On Mon, Feb 24, 2003 at 04:37:52PM +0100, Yann SOUCHON wrote: > Je suis étonné, car en général, Debian sort les corrections en premier.
Gentoo est aussi pas mal bien souvent. En fait, les deux distributions catastrophiques sont SuSE et Red Hat en ce moment (Red Hat sort parfois des patches plusieurs mois après, c'est même pire que Microsoft, faut le faire). En ce qui concerne le délai de la Debian, je suppose qu'il s'agit du travail nécessaire au back-port à woody (on ne peut pas simplement changer ainsi la version SSL: il faut appliquer un patch à la version précédente). De plus, il y a plusieurs versions de SSL maintenues dans Debian, et potato est toujours maintenue. Enfin, il y a 13 architectures à supporter. Le bug décrit n'étant pas un bug susceptible de piratage de root, par exemple, et nécessitant tout de même pas mal de travail (DNS spoofing ou interception de paquets), je comprends qu'il y ait eu quelques jours pour tester sur 13 architectures. PS: quelqu'un connaît le status des autres implémentations de SSL, comme par exemple celles utilisées sous environnements propriétaires ? D'après ce que j'ai lu, cette vulnérabilité ne concerne pas que OpenSSL. > Est-ce lié au weekend ? Jusqu'ici je n'ai pas vu ce phénomène. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.