Je dois recompiler un paquetage dont openssl est une dépendance. La
cible est Debian Squeeze. Pour ce faire, j'utilise apt-get build-dep,
apt-get source, dpkg-buildpackage... Je travaille une image de Squeeze
dédiée et configurée avec les sources suivantes :
deb http://ftp.fr.debian.org/debian/ squeeze main
deb-src http://ftp.fr.debian.org/debian/ squeeze main
deb http://security.debian.org/ squeeze/updates main
deb-src http://security.debian.org/ squeeze/updates main
deb http://ftp.fr.debian.org/debian/ squeeze-updates main
deb-src http://ftp.fr.debian.org/debian/ squeeze-updates main
apt-cache me retourne les disponibilités suivantes pour openssl, ce qui
est conforme à http://packages.qa.debian.org/o/openssl.html.
Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus
détaillée sur https://security-tracker.debian.org/tracker/source-package/openssl,
j'observe que Debian Squeeze (oldstable) semble posséder une version
passablement obsolète et dangereuse de openssl. Pourtant, il me semble
que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est
envisagé un support de longue durée pour cette version.
Quelle procédure me conseilleriez-vous pour disposer des sources d'une
version empaquetée à jour de openssl ?
Merci.
--
Si vous ne pouvez, à la longue, faire savoir à tout le monde
ce que vous avez fait, c'est que ça vaut rien.
-+- Erwin Schrödinger -+-
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140505081113.GB3734@david-pc.nexcom.bzh
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
daniel huhardeaux
Le 05/05/2014 10:11, David Soulayrol a écrit :
Bonjour,
Bonjour
[...] Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus détaillée sur https://security-tracker.debian.org/tracker/source-package/openssl, j'observe que Debian Squeeze (oldstable) semble posséder une version passablement obsolète et dangereuse de openssl.
Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure à 1.0.1g qui ont été touchée. Squeeze est OK
Pourtant, il me semble que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est envisagé un support de longue durée pour cette version.
Il n'est pas envisagé, c'est effectif, jusqu'en 02/2016, uniquement pour i386 et amd64
Quelle procédure me conseilleriez-vous pour disposer des sources d'une version empaquetée à jour de openssl ? [...]
-- Daniel
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
Le 05/05/2014 10:11, David Soulayrol a écrit :
Bonjour,
Bonjour
[...]
Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus
détaillée sur https://security-tracker.debian.org/tracker/source-package/openssl,
j'observe que Debian Squeeze (oldstable) semble posséder une version
passablement obsolète et dangereuse de openssl.
Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure
à 1.0.1g qui ont été touchée. Squeeze est OK
Pourtant, il me semble
que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est
envisagé un support de longue durée pour cette version.
Il n'est pas envisagé, c'est effectif, jusqu'en 02/2016, uniquement pour
i386 et amd64
Quelle procédure me conseilleriez-vous pour disposer des sources d'une
version empaquetée à jour de openssl ?
[...]
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/53674A58.3090505@tootai.net
[...] Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus détaillée sur https://security-tracker.debian.org/tracker/source-package/openssl, j'observe que Debian Squeeze (oldstable) semble posséder une version passablement obsolète et dangereuse de openssl.
Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure à 1.0.1g qui ont été touchée. Squeeze est OK
Pourtant, il me semble que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est envisagé un support de longue durée pour cette version.
Il n'est pas envisagé, c'est effectif, jusqu'en 02/2016, uniquement pour i386 et amd64
Quelle procédure me conseilleriez-vous pour disposer des sources d'une version empaquetée à jour de openssl ? [...]
-- Daniel
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
David Soulayrol
On 2014.05.05 10:22:48 +0200, daniel huhardeaux wrote:
Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure à 1.0.1g qui ont été touchée. Squeeze est OK
Merci pour ta réponse.
Je vois effectivement que Heartbleed c'est CVE-2014-0160, qui n'affecte pas Squeeze. Restent CVE-2014-0076 ou le moins jeune CVE-2012-4929 qui restent ouverts sur Squeeze. J'en déduis donc qu'il s'agit là de problèmes non corrigés, et que le support est toujours bien actif.
Bonne journée. -- Dans le domaine de la science, le hasard ne favorise que les esprits qui ont été préparés. -+- Louis Pasteur -+-
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
On 2014.05.05 10:22:48 +0200, daniel huhardeaux wrote:
Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure à
1.0.1g qui ont été touchée. Squeeze est OK
Merci pour ta réponse.
Je vois effectivement que Heartbleed c'est CVE-2014-0160, qui n'affecte
pas Squeeze. Restent CVE-2014-0076 ou le moins jeune CVE-2012-4929 qui
restent ouverts sur Squeeze. J'en déduis donc qu'il s'agit là de
problèmes non corrigés, et que le support est toujours bien actif.
Bonne journée.
--
Dans le domaine de la science, le hasard ne favorise que
les esprits qui ont été préparés.
-+- Louis Pasteur -+-
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140505090327.GD3734@david-pc.nexcom.bzh
On 2014.05.05 10:22:48 +0200, daniel huhardeaux wrote:
Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure à 1.0.1g qui ont été touchée. Squeeze est OK
Merci pour ta réponse.
Je vois effectivement que Heartbleed c'est CVE-2014-0160, qui n'affecte pas Squeeze. Restent CVE-2014-0076 ou le moins jeune CVE-2012-4929 qui restent ouverts sur Squeeze. J'en déduis donc qu'il s'agit là de problèmes non corrigés, et que le support est toujours bien actif.
Bonne journée. -- Dans le domaine de la science, le hasard ne favorise que les esprits qui ont été préparés. -+- Louis Pasteur -+-
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: https://lists.debian.org/
