Bonjour,
Un paragraphe a été ajouté à cette FAQ.
Les versions anglaise et française sont disponibles ici :
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/security/faq.wml
https://salsa.debian.org/webmaster-team/webwml/raw/master/english/security/faq.wml
La page sera visible à la prochaine reconstruction du site ici :
https://www.debian.org/security/faq.fr.html
Merci d’avance pour vos relectures et commentaires.
Amicalement.
--
Jean-Paul
#use wml::debian::template title="FAQ de l'équipe Debian sur la sécurité"
#use wml::debian::translation-check translation="c70a8e12192f3567899fd3eb74108e740d79dbfa" maintainer="Jean-Paul Guillonneau"
#include "$(ENGLISHDIR)/security/faq.inc"
# Translators:
# Denis Barbier, 2001-2004
# Pierre Machard, 2001-2004
# Thomas Marteau, 2004
# Simon Paillard, 2005-2009
# Jean-Édouard Babin, 2008
# David Prévot, 2011-2015.
# Jean-Paul Guillonneau, 2016-2023.
Une annonce de sécurité (DSA) est reçue émanant de
debian-security-announce, comment mettre à niveau le paquet vulnérable ?
Réponse : Comme il est indiqué dans le courriel de DSA, vous devez mettre
à niveau les paquets touchés par cette vulnérabilité annoncée. Cela peut être
fait simplement en mettant à niveau (après une mise à jour de la liste des
paquets disponibles avec apt-get update) tous les paquets composant
votre système avec apt-get upgrade, ou en mettant à niveau un paquet
particulier avec apt-get install paquet.
Le courriel d’annonce mentionne le paquet source dans lequel la
vulnérabilité était présente. Par conséquent, tous les paquets binaires issus
de ce paquet source doivent être mis à niveau. Pour connaître les paquets
binaires à mettre à niveau, consultez
https://packages.debian.org/search?lang=fr&keywords=src:nom_paquet_source
et cliquez sur [recherche ... noms de paquets] pour la distribution
à mettre à jour.
Il peut être nécessaire de redémarrer un service ou un processus en cours.
La commande https://manpages.debian.org/checkrestart";>checkrestart
fournie par le paquet https://packages.debian.org/debian-goodies";>debian-goodies peut aider
à déterminer lesquels.
La signature des avis de sécurité ne semble pas authentique !
R. : C'est sans doute dû à un problème de votre côté. La liste
https://lists.debian.org/debian-security-announce/";>\
debian-security-announce a un filtre qui n'autorise que les messages
avec une signature valable d'un membre de l'équipe chargée de la
sécurité.
Un de vos outils de messagerie doit légèrement modifier le message,
ce qui corrompt la signature. Vérifiez qu'aucun logiciel ne fait
d'encodage ou de décodage MIME, ou de substitutions entre
espaces et tabulations.
Les coupables habituels sont fetchmail (avec l'option mimedecode
activée), formail (venant de procmail 3.14 seulement) et evolution.
Comment la sécurité est-elle gérée dans Debian ?
R. : Dès que l'équipe en charge de la sécurité reçoit une
notification d'incident, un ou plusieurs de ses membres examinent
la situation et évaluent l'impact sur la version stable de Debian
(c'est-à-dire si elle est vulnérable ou non). Si notre système est
vulnérable, nous préparons une correction du problème. Le
responsable du paquet est lui aussi contacté, s'il n'a pas
déjà contacté l'équipe en charge de la sécurité. Enfin, la correction
est testée et de nouveaux paquets sont préparés ; ces paquets sont
compilés sur toutes les architectures stables puis envoyés.
Après toutes ces étapes, une annonce est publiée.
Pourquoi vous embêtez-vous avec une vieille version de ce paquet ?
R. : La règle la plus importante lors de la construction d'un nouveau
paquet qui corrige un problème de sécurité est de faire le moins de
modifications possibles. Nos utilisateurs et nos développeurs s'attendent
à ce que la distribution conserve son comportement d'origine.
Ainsi, toute modification, aussi petite soit-elle, peut éventuellement
casser le système de quelqu'un. C'est particulièrement vrai avec des
bibliothèques : assurez-vous de ne jamais modifier l'interface de
programmation d'applications (API) ou l'interface binaire de l'application
(ABI : Application Binary Interface).
Cela signifie que passer à une version amont plus récente n'est pas une
bonne solution. La modification doit plutôt être rétroportée.
En règle générale, les mainteneurs amont donnent un coup de main, sinon
l'équipe en charge de la sécurité pourrait aider.
Dans certains cas, rétroporter un correctif de sécurité n'est pas possible,
par exemple si une grande partie du code source doit être modifiée ou
réécrite. Dans ce cas, il sera peut-être nécessaire de passer à une
nouvelle version amont, mais cela devra se faire en coordination avec
l'équipe en charge de la sécurité.
Le numéro de version d'un paquet indique-t-il une version vulnérable ?
R. : Au lieu de passer à une nouvelle version, nous réalisons un
rétroportag