Grève de sécurité chez Debian Sarge '

Le par  |  5 commentaire(s) Source : Distrowatch
debian logo

    Si vous avez installé la Sarge récemment proposée par Debian, combien d'avis de sécurité avez-vous reçus pendant ces dernières quatre semaines' Depuis un mois, jusqu'à la semaine dernière, le nombre d'avis de sécurité de la sarge-connexes publié par l'équipe de sécurité de Debian était exactement de zéro.

Debian logo    Si vous avez installé la Sarge récemment proposée par Debian, combien d'avis de sécurité avez-vous reçus pendant ces dernières quatre semaines'

Depuis un mois, jusqu'à la semaine dernière, le nombre d'avis de sécurité de la sarge-connexes publié par l'équipe de sécurité de Debian était exactement de zéro. Comparez cela avec Fedora Core 4, qui, bien que proposé une semaine plus tard que la Sarge, a déjà publié 8 avis de sécurité! Mais où est le problème' L'équipe de sécurité de Debian serait-elle en grève'

Il s'avère en fait que l'infrastructure de sécurité de Debian Sarge est arrêtée et a été arrêtée depuis la disponibilité de la distribution. Ceci a été expliqué la première fois par Heise.de (en allemand) et plus tard diffusé sur le site Da Linux French (en français) avant qu'une longue discussion n'ait éclaté sur la liste d'expédition de debian-sécurité.

Joey Schultze explique ainsi dans son blog:

"En fait, en essayant de proposer une mise à jour de sécurité avant la disponibilité  de la Sarge a eu comme conséquence un programme et des archives endommagées. Ainsi, nous serons sans mises à jour de sécurité pendant un bon moment."

Ce sont de mauvaises nouvelles pour les utilisateurs qui ont installé en toute confiance sur leurs serveurs la nouvelle version tant attendue de Debian, ces derniers utilisant probablement plusieurs applications avec des vulnérabilités connues.

Les bonnes nouvelles sont que les exemples mentionnés ci-dessus, qualifiés de "mauvaise publicité", ont provoqué une certaine action parmi l'équipe de sécurité de Debian et, le week-end dernier, les deux premiers avis de sécurité de Debian ont été publiés.

Mais le problème est complexe et toujours loin d'être sous contrôle. Martin Krafft explique:

"en général, mon expérience a été que la sécurité à debian.org est un trou noir, et que des propositons d'aide sont ignorées." Depuis quelques années, les développeurs restent fermés et n'apprennent pas de leurs erreurs. "C'est comme un aveugle qui travail avec des muets, personne ne s'écoutent et le projet part dans tous les sens sans grand aboutissement."


Tous ceci ressemble à un bouleversement important dans l'infrastructure de sécurité de Debian qui est peut-être nécessaire pour s'assurer que la situation actuelle ne se reproduise pas de nouveau. Mais est-ce que cela peut changer quelques chose' Peut-on rendre intéressante les tâches d'appliquer les patchs, de publier des avis de sécurité' Pas facilement. Mais ce travail doit être tout de même accomplit, avant que la réputation de Debian ne soit encore ternie par un travail mal fait en sécurité.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #51247
les pauvre c'est sure que ca vas pas leur faire de la pub
Le #51257
pas cool pr debian mais c est assez vrai
Le #51263
Vu le nombre de pseudo-admins qui savent tout juste securiser leur serveur avec "apt-get", amha le nombre de defacement va exploser.

La facilité a un prix : la dépendance.
Le #51266
Et est-ce que ça touche Ubuntu, vu qu'ils sont sur une base Debian '
Le #51268
@levinch
nop, la base est une Debian, mais ça s'arrête là. Une fois la Hoary sortie, c'est Ubuntu qui mets à jour ses propres packages, et il me semble que les patchs de sécurité récents sont sortis à peu près dans les même conditions que les RedHat, Suse ou autre... (lu quelque part sur linuxfr)
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]