Plus d'un an pour une mise à jour de sécurité!

Frédéric Bothamy

05/11/2005 à 23:50

* Vincent Lefevre [2005-11-04 01:03] :

Bonjour,

Lors de l'upgrade de ce soir pour testing, il y a notamment:

Inst imlib-base [1.9.14-16.2] (1.9.14-24 Debian:testing)

^^^^^^^^^^^

Note le numéro de version de départ.

[...]

imlib (1.9.14-17.1) unstable; urgency=high

* Non-maintainer upload.
* High-urgency upload for sarge-targetted RC bugfix
* CAN-2004-1026: fix various overflows in image decoding routines.
Closes: #284925.

-- Steve Langasek Thu, 16 Dec 2004 05:57:41 -0800

imlib (1.9.14-17) unstable; urgency=high

* Applied patch by Marcus Meissner to fix arbitrary
code execution through a heap overflow [gdk_imlib/io-bmp.c,
CAN-2004-0817, http://bugzilla.gnome.org/show_bug.cgi?id1034]

* imlib.m4: Quote macros AM_PATH_IMLIB and AM_PATH_GDK_IMLIB.
Closes: #267804.

-- Steve M. Robbins Tue, 31 Aug 2004 19:50:02 -0400

Bref, la mise à jour de sécurité du 31 août 2004 (pourtant en
urgency=high) n'arrive dans testing que maintenant!

Non, c'est simplement un artifice de numéro de version : comme tu
partais de la version 1.9.14-16.2, celle-ci contenait déjà les
corrections de sécurité incluses dans la version provenant d'unstable
(cf.
http://packages.debian.org/changelogs/pool/main/i/imlib+png2/imlib+png2_1.9.14-16.2/changelog),
respectivement dans les versions 1.9.14-16.1 pour CAN-2004-1026 et
1.9.14-16 ainsi que 1.9.14-16.2 pour CAN-2004-0817.

Enfin, la sécurité de testing n'est pas assurée pour l'archive
principale, elle est simplement tentée par l'équipe en charge de
celle-ci à http://secure-testing-master.debian.net/ (avec une source
externe).

Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

* Vincent Lefevre <vincent@vinc17.org> [2005-11-04 01:03] :

Bonjour,

Lors de l'upgrade de ce soir pour testing, il y a notamment:

Inst imlib-base [1.9.14-16.2] (1.9.14-24 Debian:testing)

^^^^^^^^^^^

Note le numéro de version de départ.

[...]

imlib (1.9.14-17.1) unstable; urgency=high

* Non-maintainer upload.
* High-urgency upload for sarge-targetted RC bugfix
* CAN-2004-1026: fix various overflows in image decoding routines.
Closes: #284925.

-- Steve Langasek <vorlon@debian.org> Thu, 16 Dec 2004 05:57:41 -0800

imlib (1.9.14-17) unstable; urgency=high

* Applied patch by Marcus Meissner <meissner@suse.de> to fix arbitrary
code execution through a heap overflow [gdk_imlib/io-bmp.c,
CAN-2004-0817, http://bugzilla.gnome.org/show_bug.cgi?id1034]

* imlib.m4: Quote macros AM_PATH_IMLIB and AM_PATH_GDK_IMLIB.
Closes: #267804.

-- Steve M. Robbins <smr@debian.org> Tue, 31 Aug 2004 19:50:02 -0400

Bref, la mise à jour de sécurité du 31 août 2004 (pourtant en
urgency=high) n'arrive dans testing que maintenant!

Non, c'est simplement un artifice de numéro de version : comme tu
partais de la version 1.9.14-16.2, celle-ci contenait déjà les
corrections de sécurité incluses dans la version provenant d'unstable
(cf.
http://packages.debian.org/changelogs/pool/main/i/imlib+png2/imlib+png2_1.9.14-16.2/changelog),
respectivement dans les versions 1.9.14-16.1 pour CAN-2004-1026 et
1.9.14-16 ainsi que 1.9.14-16.2 pour CAN-2004-0817.

Enfin, la sécurité de testing n'est pas assurée pour l'archive
principale, elle est simplement tentée par l'équipe en charge de
celle-ci à http://secure-testing-master.debian.net/ (avec une source
externe).

Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

* Vincent Lefevre [2005-11-04 01:03] :

Bonjour,

Lors de l'upgrade de ce soir pour testing, il y a notamment:

Inst imlib-base [1.9.14-16.2] (1.9.14-24 Debian:testing)

^^^^^^^^^^^

Note le numéro de version de départ.

[...]

imlib (1.9.14-17.1) unstable; urgency=high

* Non-maintainer upload.
* High-urgency upload for sarge-targetted RC bugfix
* CAN-2004-1026: fix various overflows in image decoding routines.
Closes: #284925.

-- Steve Langasek Thu, 16 Dec 2004 05:57:41 -0800

imlib (1.9.14-17) unstable; urgency=high

* Applied patch by Marcus Meissner to fix arbitrary
code execution through a heap overflow [gdk_imlib/io-bmp.c,
CAN-2004-0817, http://bugzilla.gnome.org/show_bug.cgi?id1034]

* imlib.m4: Quote macros AM_PATH_IMLIB and AM_PATH_GDK_IMLIB.
Closes: #267804.

-- Steve M. Robbins Tue, 31 Aug 2004 19:50:02 -0400

Bref, la mise à jour de sécurité du 31 août 2004 (pourtant en
urgency=high) n'arrive dans testing que maintenant!

Non, c'est simplement un artifice de numéro de version : comme tu
partais de la version 1.9.14-16.2, celle-ci contenait déjà les
corrections de sécurité incluses dans la version provenant d'unstable
(cf.
http://packages.debian.org/changelogs/pool/main/i/imlib+png2/imlib+png2_1.9.14-16.2/changelog),
respectivement dans les versions 1.9.14-16.1 pour CAN-2004-1026 et
1.9.14-16 ainsi que 1.9.14-16.2 pour CAN-2004-0817.

Enfin, la sécurité de testing n'est pas assurée pour l'archive
principale, elle est simplement tentée par l'équipe en charge de
celle-ci à http://secure-testing-master.debian.net/ (avec une source
externe).

Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Vincent Lefevre

07/11/2005 à 18:10

On 2005-11-05 23:40:34 +0100, Frédéric Bothamy wrote:

Non, c'est simplement un artifice de numéro de version : comme tu
partais de la version 1.9.14-16.2, celle-ci contenait déjà les
corrections de sécurité incluses dans la version provenant d'unstable
(cf.
http://packages.debian.org/changelogs/pool/main/i/imlib+png2/imlib+png2_1.9.14-16.2/changelog),
respectivement dans les versions 1.9.14-16.1 pour CAN-2004-1026 et
1.9.14-16 ainsi que 1.9.14-16.2 pour CAN-2004-0817.

Merci. Le problème est donc que apt-listchanges ne les mentionnaient
pas. Il est dommage de ne pas avoir un état de la sécurité des
paquets installés... Il suffirait d'une base de données mise à jour
régulièrement, par exemple en même temps qu'un apt-get update.

--
Vincent Lefèvre - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / SPACES project at LORIA

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Frédéric Bothamy

07/11/2005 à 23:30

* Vincent Lefevre [2005-11-07 17:40] :

On 2005-11-05 23:40:34 +0100, Frédéric Bothamy wrote:
> Non, c'est simplement un artifice de numéro de version : comme tu
> partais de la version 1.9.14-16.2, celle-ci contenait déjà les
> corrections de sécurité incluses dans la version provenant d'unstable
> (cf.
> http://packages.debian.org/changelogs/pool/main/i/imlib+png2/imlib+png2_1.9.14-16.2/changelog),
> respectivement dans les versions 1.9.14-16.1 pour CAN-2004-1026 et
> 1.9.14-16 ainsi que 1.9.14-16.2 pour CAN-2004-0817.

Merci. Le problème est donc que apt-listchanges ne les mentionnaient
pas. Il est dommage de ne pas avoir un état de la sécurité des

En fait, il faudrait qu'apt-listchanges affiche un zdiff entre l'ancien
et le nouveau changelog.Debian.gz. Ainsi, tu verrais les mises à jour de
sécurité en - et les ajouts de la nouvelle version en +.

paquets installés... Il suffirait d'une base de données mise à jour
régulièrement, par exemple en même temps qu'un apt-get update.

Je ne sais pas si ce serait utile à beaucoup de monde : il est bien
connu que la sécurité de testing n'est pas garantie
(http://www.debian.org/security/faq#testing), ni assurée par l'équipe de
sécurité Debian. Ce problème ne concerne que testing (stable a les mises
à jour de sécurité et unstable inclut les mises à jour de sécurité dans
les nouvelles versions des paquets).

Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Vincent Lefevre

08/11/2005 à 14:50

On 2005-11-07 23:27:46 +0100, Frédéric Bothamy wrote:

En fait, il faudrait qu'apt-listchanges affiche un zdiff entre l'ancien
et le nouveau changelog.Debian.gz. Ainsi, tu verrais les mises à jour de
sécurité en - et les ajouts de la nouvelle version en +.

Je viens de soumettre un rapport de bug en wishlist.

> paquets installés... Il suffirait d'une base de données mise à jour
> régulièrement, par exemple en même temps qu'un apt-get update.

Je ne sais pas si ce serait utile à beaucoup de monde : il est bien
connu que la sécurité de testing n'est pas garantie
(http://www.debian.org/security/faq#testing), ni assurée par l'équipe de
sécurité Debian. Ce problème ne concerne que testing (stable a les mises
à jour de sécurité et unstable inclut les mises à jour de sécurité dans
les nouvelles versions des paquets).

Cette base de données servirait justement à garantir la sécurité d'un
système de base en testing: en voyant que tel paquet de testing est
dans la base de données des paquets troués, l'administrateur de la
machine pourrait soit retirer le paquet, soit l'upgrader en unstable
(ce que je fais de temps en temps). À l'heure actuelle, même en étant
inscrit sur la liste debian-security-announce, je ne suis pas sûr que
tout a été mis à jour sur ma machine en testing/unstable.

--
Vincent Lefèvre - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / SPACES project at LORIA

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Frédéric Bothamy

08/11/2005 à 17:20

* Vincent Lefevre [2005-11-08 14:26] :

On 2005-11-07 23:27:46 +0100, Frédéric Bothamy wrote:
> En fait, il faudrait qu'apt-listchanges affiche un zdiff entre l'ancien
> et le nouveau changelog.Debian.gz. Ainsi, tu verrais les mises à jour de
> sécurité en - et les ajouts de la nouvelle version en +.

Je viens de soumettre un rapport de bug en wishlist.

Pourquoi pas...

> > paquets installés... Il suffirait d'une base de données mise à jour
> > régulièrement, par exemple en même temps qu'un apt-get update.
>
> Je ne sais pas si ce serait utile à beaucoup de monde : il est bien
> connu que la sécurité de testing n'est pas garantie
> (http://www.debian.org/security/faq#testing), ni assurée par l'équipe de
> sécurité Debian. Ce problème ne concerne que testing (stable a les mises
> à jour de sécurité et unstable inclut les mises à jour de sécurité dans
> les nouvelles versions des paquets).

Cette base de données servirait justement à garantir la sécurité d'un
système de base en testing: en voyant que tel paquet de testing est
dans la base de données des paquets troués, l'administrateur de la
machine pourrait soit retirer le paquet, soit l'upgrader en unstable
(ce que je fais de temps en temps). À l'heure actuelle, même en étant
inscrit sur la liste debian-security-announce, je ne suis pas sûr que
tout a été mis à jour sur ma machine en testing/unstable.

Tu peux déjà bénéficier de certaines infos à partir des pages suivantes :

- http://www.debian.org/security/crossreferences
- http://secure-testing-master.debian.net/list.html

Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

* Vincent Lefevre <vincent@vinc17.org> [2005-11-08 14:26] :

On 2005-11-07 23:27:46 +0100, Frédéric Bothamy wrote:
> En fait, il faudrait qu'apt-listchanges affiche un zdiff entre l'ancien
> et le nouveau changelog.Debian.gz. Ainsi, tu verrais les mises à jour de
> sécurité en - et les ajouts de la nouvelle version en +.

Je viens de soumettre un rapport de bug en wishlist.

Pourquoi pas...

> > paquets installés... Il suffirait d'une base de données mise à jour
> > régulièrement, par exemple en même temps qu'un apt-get update.
>
> Je ne sais pas si ce serait utile à beaucoup de monde : il est bien
> connu que la sécurité de testing n'est pas garantie
> (http://www.debian.org/security/faq#testing), ni assurée par l'équipe de
> sécurité Debian. Ce problème ne concerne que testing (stable a les mises
> à jour de sécurité et unstable inclut les mises à jour de sécurité dans
> les nouvelles versions des paquets).

Cette base de données servirait justement à garantir la sécurité d'un
système de base en testing: en voyant que tel paquet de testing est
dans la base de données des paquets troués, l'administrateur de la
machine pourrait soit retirer le paquet, soit l'upgrader en unstable
(ce que je fais de temps en temps). À l'heure actuelle, même en étant
inscrit sur la liste debian-security-announce, je ne suis pas sûr que
tout a été mis à jour sur ma machine en testing/unstable.

Tu peux déjà bénéficier de certaines infos à partir des pages suivantes :

- http://www.debian.org/security/crossreferences
- http://secure-testing-master.debian.net/list.html

Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

* Vincent Lefevre [2005-11-08 14:26] :

On 2005-11-07 23:27:46 +0100, Frédéric Bothamy wrote:
> En fait, il faudrait qu'apt-listchanges affiche un zdiff entre l'ancien
> et le nouveau changelog.Debian.gz. Ainsi, tu verrais les mises à jour de
> sécurité en - et les ajouts de la nouvelle version en +.

Je viens de soumettre un rapport de bug en wishlist.

Pourquoi pas...

> > paquets installés... Il suffirait d'une base de données mise à jour
> > régulièrement, par exemple en même temps qu'un apt-get update.
>
> Je ne sais pas si ce serait utile à beaucoup de monde : il est bien
> connu que la sécurité de testing n'est pas garantie
> (http://www.debian.org/security/faq#testing), ni assurée par l'équipe de
> sécurité Debian. Ce problème ne concerne que testing (stable a les mises
> à jour de sécurité et unstable inclut les mises à jour de sécurité dans
> les nouvelles versions des paquets).

Cette base de données servirait justement à garantir la sécurité d'un
système de base en testing: en voyant que tel paquet de testing est
dans la base de données des paquets troués, l'administrateur de la
machine pourrait soit retirer le paquet, soit l'upgrader en unstable
(ce que je fais de temps en temps). À l'heure actuelle, même en étant
inscrit sur la liste debian-security-announce, je ne suis pas sûr que
tout a été mis à jour sur ma machine en testing/unstable.

Tu peux déjà bénéficier de certaines infos à partir des pages suivantes :

- http://www.debian.org/security/crossreferences
- http://secure-testing-master.debian.net/list.html

Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Plus d'un an pour une mise à jour de sécurité!

5 réponses

Veuillez sélectionner un problème