Les responsables de la sécurités chez Debian serait-il en vacances ou plus grave y aurait-il des dissensions au sein de l'équipe ?
Selon Heise.de se serait le cas.
http://www.heise.de/newsticker/meldung/61076(...)
Debian depuis plusieurs semaines sans mises à jour de sécurité
Depuis des semaines, aucune annonce et encore plus mal, aucun Security-Patch pour Debian n'a éte publié . Pourtant Il y a eu une série entière de points faibles liés à la sécurité
dans des logiciels, que l'on retrouve sous forme de paquets Debian
Par exemple :
SquirrelMail, SpamAssassin ou sudo pour ne citer qu'eux....
La dernière annonce date du 3. Juin, soit avant la sortie de Debian 3.1 (Sarge). Le courriel de Heise Security à L'Email oficielle de Debian Security ainsi qu'à l'éditeur des Advisories est depuis 4 jours resté sans réponses.
Selon nos recherches différents Patches liés à la sécurité sont déjà marqués par les mainteneurs des packets dans la base de donnée comme finis et transmis au security-team.
Mais les mises à jour dues se font attendre, le Debian-Security-Team est manifestement "disparu".
Des Debian-Insider confirment, qu'il y a eu au départ des problèmes avec l'infrastructure d'essai
pour le Debian 3.1. Ceux-ci sont toutefois resolus. Le long délai pourrait toutefois pouvoir être attribué à des problèmes et différences personnels dans le Debian-Security-Teams.
Les adminstrateurs de Systèmes Debian ne devraient pas momentanément compter sur le Debian-Update-System et doivent avoir bon gré, mal gré avoir un oeil vigilant sur les problèmes de sécurité possibles des logiciels utilisés.
Avec quelques Patches "en attente" on peut franchir la période
d'attente par des Workarounds, avec d'autres, un Patch installé à la main peut éventuellement aider .
On peut aussi utiliser des Repositories comme sarge-proposed-updates et/ou
stable-proposed-updates . L'université Essen met un miroir de ces Repositories à la
disposition:
deb http ://debian.uni-essen.DE/debian/ Main sarge-proposed-updates contrib non-free
/etc./apt/sources.l'adresse peut être activée.
Toutefois, -- probablement faute de Release-- les mises à jour de sécurité ne se trouvent pas encore là aussi.
Déjà, la sortie de Debian 3.1 a été accompagnée de panne de sécurité:
La première version n'a pas contenu d'entrée active pour les mises à jour de sécurité.
Celle-ci a seulement été ajoutée à posteriori avec la version 3.1_r0a présentée ultérieurement.
L'équipe de Debian doit faire attention de ne pas perde en quelques semaines la confiance batie sur des années du haut niveau de sécurité de la distribution.
Journal Debian aurait-il des problèmes de sécurités
27
juin
2005
# ...
Posté par M . Évalué à 8.
stable-proposed-updates . L'université Essen met un miroir de ces Repositories à la
disposition:
Quelle bonne idee t'utiliser des correctifs non officiel. Je serais un mechant pirate j'ouvirais mon propre mirroir de correctif qui condiendrait des patchs a ma sauce ;)
[^] # Re: ...
Posté par Nap . Évalué à 8.
sinon pour l'auteur du journal, on peut traduire "repositories" par "dépôts", parce que là, ça ressemble plus à "suppositoires" qu'à autre chose :-)
[^] # Re: ...
Posté par Sylvain Briole (site web personnel) . Évalué à 4.
Avec l'université d'Essen, on est obligé de lui faire confiance, et autant j'ai confiance en l'équipe de maintenance sécurité de Debian (faute de mieux, c'est encore la source!), autant celle de l'université d'Essen m'est inconnue, et donc je ne vois pas en quoi je devrais y placer ma confiance.
[^] # Re: ...
Posté par free2.org . Évalué à 5.
tu as meme un systeme de signature pour tous les paquets officiels debian, y compris security
[^] # Re: ...
Posté par B16F4RV4RD1N . Évalué à 0.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
# Moui...
Posté par Maxime (site web personnel) . Évalué à 4.
Celle-ci a seulement été ajoutée à posteriori avec la version 3.1_r0a présentée ultérieurement."
En même temps, si tu installes une debian et que tu connais ce bug très mediatisé, il te suffit d'ouvrir /etc/apt/sources.list et de virer un caractere qui commente la ligne...
[^] # Re: Moui...
Posté par Sylvain Briole (site web personnel) . Évalué à 4.
Sans compter qu'il a fallu un temps considérable pour mettre à jour! Quand on compte le nombre d'images ISO à mettre à jour, à diffuser sur les miroirs, cela a pris à peine une journée une fois le "bug" connu.
C'est clair que question sécurité, ce sont vraiment des rigolos, et cette faille était terrible et non corrigible par l'administrateur debian moyen! ;-)
# En fait...
Posté par nobelis . Évalué à 10.
hop hop hop ------> []
[^] # Re: En fait...LinuxTag, volontaires pour aider ?
Posté par free2.org . Évalué à 5.
Ils sont à LinuxTag:
http://lists.debian.org/debian-security/2005/06/msg00145.html(...)
Le problème est que ils manquent des volontaires pour aider Martin.
Paradoxalement l'équipe de sécurité de testing semble plus active que celle de stable:
http://secure-testing.alioth.debian.org/(...)
Il se pourait que testing devienne le meilleur choix pour les serveurs (il l'était deja peut-etre pour le desktop).
# Ubuntu serait-il à l'origine du problème ?
Posté par Unixfix le Gaulois . Évalué à 1.
info (en Allemand) http://www.pro-linux.de/news/2005/8322.html.(...)
PS. C'est étonant que seuls les germains en parlent ouvertement. Peut-être que le choix de Debian par la ville de Munich est resté sur l'estomac de quelques-uns....(180 Km plus au nord !)
# Entendu ?
Posté par samds . Évalué à 1.
DSA 735-1
DSA 736-1
- Sam
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.