Le 03. 10. 17 à 16:15, Daniel Cordey a écrit :
On 03. 10. 17 08:36, Claude Paroz wrote:
Je ne suis pas vraiment ce raisonnement. Le principe du LTS, c'est
justement de garantir les backports de sécurité sur une période
longue sur un même paquet. Sinon, ce n'est plus du LTS.
Sans vouloir avoir l'air d'insisté... (c'est dans l'article)
"The problem is that the bug lived on in long-term support (LTS)
versions of Linux, which are often used in server Linux distributions.
In particular, Qualys found that "All versions of CentOS 7 before 1708
(released on Sept. 13, 2017), all versions of Red Hat Enterprise Linux
7 before 7.4 (released on Aug. 1, 2017), and all versions of CentOS 6
and Red Hat Enterprise Linux 6 are exploitable." The bug is also
present in Debian-based Linux distributions."
Bingo !
Et, ce n'est pas moi qui le dit :-)
https://security-tracker.debian.org/tracker/CVE-2017-1000253
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-1000253.html
Je n'ai pas cherché pour les autres distributions, mais je pense que
l'auteur devrait plus se renseigner avant de dire des conneries. Un peu
déçu de SVN sur ce coup.
Du moment qu'il y a une vulnérabilité connue avec un CVE, toutes les
versions LTS officiellement prises en charge vont patcher leur code.
Après, les temps de réaction varient, mais c'est aussi le cas pour les
autres distributions type rolling.
Claude
--
www.2xlibre.net
_______________________________________________
gull mailing list
[email protected]
http://forum.linux-gull.ch/mailman/listinfo/gull
