Nouvelles du projet Debian - 26 mai 2008

Nous avons le plaisir de vous présenter le troisième numéro de l'année des « Nouvelles du Projet Debian ». Steve McIntyre a envoyé de nouvelles Brèves du DPL. Un problème grave dans le paquet OpenSSL de Debian a été corrigé récemment. Le projet Debian discute d'une structure d'archive pour les très gros paquets.

Brèves du DPL

Steve McIntyre a publié de nouvelles brèves du DPL, rendant compte de ses activités récentes en tant que Chef du Projet Debian (DPL). Il commence par indiquer quelques entretiens qu'il a donnés récemment et poursuit en parlant des changements humains dans les équipes fondamentales de Debian. Jonathan McDowell a été ajouté comme responsable du trousseau de clés et est déjà en train de travailler avec James Troup sur une intégration plus facile de ce trousseau dans notre système LDAP, pour une meilleure coopération avec les administrateurs système de Debian. Il remercie Anthony Towns, qui s'est retiré de la plupart des équipes dans lesquelles il était.

Enfin et surtout, il s'exprime au sujet de la conférence Debian à venir, à Mar del Plata en Argentine. Les efforts d'organisation se poursuivent plutôt bien, avec l'annonce prochaine des exposés, des discussions et du financement du voyage. Mais, comme toujours, les organisateurs sont encore à la recherche de plus d'entreprises ou de personnes pour financer la conférence — nous vous prions de contacter sponsors@debconf.org si vous pouvez aider.

La faiblesse d'OpenSSL dans Debian affecte de nombreux autres paquets

Luciano Bello a découvert que le générateur de nombres aléatoires du paquet openssl de Debian est prévisible. Cela est dû à un changement incorrect, spécifique à Debian, dans le paquet openssl (CVE-2008-0166). Par conséquent, les clés cryptographiques peuvent être devinées. Les clés affectées incluent les clés SSH, les clés OpenVPN, les clés DNSSEC et les clés qui sont utilisées dans les certificats X.509 et dans les clés de session utilisées dans les connexions SSL/TLS. Les clés générées avec GnuPG ou GNUTLS ne sont pas affectées. Cependant, les autres systèmes peuvent être indirectement touchés si des clés faibles y sont importées.

Peu après la découverte de Luciano, des paquets corrigés ont été créés et — à cause de la gravité du problème — un nouveau paquet OpenSSH, qui régénère automatiquement les clés éventuellement compromises et présentant une mise sur liste noire des clés potentiellement touchées des utilisateurs, a été publié. Au même moment, un logiciel de détection (signature GPG) a été écrit et constamment amélioré dès lors, et des procédures détaillées de test et de mise à jour pour les différents paquets de logiciels ont été rassemblées.

Nous sommes désolés pour toute gêne causée par cela et nous voudrions remercier toutes les personnes qui ont aidé à résoudre ce problème si vite et sans aucune conséquence majeure.

Des discussions sur les moyens d'empêcher de tels accidents dans le futur ont déjà été commencées sur diverses listes.

Transition vers Perl 5.10

Marc Brockschmidt a annoncé l'achèvement de la transition en cours vers Perl 5.10 comme version par défaut pour la publication de la distribution stable à venir.

Il a noté que, pour cette transition, plus de 400 paquets ont été mis à jour dans testing, avec notamment des mises à jour pour heimdal, clamav et sendmail/libmilter. Les prochaines mises à jour, plus petites, sont planifiées pour xulrunner, ocaml, ffmpeg, poppler et nautilus.

Backports.org méconnu ?

Alors qu'il faisait un tri des plus vieux bogues attribués à OpenOffice.org, Lior Kaplan a remarqué que beaucoup d'utilisateurs n'étaient pas conscients de l'existence de backports.org, un service non officiel fournissant des paquets mis à jour pour les utilisateurs de la version stable de Debian.

Dans la discussion qui a suivi, plusieurs propositions pour une meilleure intégration de ce service dans Debian ont été faites. Gerfried Fuchs a résumé l'état actuel des discussions.

Les très gros paquets dans Debian

Après que des membres de l'équipe Debian des jeux (et d'autres responsables de paquets de grosses données génériques) se sont interrogés sur les limitations de taille dans l'archive Debian (et son infrastructure) à propos des paquets, Jörg Jaspert a rejoint la discussion en tant que gestionnaire de l'archive (« ftp-master ») et a résumé les possibilités pour résoudre les problèmes. Il penche en faveur de la création d'une nouvelle archive pour les gros paquets (qui contiendrait des données indépendantes de l'architecture) et si possible d'un changement de la politique de Debian pour permettre aux paquets dépendant de telles données (uniquement disponibles dans cette nouvelle archive) de rester dans la section main.

État de SANE

Depuis que SANE (« Scanner Access Now Easy » ou « accès au scanner maintenant facile », un système pour accéder aux scanners) travaille à améliorer son interface, Julien Blache a donné une vue d'ensemble sur ses intentions pour les paquets SANE dans la publication à venir, Lenny. SANE devra conserver l'interface actuelle, mais Julien a l'intention de rétroporter (« backport ») quelques améliorations importantes de la branche de développement, et demande des retours.

Pistes pour de nouveaux projets de logiciels libres

Francois Marier a donné des pistes sur la manière de choisir une licence pour les projets de logiciels libres. Il conclut qu'utiliser une licence incompatible avec les licences les plus utilisées comme la GNU General Public License (GPL) est aussi mal que d'écrire sa propre licence.

Neil Williams a ajouté quelques indications plus générales.

Autres nouvelles

Sven Joachim s'est interrogé sur l'état de la traduction des paquets pour enigmail, un outil GnuPG pour le client mail Icedove. Alexander Sack a répondu qu'il allait les ajouter dans le paquet principal.

Jörg Jaspert a proposé de standardiser les en-têtes ajoutés aux messages électroniques par les divers outils utilisés par Debian.

Enrico Zini a publié un petit guide sur le partitionnement conditionnel avec l'installateur Debian pour préserver des partitions dans des installations non prévues pour. Il a déjà écrit un petit guide sur la création avec simple-ccd de clés USB démarrables.

Depuis que la base de données utilisée par packages.debian.org contient seulement les paquets supportés et à venir, Frank Lichtenheld a créé archive.debian.net qui est aussi capable de chercher des paquets parmi les publications archivées. Malheureusement, il y a quelques lacunes.

Martin Krafft a commencé à rassembler les ajouts notables, les changements et autres améliorations dans la prochaine publication stable Debian, Lenny, sur le wiki. Nous vous prions d'apporter votre aide et de contribuer à cette page.

Paquets qui ont besoin de travail

Actuellement 433 paquets sont orphelins et 104 paquets sont prêts pour l'adoption. Veuillez examiner les récents rapports s'il y a des paquets qui vous intéressent.

Vous voulez continuer à lire les DPN ? Vous pouvez nous aider à créer cette lettre d'information. Nous avons toujours besoin de volontaires qui observent la communauté Debian et nous rendent compte de ce qu'il s'y passe. Veuillez consulter la page de contribution pour trouver des explications sur la façon de participer. Nous attendons vos courriels à l'adresse : debian-publicity@lists.debian.org.


Pour recevoir cette gazette dans votre boîte à lettres, abonnez-vous à la liste de diffusion debian-news pour la version anglaise ou à la liste de diffusion debian-news-french pour la version française.

Les dernières parutions de cette gazette sont disponibles.

Ce numéro des Nouvelles du projet Debian a été édité par Luca Bruno, Meike Reichle et Alexander Schmehl.
Il a été traduit par Thomas Péteul.