Artur a écrit :
C'est peut-être une question un peu naïve, mais est-ce raisonnable
d'utiliser des versions instables de Debian dans ce qui semble être un
environnement de prod ?
Ce n'est pas unstable mais testing parce que stable est un peu ancienne
pour les applications qui tournent sur cette machine.
Habituellement, je fais très attention aux mises à jours. Je n'ai pas
vu venir l'effet de bord (serveurs de mails distants qui refusaient la
renégociation sur TLS).
Nonobstant ceci, il est fort probable que ce paquet termine dans stable
avec tous les problèmes qui s'ensuivront. Nous sommes exactement dans la
situation d'il y a quelques années où un développeur Debian avait trouvé
malin d'optimiser le code d'OpenSSL en introduisant une subtile erreur.
Ici, on modifie le code de la bibliothèque parce que c'est certainement
plus sécurisant en se foutant éperdument des conséquences et des
problèmes d'interopérabilité. C'est un peu gênant. Et comme les logs se
trouvent sur les serveurs distants sur lesquels on n'a pas la main, il
peut se passer beaucoup de temps avant qu'on découvre le problème (je
m'en suis aperçu parce que deux domaines posaient problème en émission,
problème corrigé en patchant sendmail, et ce n'est qu'en analysant les
logs de sendmail que j'ai trouvé quelques lignes bizarres.).
Cordialement,
JKB
