Problèmes de gestion de la sécurité chez Debian

Quand on parle de l'informatique moderne et des systèmes d'exploitation, s'il est une chose qui doit aller très vite, c'est la correction de failles et de problèmes de sécurité.
Connaissant aujourd'hui les dégats que peuvent causer une faille non comblée, on comprendra aisément l'importance d'une rapidité d'action la plus grande possible afin d'assurer la sécurité de chacun.

L'un des principaux avantages que les utilisateurs de systèmes Linux apprécient est justement cette réputation que les failles de sécurité sont souvent comblées en un temps record.
Si le phénomène peut s'expliquer par le fait que chaque distribution (et même plusieurs programmes indépendants) connait le soutien d'une communauté avec des développeurs amateurs qui passent leurs temps libres à travailler sur la recherche et la correction de failles, cette sécurité accrue est souvent due à une équipe de développement spécialisée qui mettent la majorité de leur temps et de leur passion à ce service.

Debian est bien connu pour cette sécurité que l'on confère aux systèmes Linux, d'une part parce qu'il est très utilisé, d'autre part parce que c'est une distribution qui équipe pas mal de serveurs sur internet. Elle connait également beaucoup de déclinaisons, donnant naissance à d'autres basées dessus (Ubuntu, Knoppix, etc...).

Malheureusement, Debian va mal en ce moment, et la communauté déplore, après avoir longtemps attendu la sortie de la dernière version stable de la distribution, le manque cruel de mises à jour de sécurité. On peut en effet constater sur le site de Debian que rien n'a été publié depuis le 3 juin, laissant les systèmes ouverts aux 4 vents depuis cette date.

Le problème a été dénoncé par le magazine allemand Heise, qui déplore que "depuis des semaines, plus aucune annonce, et même pire, plus aucun patch de sécurité pour Debian n'est apparu"
les logiciels incriminés sont nombreux et le magazine cite pour exemple SquirrelMail, SpamAssassin ou encore sudo.

Un mail a été envoyé par Heise Security à l'Email officiel de Debian Security et est resté sans réponse.

Il est apparu après enquète et une discussion plutôt houleuse sur la security mailing list de Debian qu'il s'agit en réalité de bien plus qu'un simple retard, mais bel et bien d'un malaise au sein de l'équipe de développement.
En effet, la discussion révèle que 4 des 5 membres de l'équipe de sécurité seraient devenus totalement inactifs et injoignables, que ce soit sur IRC ou sur les mailing list, le dernier croulant sous le travail à faire. On parle même de postes désertés pour des propositions plus interressantes ailleurs...

La sécurité tourne donc au ralenti chez Debian, mais tourne, comme l'indique la suite de cette discussion : "La situation semble être désormais sous contrôle et une annonce est déjà en préparation".

Espérons que la situation reprendra donc son cours normal et que les différentes tensions au sein même de l'équipe de développement de Debian trouveront enfin une issue et ne gèneront plus l'avancement du développement en lui-même.

Voir l'article de Heise (en allemand)
Acceder à la security mailing list de Debian (en anglais)

Source : linuxfr.org

détrompe toi ; la communauté du libre est très importante, mêrme au niveau développement ; les gens sont motivés. Là, les circonstances ont fait que les 5 principaux ne pouvaient plus assurer un suivi efficace en même temps...
Certes, certains arrêtent, d'autres prennent la relève.
Bénévolement ? Oui, sans problème.
Je suis développeur informatique mais rien n'empêche que je participe de façon très active, dans la limite de mes possibilités, à IDN, à Wikipedia, Ubuntu...

Onigiri toujours entrain de troller sur Debian
Plus sérieusement j'espère qu'ils vont arranger ça au plus vite comme ils ont l'habitude de le faire :-?

Sans debian, Ubuntu est dans la merde. Et jusqu'à preuve du contraire, Ubuntu n'est pas debian (pas les mêmes archs supportées, beaucoup moins de paquets ...)

Ubuntu a absolument les mêmes paquets que la debian ; il suffit de rajouter les dépots ou de les télécharger.

Ubuntu étant basée sur debian, elle n'aurait pas pu voir le jour sans celle ci mais elle est à présent totalement indépendante.

Pas toutes les architectures ? C'est vrai, debian se veut d'être supporté partout ; ubuntu uniquement sur les plus répandues.
Mais bon, ce n'est pas un reproche à faire à Ubuntu ; c'est simplement un choix...

Et puis ce n'est pas le sujet de savoir laquelle est la meilleure

ça devient énervant cette habitude de penser à ma place, et de me faire dire le contraire de ce que je dit.

j'utilise Ubuntu _ET_ Debian, et je suis _SATISFAIT_ des deux. Simplement elles n'ont pas la même cible, ça on est d'accord. Je ne fait pas le reproche à Ubuntu d'être basée sur debian, ni de supporter peu d'archis ... Ni de dire que Ubuntu saroxdespoules et Debian saipourlesgayz0r !

J'ai jamais dit que Ubuntu manquait de paquets indispensables.

Enfin, quand je dit que sans Debian, Ubuntu est dans la merde, je suis désolé, mais c'est la réalité. Ubuntu propose un packaging pour Debian, limitée à certaines architectures, et l'énorme majorité des paquets provient directement de Debian. Seuls quelques uns sont spécifiquements réalisés pour Ubuntu.

En clair, pour les ceusses qui sont pas foutus de comprendre plus loin que les mots, je ne vois pas en quoi la communauté Debian souffre de la présence de Ubuntu ! Debian a un avantage majeur sur Ubuntu : elle est sans aucun rapport avec une entreprise. Maintenant, il est clair que certains chez Debian semblent avoir des problèmes d'égo à l'égard de Ubuntu ... De là à mettre dans le même sac toute la communauté des développeurs et utilisateurs Debian, il y a un pas que tu as déjà franchis.

RIP.

J'ai juste dit que Ubuntu en pâtirait sévèrement. y'a rien de péjoratif là dedans. Encore une fois, vous vous amusez à détourner ma pensée !

Je suis absolument d'accord avec toi ;
Je ne savais pas qu'ils étaient partis pour un poste équivalent chez Ubuntu.

Je trouve que c'est un manque de sérieux chez certaines personnes ; si ce n'étaient que des participants mineurs, à la limite, soit.

Tiens, je vais tenter de faire la même chose au boulot : demain, je viens plus. C'est décidé et je laisse la surprise à mon chef de projet.

Je sais, le libre et le monde professionnel, c'est pas la même chose (bénévolat dans leurs cas, par exemple) mais le principe est le même : des personnes comptent sur toi ; si tu préviens à temps (préavis) ou même préviens tout simplement, des personnes pourront poursuivre ta tâche mais sinon, si personne n'avait réagi, combien de temps aurait pu se découler avant que les premiers soucis n'arrivent ?