On Fri, 13 Sep 2002, Marc Mongenet wrote: > Ce qui n'emp�che que Debian semble r�agir avec z�le > digne de Microsoft. :-( > http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=121101
Non, Microsoft r�agit relativement vite aux probl�mes de s�curit� depuis quelques ann�es, je donnerais ici plut�t comme exemple IRIX, Solaris, Red Hat Linux ou une des distributions anecdotiques comme TurboLinux, etc, qui mettent parfois des semaines, voire des mois, pour ne serait-ce qu'annoncer un probl�me de s�curit�. > D'ailleurs, sans vouloir troller, les bugs de Debian > sont-ils suivis ? Mon interpr�tation de ce que je vois > dans la (mauvaise) interface de bugs.debian.ch me fait > douter. Les bugs de s�curit� sont en r�gle g�n�rale corrig�s en premier sur Debian, puis sous d'autres distributions (exception: p.ex. les programmes d�riv�s d'OpenBSD qui sont en g�n�ral corrig�s en deuxi�me sous Debian). Cette remarque est bas�e sur l'exp�rience d'environ 3 mois de woody. Par contre il est vrai que certains autres probl�mes restent longtemps non r�solus. Il faut en g�n�ral attendre la prochaine `bug squash party' pour qu'ils soient r�solus -- certains. A mon avis, ce probl�me n'est pas sp�cifique � woody: c'est un probl�me g�n�ral de la libc6 2.2.5 (vraisemblablement). A voir la liste de bugs de libc6: http://bugs.debian.org/cgi-bin/pkgreport.cgi?which=pkg&data=libc6&archive=no certains des bugs ouverts ont �t� patch�s sur stable (woody), voire testing. S'ils sont encore ouverts c'est parce qu'une branche (unstable?) n'a pas le fix. > La solution propre me semblerait d'interdire � la libc la > r�solution pour IPv6. Est-ce th�oriquement et pratiquement > possible ? A mon avis, le bug a �t� transmis aux `upstream developers', donc il y a probablement une correction qui a �t� d�velopp�. N'ayant pas beaucoup de temps en ce moment je n'ai pas eu le temps de regarder (*). Si tu as le temps, tu pourrais voir dans la source officielle libc6, ou chez d'autres distributions (en particulier SuSE a une excellente base de support) si le probl�me se pose aussi, et s'il a �t� r�solu. Puis �ventuellement rapporter tes trouvailles � debian-security, en particulier s'il y a `information leak'. (*) de plus mes machines en dial-up fonctionnent avec aucun resolver actif, sauf pour un processus squid chroot� et c'est tout. Ca �vite pas mal de causes de dialup intempestives. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se d�sabonner aussi.
