essen, il faut du culot quand même

      sinon pour l'auteur du journal, on peut traduire "repositories" par "dépôts", parce que là, ça ressemble plus à "suppositoires" qu'à autre chose :-)
      • [^] # Re: ...

        Posté par  (site Web personnel) . Évalué à 4.

        Le problème : avec le dépôt officiel de sécurité de Debian, on est obligé de croire en l'origine des paquets et d'y faire confiance.
        Avec l'université d'Essen, on est obligé de lui faire confiance, et autant j'ai confiance en l'équipe de maintenance sécurité de Debian (faute de mieux, c'est encore la source!), autant celle de l'université d'Essen m'est inconnue, et donc je ne vois pas en quoi je devrais y placer ma confiance.
        • [^] # Re: ...

          Posté par  . Évalué à 5.

          avec le dépôt officiel de sécurité de Debian, on est obligé de croire en l'origine des paquets et d'y faire confiance.
          tu as meme un systeme de signature pour tous les paquets officiels debian, y compris security
        • [^] # Re: ...

          Posté par  . Évalué à 0.

          allez, l'université de Redmond, je ne dis pas, et je ne ferais pas trop confiance (quoique les hackers là bas ne sont pas au top), mais "université d'Essen" fait quand même plus sérieux :)

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Moui...

    Posté par  (site Web personnel) . Évalué à 4.

    "La première version n'a pas contenu d'entrée active pour les mises à jour de sécurité.
    Celle-ci a seulement été ajoutée à posteriori avec la version 3.1_r0a présentée ultérieurement."
    En même temps, si tu installes une debian et que tu connais ce bug très mediatisé, il te suffit d'ouvrir /etc/apt/sources.list et de virer un caractere qui commente la ligne...
    • [^] # Re: Moui...

      Posté par  (site Web personnel) . Évalué à 4.

      version 3.1_r0a présentée ultérieurement

      Sans compter qu'il a fallu un temps considérable pour mettre à jour! Quand on compte le nombre d'images ISO à mettre à jour, à diffuser sur les miroirs, cela a pris à peine une journée une fois le "bug" connu.
      C'est clair que question sécurité, ce sont vraiment des rigolos, et cette faille était terrible et non corrigible par l'administrateur debian moyen! ;-)
  • # En fait...

    Posté par  . Évalué à 10.

    ...toute l'équipe Debian est à Honolulu pour fêter la sortie de la Sarge, à bronzer en sirotant du lait de coco !

    hop hop hop ------> []
  • # Ubuntu serait-il à l'origine du problème ?

    Posté par  . Évalué à 1.

    Certains responsables de la sécurité pour Debian sont aussi responsable de la sécurité pour Ubuntu. Chez Ubuntu les mise-a-jours et le suivi sont trés réactifs tandis que chez Debian c'est le silence radio .....

    info (en Allemand) http://www.pro-linux.de/news/2005/8322.html.(...)

    PS. C'est étonant que seuls les germains en parlent ouvertement. Peut-être que le choix de Debian par la ville de Munich est resté sur l'estomac de quelques-uns....(180 Km plus au nord !)
  • # Entendu ?

    Posté par  . Évalué à 1.

    Je sais pas si tu as été entendu ou quoi, mais ce matin sur la liste debian-security, on trouvait les annonces des correctifs pour sudo et spamassassin :)

    DSA 735-1
    DSA 736-1

    - Sam

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.