oldstable et sécurité

2 réponses
Avatar
David Soulayrol
Bonjour,

Je dois recompiler un paquetage dont openssl est une dépendance. La
cible est Debian Squeeze. Pour ce faire, j'utilise apt-get build-dep,
apt-get source, dpkg-buildpackage... Je travaille une image de Squeeze
dédiée et configurée avec les sources suivantes :

deb http://ftp.fr.debian.org/debian/ squeeze main
deb-src http://ftp.fr.debian.org/debian/ squeeze main

deb http://security.debian.org/ squeeze/updates main
deb-src http://security.debian.org/ squeeze/updates main

deb http://ftp.fr.debian.org/debian/ squeeze-updates main
deb-src http://ftp.fr.debian.org/debian/ squeeze-updates main

apt-cache me retourne les disponibilités suivantes pour openssl, ce qui
est conforme à http://packages.qa.debian.org/o/openssl.html.

# apt-cache policy openssl
openssl:
Installed: 0.9.8o-4squeeze1
Candidate: 0.9.8o-4squeeze14
Version table:
0.9.8o-4squeeze14 0
500 http://ftp.fr.debian.org/debian/ squeeze/main amd64 Packages
500 http://security.debian.org/ squeeze/updates/main amd64 Packages
*** 0.9.8o-4squeeze1 0
100 /var/lib/dpkg/status

Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus
détaillée sur https://security-tracker.debian.org/tracker/source-package/openssl,
j'observe que Debian Squeeze (oldstable) semble posséder une version
passablement obsolète et dangereuse de openssl. Pourtant, il me semble
que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est
envisagé un support de longue durée pour cette version.

Quelle procédure me conseilleriez-vous pour disposer des sources d'une
version empaquetée à jour de openssl ?

Merci.
--
Si vous ne pouvez, à la longue, faire savoir à tout le monde
ce que vous avez fait, c'est que ça vaut rien.
-+- Erwin Schrödinger -+-

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140505081113.GB3734@david-pc.nexcom.bzh

2 réponses

Avatar
daniel huhardeaux
Le 05/05/2014 10:11, David Soulayrol a écrit :
Bonjour,



Bonjour
[...]
Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus
détaillée sur https://security-tracker.debian.org/tracker/source-package/openssl,
j'observe que Debian Squeeze (oldstable) semble posséder une version
passablement obsolète et dangereuse de openssl.



Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure
à 1.0.1g qui ont été touchée. Squeeze est OK

Pourtant, il me semble
que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est
envisagé un support de longue durée pour cette version.



Il n'est pas envisagé, c'est effectif, jusqu'en 02/2016, uniquement pour
i386 et amd64


Quelle procédure me conseilleriez-vous pour disposer des sources d'une
version empaquetée à jour de openssl ?
[...]


--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Avatar
David Soulayrol
On 2014.05.05 10:22:48 +0200, daniel huhardeaux wrote:

Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure à
1.0.1g qui ont été touchée. Squeeze est OK



Merci pour ta réponse.

Je vois effectivement que Heartbleed c'est CVE-2014-0160, qui n'affecte
pas Squeeze. Restent CVE-2014-0076 ou le moins jeune CVE-2012-4929 qui
restent ouverts sur Squeeze. J'en déduis donc qu'il s'agit là de
problèmes non corrigés, et que le support est toujours bien actif.

Bonne journée.
--
Dans le domaine de la science, le hasard ne favorise que
les esprits qui ont été préparés.
-+- Louis Pasteur -+-

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/