Nouvelles hebdomadaires Debian - Courriel

Client : Mutt 0.95.3i
Date : Lun. 5 avr. 1999 19 h 53 ' 35 " +0300
De : Andrei D. Caraman <adc@KILI.MEDIASAT.RO>
Sujet : Une question sur Apache sur Debian
À : BUGTRAQ@NETSPACE.ORG

[ Premier avertissement,

Je ne me souviens pas avoir vu ceci posté sur Bugtraq, mais n'hésitez pas
à le supprimer, si c'est une nouvelle ancienne. ]


Cela concerne la configuration d'Apache telle qu'elle est fournie avec
Debian 2.1 (surnommée Slink).

La configuration par défaut d'Apache (apache_1.3.3-7.deb) rend le répertoire
/usr/doc disponible pour tout le monde sur http://un.hôte/doc/. La ligne
incriminée est dans le fichier srm.conf :

	Alias /doc/ /usr/doc/

Ceci permettrait à tous les utilisateurs sur le réseau (malveillant ou
pas) de connaître la version exacte de tous les paquets installés sur une
machine Debian. Cela semble être plus une question de vie privée que de
sécurité. Cependant, si une vulnérabilité affectant l'un de ces paquets
est trouvée, les attaquants pourraient déjà connaître les cibles potentielles
(et peut-être celles à éviter).

Tout d'abord, j'ai pensé que Alias pouvait être désactivé, mais en lisant
les lignes ci-dessous (« la ligne ci-dessus est pour les standards du
web 3.0 de Debian, qui spécifient que /doc renvoie à /usr/doc. Certains
paquets peuvent ne pas marcher autrement »), je dirais que l'accès à cet
endroit ne devrait être autorisé qu'au localhost (notez qu'un serveur
mandataire web sur la même machine pourrait rendre inutile cette limitation).
L'administrateur du site peut facilement changer cela s'il en a besoin.


Johnie Ingram (le responsable Debian d'Apache) a été averti, et a répondu
que cela avait déjà été formellement signalé sur le système de suivi des
bogues par un autre utilisateur Debian (les détails sont disponibles ici :

	https://www.debian.org/Bugs/db/34/34099.html

incluant la correction suggérée :

	<Directory /usr/doc>
	AllowOverride None
	order deny,allow
	deny from all
	allow from localhost
	</Directory>
).

Johnie a dit qu'il avait l'intention de changer l'ancienne valeur par défaut
dans la prochaine publication.

Le 26 mars, il a ainsi déclaré qu'un nouveau paquet Apache allait être
envoyé dans les prochains jours, donc je suppose qu'il est déjà sur les
miroirs Debian.

<propagande>

Ce n'est pas un bogue sérieux, puisque Debian est la distribution Linux
la plus sécurisée. C'est pourquoi je l'utilise.

</propagande>

Je ne me suis pas ennuyé à vérifier les autres distributions...



Cordialement,
------------------------------------------------------------------------
Andrei D. Caraman			    Tél. : +40 (1) 2050 637
Ingénieur réseau			     Fax : +40 (1) 2050 655
Mediasat SA			Heures de bureau : 10 h 00 - 18 h 00 GMT

À : Chris McKillop <cdmckill@warg.uwaterloo.ca>
Cc : debian-mentors@lists.debian.org
Sujet : Re : Devenir un nouveau développeur
De : James Troup <james@nocrew.org>
Date : 12 avr. 1999 20 h 02 ' 51 " +0100

Chris McKillop <cdmckill@warg.uwaterloo.ca> a écrit :

> Combien de temps faut-il habituellement pour remplir la procédure de
> candidature pour les développeurs ? J'ai lu des commentaires
> déprimants sur irc parlant de plus de 10 mois. Quelqu'un peut-il
> me confirmer cela ?

Quelques commentaires aléatoires sans ordre particulier, car je ne veux
pas m'ennuyer à prendre le temps d'écrire une réponse propre à tous les
courriels de cette discussion.

La procédure peut durer 10 minutes comme elle peut durer plus d'un an
et demi. La première situation est rare, mais a déjà été vue deux ou trois
fois, la deuxième est, bizarrement, habituelle, mais c'est toujours car
nous attendons que les candidats viennent vers _nous_ et pas le
contraire.

Ne crois pas tout ce que tu lis sur IRC, en particulier ce qui vient
de certaines personnes.

Le processus pour les nouveaux responsables est incroyablement
ennuyeux pour bien trop de raisons pour les lister, mais un problème
particulier est que les attentes des candidats au niveau de la durée
du processus varient fortement. J'ai téléphoné à des personnes avec un
retard inexcusable, et ils ont calmement répondu : « Tout va bien, je
n'ai même pas encore commencé mon paquet, et je ne le ferai sûrement pas
avant un moment ». Ou alors, vous avez des personnes qui vous harcèlent
sans arrêt pour une procédure rapide puis ne font rien en tant que
développeur pendant des semaines voire des mois après leur intégration.

Tu peux accélérer ta candidature en fournissant les informations
pertinentes, comme cela est indiqué dans la référence des développeurs.
C'est déprimant de voir combien de personnes ne le font toujours pas
malgré l'excellent travail de Christian et Adam.

Non, je n'ai pas envisagé de mettre un répondeur automatique sur
l'adresse nm@debian.org. Fais juste confiance au fait
que c'est arrivé, et si tu n'es pas sûr, envoie-nous une petite note.
Nous n'attachons pas d'importance au fait que les personnes nous
harcèlent avec de petits messages après un délai raisonnable.
Je m'oppose violemment aux personnes qui renvoient de grosses images
scannées, je paie pour mes appels à la minute et je n'ai qu'un lent
modem 28.8 (et en dehors de tout ça, c'est une chose importante).
Dans un domaine similaire, veuillez réduire vos images scannées.
En général, 500 Ko sont aussi utiles que 5 Mo.

Je suis désolé pour toutes les personnes qui ont attendu si longtemps.
Je vais essayer de me réoccuper de vous le plus tôt possible, mais
continuez à lire.

Les appels téléphoniques provoquent souvent des retards. Je pense qu'ils
sont nécessaires, et je ne pense pas les arrêter. Non, je ne peux
pas vous envoyer de courriel avant d'appeler, simplement parce que je
ne sais jamais quand j'aurai le temps et l'énergie [1] d'appeler
jusqu'à la dernière minute. Cela n'a alors plus d'intérêt.

Les appels téléphoniques deviennent de moins en moins un problème, puisque
j'ai commencé à donner mes informations pour que les personnes puissent
_optionnellement_ me téléphoner, quand cela *les* arrange
(avec quelques simples exceptions [Salut, Ed :p]). Cela sera entièrement
optionnel, ne coûtera pas beaucoup aux candidats (je les rappellerai
immédiatement, si je peux), et évitera, je l'espère, les problèmes
des personnes manquantes ou de ceux qui donnent des numéros de téléphone
pour une ligne dédiée virtuellement au modem. J'ai essayé ceci la semaine
dernière, et, à une seule exception (Salut, Ed :p), cela a bien fonctionné,
et les candidats semblent répondre favorablement à l'idée.

Bon, je pense que j'ai assez râlé.

--
James

« L'astuce est de continuer à respirer. »

[1] La majorité des appels sont soit faits (pour mon fuseau horaire)
tard la nuit, très tôt le matin (Salut, Ed :p) ou tôt le matin.
J'ai un emploi demandant une charge de travail énorme, ce qui m'empêche
de participer à Debian plus que je ne le voudrais et qui me demande une
certaine quantité de sommeil chaque nuit.


--
Pour vous désinscrire, envoyez un courriel à
debian-mentors-request@lists.debian.org avec comme sujet « unsubscribe ».
Des problèmes ? Contactez listmaster@lists.debian.org.
De debian-vote-request@lists.debian.org Dim. 11 avr. 1999 18 h 07 ' 26 "
Date : Dim. 11 avr. 1999 11 h 07 ' 10 " -0700
De : Darren O. Benham <gecko@debian.org>
À : Martin Schulze <joey@infodrom.north.de>
Cc : Marcus Brinkmann <Marcus.Brinkmann@ruhr-uni-bochum.de>,
  debian-vote@lists.debian.org
Sujet : Re : le logo : sélection des logos maintenant disponible !


--xo44VMWPx7vlQ2+2
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: quoted-printable

Le dim. 11 avr. 1999 à 11 h 44 ' 21 " +0200, Martin Schulze a écrit:
> Marcus Brinkmann a écrit :
> > Le sam. 10 avr. 1999 à 12 h 33 ' 51 " +0200, Martin Schulze a écrit :
> > >
> > > Je suis désolé, mais le premier concours pour le logo n'a été
> > > ni public, ni ouvert aux responsables, donc doogie n'a pas eu
> > > l'occasion d'intervenir avant
>
> Apparemment, ça n'a pas été formulé correctement et j'étais pressé.
>
> Le concours officiel pour le logo (le deuxième) s'est tenu en public.
>
> Mais les logos que nous pouvons choisir n'ont pas été choisis en public
> mais derrière des portes fermées pour que ni doogie ni moi-même ne
> puissions intervenir.
>
> Après cela, le vote est public.
>
> Vous savez déjà que j'ai essayé de conduire la totalité du concours
> dans la bonne direction. Puisque je ne peux pas décider de ce que fait
> l'équipe du logo, c'est tout ce que je peux faire - en dehors de
> provoquer une révolution, ce qui n'est pas ce que je veux.

Il y a autre chose... sans révolution. S'il y a un logo que vous aimez,
proposez-le en amendement... Si soit Wichert, soit le comité technique,
soit cinq autres développeurs sont d'accord pour ajouter le logo à la liste
des choix (sponsor), il sera ajouté au bulletin sans relancer la période
de discussion.


--
Veuillez m'envoyer une copie de toutes vos réponses aux listes de diffusion.
===========================================================================
* http://benham.net/index.html        <gecko@benham.net>           <><  *
* -------------------- * -----------------------------------------------*
* Développeur Debian, Secrétaire du projet, Concepteur du site web      *
* <gecko@debian.org> <secretary@debian.org> <lintian-maint@debian.org>  *
* <webmaster@debian.org> <gecko@fortunet.com> <webmaster@spi-inc.org>   *
===========================================================================



--
Pour vous désinscrire, envoyez un courriel à
debian-vote-request@lists.debian.org avec comme sujet « unsubscribe ».
Des problèmes ? Contactez listmaster@lists.debian.org.

Pour recevoir cette gazette chaque semaine dans votre boîte à lettres, abonnez-vous à la liste de diffusion debian-news pour la version anglaise ou à la liste de diffusion debian-news-french pour la version française.

Les dernières parutions de cette gazette sont disponibles.

Ce numéro de la Debian Weekly News a été édité par Joey Hess.
Il a été traduit par Thomas Huriaux.