Nouvelles hebdomadaires Debian - Courriel
De : Anthony Towns <aj@azure.humbug.org.au> Date : Mer. 26 juil. 2000 10 h 44 ' 09 " +1000 À : debian-release@lists.debian.org Sujet : Début du troisième cycle de tests Le troisième cycle de tests a commencé officiellement. L'archive a été gelée, et aucun nouveau paquet ne sera installé avant la fin du cycle de tests. Depuis le dernier cycle de tests, nous avons des nouvelles disquettes de démarrage, un nouveau serveur X, et beaucoup de nouveaux paquets. Des notes de publication mises à jour ont aussi été incluses : soyez sûr de les avoir lues pour éviter tous les problèmes que certains changements pourraient causer à votre système. On espère et prévoit que nous n'aurons pas besoin de faire plus de changements aux paquets entre ce cycle de tests et la déclaration de Potato en tant que distribution stable. Ainsi, les corrections de sécurité pour les paquets dans Potato seront disponibles sur security.debian.org et annoncés sur la liste de diffusion debian-security-announce, comme elles seront pour la publication stable. L'objectif principal des tests pour ce cycle est de s'assurer que les notes de publication sont complètes et utiles, et d'identifier les problèmes qui pourraient être corrigés dans les futures versions intermédiaires de Potato et dans la prochaine publication de Debian, Woody. Ce cycle de test s'achèvera dans deux semaines, aux alentours du 9 août. À ce moment, tous les nouveaux problèmes seront ajoutés aux notes de publication, et Potato sera déclarée stable. L'annonce officielle et la première fête non virtuelle pour la publication auront normalement lieu à la conférence et exposition LinuxWorld. Les rapports de tests doivent, comme toujours, être envoyés à la liste debian-testing. Les informations pour l'inscription et les archives sont disponibles sur la page de Debian. Pour ceux qui sont capables de tester les installations par CD, les images du premier CD des binaires pour chaque architecture sont disponibles sur : http://ftp.debian.org/debian-cd/potato_test-cycle-3/ Pour ceux qui font des installations par le réseau, veuillez faire pointer Apt ou votre méthode préférée pour dselect vers votre miroir local. -- Anthony Towns En tant que gestionnaire de publication
Date : Mar. 25 juil. 2000 15 h 51 ' 21 " -0400 De : Ben Collins <bcollins@debian.org> À : debian-announce@lists.debian.org Sujet : Dédicace de la publication 2.2 de Debian Il s'agit de la première annonce publique de ce type. Certains auront remarqué les deux nouveaux fichiers dans notre archive (ou sur nos miroirs) et sur les nouveaux CD du troisième cycle de tests. Il s'agit d'une dédicace de cette publication à un membre récemment décédé de notre projet, Joel Klecker, qui s'est éteint à l'âge de 21 ans. La dédicace peut être trouvée (et est attachée ici) sur : http://ftp.debian.org/doc/dedication-2.2.txt Vous trouverez également un fichier appelé dedication-2.2.sigs.tar.gz, qui contient près de 200 signatures PGP de nos développeurs pour le fichier dedication.txt. Le décès de Joel est la suite d'une longue bataille contre la dystrophie musculaire de Duchenne. Des informations sur les dons pour l'association pour la dystrophie musculaire peuvent être trouvées ici, et seront très appréciées (veuillez faire les dons au nom de Joel, si vous le désirez) : http://mdausa.org/donate/index.html Cordialement, Ben Collins
De : Joey Hess <joeyh@debian.org> Date : Mar. 25 juil. 2000 17 h 05 ' 37 " -0700 À : Kurt Seifried <seifried@securityportal.com> Cc : debian-devel@lists.debian.org Sujet : Rapport de sécurité pour les distributions Linux -- déception Dans <http://www.securityportal.com/cover/coverstory20000724.html>, vous affirmez : > Je n'ai pas entièrement couvert Slackware et Debian, à cause de leurs > calendriers de publication ridiculement lents. Je suis très déçu à deux niveaux : tout d'abord, que vous ayez fourni un tel compte-rendu compréhensif et utile, en oubliant l'une des distributions Linux les plus populaire [6], et ensuite, parce que vous avez fait de telles suppositions fausses sur la méthodologie de publication de Debian. Votre erreur principale est de ne pas avoir réalisé que Debian publie en temps réel des correctifs de sécurité, qui sont distribués aux utilisateurs de Debian via Internet. Les utilisateurs peuvent choisir de configurer leurs systèmes pour recevoir ces mises à jour [1]. Cela permet de dire que les intervalles de publications sont dépendants de la réception par les utilisateurs des corrections de sécurité. En outre, Debian a des publications mineures _fréquentes_. Ces publications consistent principalement en corrections de sécurité, et elles sont destinées à fournir ces corrections immédiatement lors de l'installation de Debian, ainsi que de permettre à ceux qui utilisent les CD pour l'installation sans demander à leur système de recevoir les mises à jour par Internet d'en bénéficier. Vous n'avez sûrement pas remarqué ces publications, puisque dans Debian, « 2.1 » est une nouvelle publication majeure (avec un « r1 » sous-entendu), alors que « 2.1r2 » est la première publication mineure -- une nomenclature inhabituelle comparé aux autres distributions. Il est bon de savoir que les publications mineures de Debian 2.1 ont été plus fréquentes que celles de Red Hat 6 (qui, comme vous l'avez remarqué, « sort une nouvelle version tous les 6 mois avec la régularité d'un métronome »). Debian Red Hat 2.1 8 jours 2.1r2 167 jours 2.1r3 6.0 104 jours 161 jours 2.1r4 6.1 117 jours 175 jours 2.1r5 6.2 [ Il faut remarquer qu'un poster sur slashdot a des numéros [5] qui montrent que l'autre distribution que vous avez négligé (Slackware) a également des publications aussi fréquentes que Red Hat. ] À la lumière de ces problèmes, je pense qu'il serait bénéfique d'ajouter Debian à votre article. Les annonces de sécurité depuis 1998 sont archivées à la fois dans les archives de la liste de diffusion debian-security-announce [3] et sur http://security.debian.org/ (qui inclut aussi les bulletins de 1997). Ainsi, je cite quelques chiffres (j'ai lu le fichier changelog signalé par la deuxième note de bas de page, et j'ai compté les corrections de sécurité. Ce n'est certainement pas concordant avec vos chiffres.) Publication Alertes de sécurité 2.1 1 2.1r2 16 2.1r3 19 2.1r4 5 2.1r5 Si l'on en vient à la deuxième partie de votre article, à savoir les incidents spécifiques et la vitesse de réaction des distributions, j'ai relevé quelques données dans les réponses pour Debian. Exploitation locale du superutilisateur dans les noyaux <2.2.15, annoncé le 8 juin Le 12 juin, Debian a annoncé [4] avoir fixé le trou *avant* que l'exploitation ne soit annoncée, et n'était donc pas vulnérable. fdmount, annoncé le 22 mai Debian ne l'a jamais installé en suid, et n'a donc jamais été vulnérable (comme vous l'avez noté, merci). Cependant, je pense que cette section de votre article a examiné trop peu de failles pour en tirer des conclusions valides. Mais Debian semble être dans le haut du lot sur cet échantillon limité. En conclusion, j'aimerais faire remarquer que la période d'un an et demi -- et pas de 2 ans comme vous le dites sans arrêt -- entre Debian 2.1 et 2.2 est une exception, et pas -- comme vous le supposez sans arrêt -- une règle. Pour les publications majeures de Debian : 1.1 6 mois 1.2 7 mois 1.3 12 mois 2.0 8 mois 2.1 (19 mois ?) 2.2 -- see shy jo, fond of lies, damn lies, and statistics [1] (Pour les instructions pour configurer un système Debian pour recevoir de telles corrections, voyez par exemple http://security.debian.org/, au cinquième paragraphe.) [2] Cette information est tirée de http://ftp.debian.org/debian/dists/stable/Debian2.1r5 [3] https://www.debian.org/Lists-Archives/debian-security-announce-98/threads.html https://www.debian.org/Lists-Archives/debian-security-announce-99/threads.html https://www.debian.org/Lists-Archives/debian-security-announce-00/threads.html [4] https://www.debian.org/security/2000/20000612 [5] http://slashdot.org/comments.pl?sid=00/07/25/1444233&cid=141 [6] Je ne vais pas argumenter en détail, mais voyez comment les gens ont réagi sur slashdot. Debian est plutôt une large communauté, donc ses parts de marché sont moins quantifiable. http://slashdot.org/article.pl?sid=00/07/25/1444233&mode=nested
Pour recevoir cette gazette chaque semaine dans votre boîte à lettres, abonnez-vous à la liste de diffusion debian-news pour la version anglaise ou à la liste de diffusion debian-news-french pour la version française.
Les dernières parutions de cette gazette sont disponibles.
Ce numéro de la Debian Weekly News a été édité par Joey Hess.
Il a été traduit par Thomas Huriaux.