On Sun, Dec 01, 2013 at 03:21:14PM +0100, maderios wrote: > Chaque nouvelle version de noyau créant des possibilités de > nouvelles failles, un patch sécurité créé par les dev kernel pour un > récent noyau "F" répondra aux besoins spécifiques de "F" et non à > un noyau ancien "B" abandonné_EOL_end of life_fin de vie. Donc > cette histoire d'appliquer des patches sécurité récents à des noyaux > anciens pour sécuriser vraiment ces derniers n'est pas très > crédible, même si certaines des failles sur les EOL peuvent être > corrigées parce qu'elles sont communes avec des failles affectant le > nouveau noyau. Je souhaiterais trouver une explication satisfaisante > mais pour l'instant rien qui tienne la route...
On ne parle pas d'appliquer "bêtement", effectivement souvent ça ne marcherait pas. Bon, après avoir retiré les pronoms, je rajoute toutes les étapes en essayant de supprimer également les mots intérprétables comme "voit" et "patch". - Debian package un noyau de version X - L'équipe noyau continue son travail, créé un noyau X+1, X+2,... et cesse (pratiquement instantanément, si je me souviens bien) de s'occuper du noyau X - À chaque sortie d'un nouveau noyau X+Y, l'équipe Debian Sécu lit le ChangeLog en entier. Si elle trouve un correctif lié à de la sécu dans ce changelog, elle passe à l'étape suivante, sinon (pas de correctif sécu) elle attend la prochaine version - Pour chaque correctif lié à de la sécu, l'équipe Debian sécu regarde si ce correctif est applicable au noyau X (évidemment, une faille dans un pilote qui n'existe pas dans X n'est pas applicable). S'il est applicable, alors: - L'équipe Debian Secu regarde la vulnérabilité et sa correction, et change le code de X pour la réparer. Peut-être simplement en appliquant le patch de la version X+Y, ou peut-être en écrivant directement dans le code, car l'équipe Debian Secu contient également des programmeurs. - L'équipe Debian Secu package et publie ce nouveau noyau, obsolète, mais contenant des mises à jour pour des vulnérabilités trouvées sur X+Y. Et, comme je disais dans un autre mail, dis-toi que le le suivi de sécurité d'absolument *toutes* les applications de toutes les distributions se fait de la même façon. Il n'y a aucun développeur d'application qui puisse se permettre de faire du suivi de sécurité sur toutes les versions de son application qui sont intégrées dans des distributions; de façon générale, les développeurs ne travaillent que sur la dernière version, et ce sont les distributions qui font ce suivi. Par exemple, si j'ai publié un logiciel "trucmuche", et que Debian package la version 2.3, RedHat package la version 2.5, Ubunti package la version 3.2, Slackware package la version 1.3, il m'est impossible (et je ne voudrais pas) m'assurer que toutes ces versions sont sûres. Moi, je continue à travailler sur ma version 3.5, et si elle inclue des mises à jour de sécu, ce sont les mainteneurs de chaque distrib (qui sont abonnés à ma mailing list, lisent les ChangeLog etc) qui vont aller réparer dans leurs version respectives. Malgré tous les fantasmes qu'il porte, le noyau Linux n'est qu'une application parmi d'autres, particulièrement de ce point de vue. Il n'y a donc aucun problème à utiliser un noyau ancien tant qu'il est bien dans Debian stable, de la même façon qu'il n'y a aucun problème à utiliser un Firefox un peu ancien, tant qu'il est bien dans Debian stable. Est-ce plus clair? Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: http://lists.debian.org/[email protected]
