Grève de sécurité chez Debian Sarge '

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Grève de sécurité chez Debian Sarge '

Publié le 05 juillet 2005 à 18:11 par grandgagnon

Lire sur mobile

Si vous avez installé la Sarge récemment proposée par Debian, combien d'avis de sécurité avez-vous reçus pendant ces dernières quatre semaines' Depuis un mois, jusqu'à la semaine dernière, le nombre d'avis de sécurité de la sarge-connexes publié par l'équipe de sécurité de Debian était exactement de zéro.

Si vous avez installé la Sarge récemment proposée par Debian, combien d'avis de sécurité avez-vous reçus pendant ces dernières quatre semaines'

Depuis un mois, jusqu'à la semaine dernière, le nombre d'avis de sécurité de la sarge-connexes publié par l'équipe de sécurité de Debian était exactement de zéro. Comparez cela avec Fedora Core 4, qui, bien que proposé une semaine plus tard que la Sarge, a déjà publié 8 avis de sécurité! Mais où est le problème' L'équipe de sécurité de Debian serait-elle en grève'

Il s'avère en fait que l'infrastructure de sécurité de Debian Sarge est arrêtée et a été arrêtée depuis la disponibilité de la distribution. Ceci a été expliqué la première fois par Heise.de (en allemand) et plus tard diffusé sur le site Da Linux French (en français) avant qu'une longue discussion n'ait éclaté sur la liste d'expédition de debian-sécurité.

Joey Schultze explique ainsi dans son blog:

"En fait, en essayant de proposer une mise à jour de sécurité avant la disponibilité de la Sarge a eu comme conséquence un programme et des archives endommagées. Ainsi, nous serons sans mises à jour de sécurité pendant un bon moment."

Ce sont de mauvaises nouvelles pour les utilisateurs qui ont installé en toute confiance sur leurs serveurs la nouvelle version tant attendue de Debian, ces derniers utilisant probablement plusieurs applications avec des vulnérabilités connues.

Les bonnes nouvelles sont que les exemples mentionnés ci-dessus, qualifiés de "mauvaise publicité", ont provoqué une certaine action parmi l'équipe de sécurité de Debian et, le week-end dernier, les deux premiers avis de sécurité de Debian ont été publiés.

Mais le problème est complexe et toujours loin d'être sous contrôle. Martin Krafft explique:

"en général, mon expérience a été que la sécurité à debian.org est un trou noir, et que des propositons d'aide sont ignorées." Depuis quelques années, les développeurs restent fermés et n'apprennent pas de leurs erreurs. "C'est comme un aveugle qui travail avec des muets, personne ne s'écoutent et le projet part dans tous les sens sans grand aboutissement."

Tous ceci ressemble à un bouleversement important dans l'infrastructure de sécurité de Debian qui est peut-être nécessaire pour s'assurer que la situation actuelle ne se reproduise pas de nouveau. Mais est-ce que cela peut changer quelques chose' Peut-on rendre intéressante les tâches d'appliquer les patchs, de publier des avis de sécurité' Pas facilement. Mais ce travail doit être tout de même accomplit, avant que la réputation de Debian ne soit encore ternie par un travail mal fait en sécurité.

Source : Distrowatch