Nouvelles hebdomadaires Debian - 13 février 2001

Nous avons le plaisir de vous présenter la 5e DWN de l'année, la lettre d'information hebdomadaire de la communauté Debian.

La campagne pour le poste de chef de projet bat son plein. Anand Kumria, Bdale Garbee et Branden Robinson ont rejoint Ben Collins en posant leur candidature. La date des élections a été reportée, étant donné que les hostilités ont été tardivement lancées. L'appel à candidatures se finit aujourd'hui, et les choses sérieuses vont vraiment commencer.

Un changement majeur a été appliqué au processus d'accueil des nouveaux responsables. Les candidats doivent dorénavant obtenir une recommandation d'un développeur Debian avant de pouvoir commencer le processus. On espère ainsi réduire le nombre de personnes qui ne sont pas sérieuses et qui espèrent devenir développeurs, et accélérer ainsi le processus pour les autres. Dans un courriel expliquant les nouvelles exigences, Martin Michlmayr a prédit que pour « tous ceux réellement intéressés par Debian, l'obtention de la recommandation ne serait pas un problème — s'il a déjà un paquet dans Debian, son parrain peut le recommander ; s'il a travaillé sur un portage de Debian, sur les pages web ou sur les disquettes de démarrage, alors il connaîtra suffisamment de développeurs pour le recommander ».

Différents problèmes avec la distribution de test sont apparus durant les quelques dernières semaines. Une version cassée de lilo a été intégrée à celle-ci par accident, et nous avons eu la répétition des problèmes que les utilisateurs de la distribution instable avaient rencontrés. Ensuite, une nouvelle version de console-tools est entrée dans la distribution de test, mais il est apparu qu'il y avait une dépendance non déclarée dans la version instable de debconf. Beaucoup d'autres paquets cassés pour une raison ou l'autre ont été retirés de la branche de test jusqu'à ce qu'ils soient corrigés. Ces problèmes montrent que la gestion de la distribution de test ne peut pas être totalement automatisée ; elle a besoin d'une surveillance humaine, comme toutes les autres branches de Debian. Elle est destinée à être à mi-chemin entre les versions stable et instable, en visant à la fois l'actualisation et la possibilité de l'utiliser. Elle atteint cet objectif, même si elle demande un peu plus d'efforts de surveillance que ce à quoi nous nous attendions. Mais un problème plus inquiétant avec cette distribution est également apparu.

Les corrections de sécurité arrivent dans la distribution de test aussi lentement que tout autre paquet mis à jour à partir de la branche instable. Alors que la version stable profite de security.debian.org pour fournir des corrections de sécurité rapides et que la distribution instable voit les corrections intégrées en général immédiatement, celles-ci n'arrivent pas dans la branche de test tant qu'elles n'ont pas été compilées pour toutes les architectures et tant que leurs dépendances n'ont pas été entièrement testées. Des bogues critiques pour la parution, pourtant non liés, peuvent également maintenir les corrections de sécurité en dehors de la branche. Ainsi, tant que la distribution de test se veut à jour mais peu encline aux cassures, les corrections de sécurité peuvent être retardées trop longtemps. Une des solutions à ce problème serait de rajouter une section pour la version de test à security.debian.org, mais peu de personnes y sont favorables dans la discussion, sûrement à cause du travail supplémentaire que cela impliquerait.

Nouvelles de la distribution instable. ifconfig était cassé hier, à un point tel que les machines étaient incapable d'avoir du réseau. Une correction sera probablement disponible à l'heure où vous lirez ceci, mais il existe cependant un contournement au problème. Un manque de mémoire dans les expressions rationnelles dans libc a été accidentellement introduit hier ; un des symptômes observables est la saturation de la mémoire. Enfin, une importante réorganisation de perl est en cours : les nouveaux paquets de perl dans la section « Incoming » incluent de nombreux changements de noms et d'autres modifications qui nécessiteront de recompiler tous les paquets de modules de perl.

Quatre mises à jour de sécurité sont sorties récemment. Openssh a un bogue lié à un dépassement de tampon distant qui peut permettre l'accès à distance au superutilisateur. Le ssh non libre est également vulnérable à ces failles mais le paquet corrigé n'est pas disponible. La mise à niveau vers openssh est recommandée. Un paquet de mises à jour de sécurité pour la version de xfree86 dans la distribution stable a été publié. Cela corrige des attaques par déni de service, un grand nombre de dépassements de tampon et beaucoup de problèmes de fichiers temporaires. man-db a un bogue de format de chaîne de caractères qui permet à des attaquants locaux de lancer du code en tant qu'utilisateur « man ». Différentes vulnérabilités par déni de services dans proftpd ont également été corrigées.

Les branches expérimentale et des mises à jour proposées, longtemps gardées éloignées de l'archive Debian, ont été déplacées dans des dépôts de paquets. La nouvelle configuration devrait être plus propre. James Troup en a expliqué les détails.


Pour recevoir cette gazette chaque semaine dans votre boîte à lettres, abonnez-vous à la liste de diffusion debian-news pour la version anglaise ou à la liste de diffusion debian-news-french pour la version française.

Les dernières parutions de cette gazette sont disponibles.

Ce numéro de la Debian Weekly News a été édité par Joey Hess.
Il a été traduit par Thomas Huriaux.