Machine exploitée, fix dans unstable, pas dans stable ou security.debian.org
1 réponse
Laurent Perez
Hello
Une de mes machines a =E9t=E9 root=E9e ce matin via Cacti (c'est un soft de
monitoring : http://www.cacti.net), l'exploit et le fix ayant =E9t=E9
publi=E9s avant-hier, le 22/06/2005 (cf
http://www.idefense.com/application/poi/display?id=3D265&type=3Dvulnerabili=
ties)
Le mainteneur du paquet Cacti sous debian a bien mis =E0 jour une
version patch=E9e, mais seulement dans unstable (cf
http://packages.qa.debian.org/c/cacti/news/1.html). Dans stable, c'est
toujours exploitable (testez vous verrez ;( .. ), et il n'y a pas de
package dans security.
Donc ma question na=EFve : est-ce une erreur du mainteneur de proposer
le fix dans unstable, est-ce normal de devoir passer de stable en
unstable juste pour b=E9n=E9ficier de patches de s=E9curit=E9 ?
Je suis bloqu=E9, je pense que c'est pas une bonne id=E9ee de passer mes
serveurs de prod sous unstable juste pour disposer de ce fix, alors en
attendant, j'ai coup=E9 Cacti (super).
Merci de vos lumi=E8res, et coupez Cacti sous stable !
Une de mes machines a été rootée ce matin via Cacti (c'est un soft de monitoring : http://www.cacti.net), l'exploit et le fix ayant été publiés avant-hier, le 22/06/2005 (cf http://www.idefense.com/application/poi/display?id&5&type=vulnerabi lities)
Le mainteneur du paquet Cacti sous debian a bien mis à jour une version patchée, mais seulement dans unstable (cf http://packages.qa.debian.org/c/cacti/news/1.html). Dans stable, c'est toujours exploitable (testez vous verrez ;( .. ), et il n'y a pas de package dans security.
Donc ma question naïve : est-ce une erreur du mainteneur de proposer le fix dans unstable, est-ce normal de devoir passer de stable en unstable juste pour bénéficier de patches de sécurité ?
Il est assez logique de mettre les patches d'abord dans unstable avant stable. Ce n'est pas la peine de créer plus d'ennuis qu'on en corrige.
Je suis bloqué, je pense que c'est pas une bonne idéee de passer mes serveurs de prod sous unstable juste pour disposer de ce fix, alors en attendant, j'ai coupé Cacti (super).
Il n'est sans doute pas nécessaire de passer les serveur en unstable. L'application du patch peut suffire ou l'installation du paquet d'unstable.
Merci de vos lumières, et coupez Cacti sous stable !
Une de mes machines a été rootée ce matin via Cacti (c'est un soft de
monitoring : http://www.cacti.net), l'exploit et le fix ayant été
publiés avant-hier, le 22/06/2005 (cf
http://www.idefense.com/application/poi/display?id=265&type=vulnerabi lities)
Le mainteneur du paquet Cacti sous debian a bien mis à jour une
version patchée, mais seulement dans unstable (cf
http://packages.qa.debian.org/c/cacti/news/1.html). Dans stable, c'est
toujours exploitable (testez vous verrez ;( .. ), et il n'y a pas de
package dans security.
Donc ma question naïve : est-ce une erreur du mainteneur de proposer
le fix dans unstable, est-ce normal de devoir passer de stable en
unstable juste pour bénéficier de patches de sécurité ?
Il est assez logique de mettre les patches d'abord dans unstable avant
stable. Ce n'est pas la peine de créer plus d'ennuis qu'on en corrige.
Je suis bloqué, je pense que c'est pas une bonne idéee de passer mes
serveurs de prod sous unstable juste pour disposer de ce fix, alors
en
attendant, j'ai coupé Cacti (super).
Il n'est sans doute pas nécessaire de passer les serveur en unstable.
L'application du patch peut suffire ou l'installation du paquet
d'unstable.
Merci de vos lumières, et coupez Cacti sous stable !
Une de mes machines a été rootée ce matin via Cacti (c'est un soft de monitoring : http://www.cacti.net), l'exploit et le fix ayant été publiés avant-hier, le 22/06/2005 (cf http://www.idefense.com/application/poi/display?id&5&type=vulnerabi lities)
Le mainteneur du paquet Cacti sous debian a bien mis à jour une version patchée, mais seulement dans unstable (cf http://packages.qa.debian.org/c/cacti/news/1.html). Dans stable, c'est toujours exploitable (testez vous verrez ;( .. ), et il n'y a pas de package dans security.
Donc ma question naïve : est-ce une erreur du mainteneur de proposer le fix dans unstable, est-ce normal de devoir passer de stable en unstable juste pour bénéficier de patches de sécurité ?
Il est assez logique de mettre les patches d'abord dans unstable avant stable. Ce n'est pas la peine de créer plus d'ennuis qu'on en corrige.
Je suis bloqué, je pense que c'est pas une bonne idéee de passer mes serveurs de prod sous unstable juste pour disposer de ce fix, alors en attendant, j'ai coupé Cacti (super).
Il n'est sans doute pas nécessaire de passer les serveur en unstable. L'application du patch peut suffire ou l'installation du paquet d'unstable.
Merci de vos lumières, et coupez Cacti sous stable !
