On Mon, Feb 24, 2003 at 04:37:52PM +0100, Yann SOUCHON wrote:
> Je suis étonné, car en général, Debian sort les corrections en premier.
Gentoo est aussi pas mal bien souvent. En fait, les deux distributions
catastrophiques sont SuSE et Red Hat en ce moment (Red Hat sort parfois
des patches plusieurs mois après, c'est même pire que Microsoft, faut le
faire).
En ce qui concerne le délai de la Debian, je suppose qu'il s'agit du
travail nécessaire au back-port à woody (on ne peut pas simplement
changer ainsi la version SSL: il faut appliquer un patch à la version
précédente).
De plus, il y a plusieurs versions de SSL maintenues dans Debian, et
potato est toujours maintenue. Enfin, il y a 13 architectures à
supporter.
Le bug décrit n'étant pas un bug susceptible de piratage de root, par
exemple, et nécessitant tout de même pas mal de travail (DNS spoofing ou
interception de paquets), je comprends qu'il y ait eu quelques jours
pour tester sur 13 architectures.
PS: quelqu'un connaît le status des autres implémentations de SSL, comme
par exemple celles utilisées sous environnements propriétaires ?
D'après ce que j'ai lu, cette vulnérabilité ne concerne pas que
OpenSSL.
> Est-ce lié au weekend ?
Jusqu'ici je n'ai pas vu ce phénomène.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se désabonner aussi.
