Nouvelles hebdomadaires Debian - Courriel
De : Anthony Towns <aj@azure.humbug.org.au>
Date : Mer. 26 juil. 2000 10 h 44 ' 09 " +1000
À : debian-release@lists.debian.org
Sujet : Début du troisième cycle de tests
Le troisième cycle de tests a commencé officiellement.
L'archive a été gelée, et aucun nouveau paquet ne sera installé avant
la fin du cycle de tests. Depuis le dernier cycle de tests, nous avons des
nouvelles disquettes de démarrage, un nouveau serveur X, et beaucoup de
nouveaux paquets. Des notes de publication mises à jour ont aussi été
incluses : soyez sûr de les avoir lues pour éviter tous les problèmes
que certains changements pourraient causer à votre système.
On espère et prévoit que nous n'aurons pas besoin de faire plus de
changements aux paquets entre ce cycle de tests et la déclaration de
Potato en tant que distribution stable. Ainsi, les corrections de sécurité
pour les paquets dans Potato seront disponibles sur security.debian.org
et annoncés sur la liste de diffusion debian-security-announce,
comme elles seront pour la publication stable.
L'objectif principal des tests pour ce cycle est de s'assurer que les
notes de publication sont complètes et utiles, et d'identifier les
problèmes qui pourraient être corrigés dans les futures versions
intermédiaires de Potato et dans la prochaine publication de Debian,
Woody.
Ce cycle de test s'achèvera dans deux semaines, aux alentours du 9 août.
À ce moment, tous les nouveaux problèmes seront ajoutés aux notes de
publication, et Potato sera déclarée stable. L'annonce officielle
et la première fête non virtuelle pour la publication auront normalement
lieu à la conférence et exposition LinuxWorld.
Les rapports de tests doivent, comme toujours, être envoyés à la liste
debian-testing. Les informations pour l'inscription et les archives
sont disponibles sur la page de Debian.
Pour ceux qui sont capables de tester les installations par CD,
les images du premier CD des binaires pour chaque architecture
sont disponibles sur :
http://ftp.debian.org/debian-cd/potato_test-cycle-3/
Pour ceux qui font des installations par le réseau, veuillez faire
pointer Apt ou votre méthode préférée pour dselect vers votre miroir
local.
--
Anthony Towns
En tant que gestionnaire de publication
Date : Mar. 25 juil. 2000 15 h 51 ' 21 " -0400 De : Ben Collins <bcollins@debian.org> À : debian-announce@lists.debian.org Sujet : Dédicace de la publication 2.2 de Debian Il s'agit de la première annonce publique de ce type. Certains auront remarqué les deux nouveaux fichiers dans notre archive (ou sur nos miroirs) et sur les nouveaux CD du troisième cycle de tests. Il s'agit d'une dédicace de cette publication à un membre récemment décédé de notre projet, Joel Klecker, qui s'est éteint à l'âge de 21 ans. La dédicace peut être trouvée (et est attachée ici) sur : http://ftp.debian.org/doc/dedication-2.2.txt Vous trouverez également un fichier appelé dedication-2.2.sigs.tar.gz, qui contient près de 200 signatures PGP de nos développeurs pour le fichier dedication.txt. Le décès de Joel est la suite d'une longue bataille contre la dystrophie musculaire de Duchenne. Des informations sur les dons pour l'association pour la dystrophie musculaire peuvent être trouvées ici, et seront très appréciées (veuillez faire les dons au nom de Joel, si vous le désirez) : http://mdausa.org/donate/index.html Cordialement, Ben Collins
De : Joey Hess <joeyh@debian.org>
Date : Mar. 25 juil. 2000 17 h 05 ' 37 " -0700
À : Kurt Seifried <seifried@securityportal.com>
Cc : debian-devel@lists.debian.org
Sujet : Rapport de sécurité pour les distributions Linux -- déception
Dans <http://www.securityportal.com/cover/coverstory20000724.html>, vous
affirmez :
> Je n'ai pas entièrement couvert Slackware et Debian, à cause de leurs
> calendriers de publication ridiculement lents.
Je suis très déçu à deux niveaux : tout d'abord, que vous ayez fourni
un tel compte-rendu compréhensif et utile, en oubliant l'une des
distributions Linux les plus populaire [6], et ensuite, parce que vous
avez fait de telles suppositions fausses sur la méthodologie de publication
de Debian.
Votre erreur principale est de ne pas avoir réalisé que Debian publie
en temps réel des correctifs de sécurité, qui sont distribués aux
utilisateurs de Debian via Internet. Les utilisateurs peuvent
choisir de configurer leurs systèmes pour recevoir ces mises à jour [1].
Cela permet de dire que les intervalles de publications sont dépendants
de la réception par les utilisateurs des corrections de sécurité.
En outre, Debian a des publications mineures _fréquentes_. Ces publications
consistent principalement en corrections de sécurité, et elles sont
destinées à fournir ces corrections immédiatement lors de l'installation
de Debian, ainsi que de permettre à ceux qui utilisent les CD pour
l'installation sans demander à leur système de recevoir les mises à jour
par Internet d'en bénéficier. Vous n'avez sûrement pas remarqué ces
publications, puisque dans Debian, « 2.1 » est une nouvelle publication
majeure (avec un « r1 » sous-entendu), alors que « 2.1r2 » est la
première publication mineure -- une nomenclature inhabituelle comparé
aux autres distributions.
Il est bon de savoir que les publications mineures de Debian 2.1 ont
été plus fréquentes que celles de Red Hat 6 (qui, comme vous l'avez
remarqué, « sort une nouvelle version tous les 6 mois avec la régularité
d'un métronome »).
Debian Red Hat
2.1
8 jours
2.1r2
167 jours
2.1r3 6.0
104 jours 161 jours
2.1r4 6.1
117 jours 175 jours
2.1r5 6.2
[ Il faut remarquer qu'un poster sur slashdot a des numéros [5] qui montrent
que l'autre distribution que vous avez négligé (Slackware) a également
des publications aussi fréquentes que Red Hat. ]
À la lumière de ces problèmes, je pense qu'il serait bénéfique d'ajouter
Debian à votre article. Les annonces de sécurité depuis 1998 sont
archivées à la fois dans les archives de la liste de diffusion
debian-security-announce [3] et sur http://security.debian.org/ (qui
inclut aussi les bulletins de 1997). Ainsi, je cite quelques chiffres
(j'ai lu le fichier changelog signalé par la deuxième note de bas de page,
et j'ai compté les corrections de sécurité. Ce n'est certainement pas
concordant avec vos chiffres.)
Publication Alertes de sécurité
2.1 1
2.1r2 16
2.1r3 19
2.1r4 5
2.1r5
Si l'on en vient à la deuxième partie de votre article, à savoir les
incidents spécifiques et la vitesse de réaction des distributions, j'ai
relevé quelques données dans les réponses pour Debian.
Exploitation locale du superutilisateur dans les noyaux <2.2.15, annoncé
le 8 juin
Le 12 juin, Debian a annoncé [4] avoir fixé le trou *avant* que
l'exploitation ne soit annoncée, et n'était donc pas vulnérable.
fdmount, annoncé le 22 mai
Debian ne l'a jamais installé en suid, et n'a donc jamais été
vulnérable (comme vous l'avez noté, merci).
Cependant, je pense que cette section de votre article a examiné trop
peu de failles pour en tirer des conclusions valides. Mais Debian semble
être dans le haut du lot sur cet échantillon limité.
En conclusion, j'aimerais faire remarquer que la période d'un an et demi
-- et pas de 2 ans comme vous le dites sans arrêt -- entre Debian 2.1
et 2.2 est une exception, et pas -- comme vous le supposez sans arrêt --
une règle. Pour les publications majeures de Debian :
1.1
6 mois
1.2
7 mois
1.3
12 mois
2.0
8 mois
2.1
(19 mois ?)
2.2
--
see shy jo, fond of lies, damn lies, and statistics
[1] (Pour les instructions pour configurer un système Debian pour recevoir
de telles corrections, voyez par exemple http://security.debian.org/,
au cinquième paragraphe.)
[2] Cette information est tirée de
http://ftp.debian.org/debian/dists/stable/Debian2.1r5
[3] https://www.debian.org/Lists-Archives/debian-security-announce-98/threads.html
https://www.debian.org/Lists-Archives/debian-security-announce-99/threads.html
https://www.debian.org/Lists-Archives/debian-security-announce-00/threads.html
[4] https://www.debian.org/security/2000/20000612
[5] http://slashdot.org/comments.pl?sid=00/07/25/1444233&cid=141
[6] Je ne vais pas argumenter en détail, mais voyez comment les gens ont réagi
sur slashdot. Debian est plutôt une large communauté, donc ses parts
de marché sont moins quantifiable.
http://slashdot.org/article.pl?sid=00/07/25/1444233&mode=nested
Pour recevoir cette gazette chaque semaine dans votre boîte à lettres, abonnez-vous à la liste de diffusion debian-news pour la version anglaise ou à la liste de diffusion debian-news-french pour la version française.
Les dernières parutions de cette gazette sont disponibles.
Ce numéro de la Debian Weekly News a été édité par Joey Hess.
Il a été traduit par Thomas Huriaux.