Le site Distrowatch propose un très intéressant tableau comparatif pour voir le temps de réaction des principales distributions lors de la récente alerte de sécurité du noyau Linux.
Quel a été le délai entre la publication générale de l'alerte sur tous les sites (le 11 février) et la mise à disposition du patch correcteur par les différentes distributions ?
Distribution => Delay
Debian GNU/Linux => +0 hours
Fedora => +8 hours
Slackware Linux => +12 hours
Mandriva Linux => +19 hours
Frugalware Linux => +21 hours
openSUSE => +23 hours
rPath Linux => +26 hours
Red Hat Enterprise Linux => +27 hours
Ubuntu => +27 hours
CentOS => +37 hours
Le site Distrowatch souligne néanmoins qu'il ne faut pas surinterpréter ces chiffres. Certaines distros proposent le support de diverses architectures alors que d'autres ne sont disponibles pour les CPU les plus répandus. Il est évident que le temps de réaction ne sera pas le même.
De même les grosses distros commerciales (Red et Suse) testent certainement plus longtemps leurs patchs car les clients qui payent n'aiment pas les problèmes lors des mises à jour.
L'article de Distrowatch indique également que certaines distros (Arch ou Zenwalk par exemple) n'ont toujours pas proposé le patch correcteur à leurs utilisateurs.
# ArchLinux...
Posté par finss (site web personnel) . Évalué à 4.
J'ai fait le test avec l'exploit : il ne fonctionne plus sur ma machine depuis cette mise à jour.
\_o<
[^] # Re: ArchLinux...
Posté par patrick_g (site web personnel) . Évalué à 3.
Peut-être que Arch patche ses noyaux mais ne publie pas d'alerte de sécurité ? (auquel cas c'est mieux que pas de patch mais c'est quand même pas terrible).
[^] # Re: ArchLinux...
Posté par _seb_ . Évalué à 5.
Il ne s'agit pas, en effet, d'une alerte de sécurité en tant que t elle. La mise à jour devait, initialement, être une "remise à niveau" du noyau vers une version plus récente. Cette remise à niveau s'est accompagnée du patch correctif de la récente alerte de sécurité du noyau Linux. Il s'agit d'un très chanceux hazard que la date de mise à jour du noyau concordait avec l'application d'un correctif de sécurité important du noyau.
Il est vrai que la référence au correctif est discret dans le communiqué.
[^] # Re: ArchLinux...
Posté par Marc Poiroud (site web personnel) . Évalué à 5.
Que ArchLinux ne fasse pas de patch de sécurité est normal, la mise à jour suffit.
[^] # Re: ArchLinux...
Posté par dinomasque . Évalué à 2.
BeOS le faisait il y a 20 ans !
[^] # Re: ArchLinux...
Posté par Marc Poiroud (site web personnel) . Évalué à 3.
Bien que je comprends pas la différence entre les deux, c'est une mise à jour, après c'est que littérature !
[^] # Re: ArchLinux...
Posté par MrLapinot (site web personnel) . Évalué à 4.
[^] # Re: ArchLinux...
Posté par Marc Poiroud (site web personnel) . Évalué à 1.
Nous faisons des mises à jour de noyau à chaque changement mineurs, cad :
* 2.6.23.1
* 2.6.23.2
* 2.6.23.3
…
* 2.6.24.1
Pour archlinux une mise à jour est un un élément normal, donc lorsque le correctif fût dispo, le mainteneur a diffuser le noyau 2.6.24.1-2 (où -2 est propre à Arch) avec le prepatch du noyau 2.6.24.2.
Effectivement, on télécharge et installe tout le noyau.
En espérant avoir éclairé ce point sombre sur la compréhension du fonctionnement de ArchLinux.
[^] # Re: ArchLinux...
Posté par MrLapinot (site web personnel) . Évalué à 2.
[^] # Re: ArchLinux...
Posté par Gof (site web personnel) . Évalué à 4.
Tu utiliserais une distribution bleeding edge pour un serveur critique ?
[^] # Re: ArchLinux...
Posté par CrEv (site web personnel) . Évalué à 1.
Voir même du gentoo
[^] # Re: ArchLinux...
Posté par IsNotGood . Évalué à 1.
Comme pour Fedora et Red Hat et Debian (celui-ci avait de l'avance) et d'autres.
C'est un chose de pousser un patch dans un cvs, c'est une autre de tout construire ,synchroniser sur les mirroirs et faire l'annonce.
Un exemple pour F8 :
http://koji.fedoraproject.org/koji/buildinfo?buildID=35322
Started Sun, 10 Feb 2008 14:23:20 MST
Completed Sun, 10 Feb 2008 18:15:31 MST
Pour i686, x86_64, ppc, ppc64 (les architectures supportées par Fedora).
Donc c'était en download (les binaires) depuis 10 Feb 2008 18:15:31 MST. Mais pas sur les mirroirs, sans annonces, etc.
# Pas compris
Posté par psychoslave__ (site web personnel) . Évalué à 8.
Bref, je sais pas ce qu'on peut vraiment tirer de ces chiffres, mais cette phrase ne m'a pas l'air pertinente.
[^] # Re: Pas compris
Posté par Psychofox (Mastodon) . Évalué à 2.
Si elle existait "officiellemen" sur autant d'architectures que debian, je ne crois pas que slackware aurait été la 3ème plus rapide étant donnée le nombre de mainteneur restreint.
[^] # Re: Pas compris
Posté par patrick_g (site web personnel) . Évalué à 3.
Frugalware par exemple ne supporte que les x86 et x86_64 alors que Red Hat Enterprise Linux support beaucoup plus d'archis.
[^] # Re: Pas compris
Posté par Frédéric COIFFIER . Évalué à 1.
Je suis paranoïaque ?
[^] # Re: Pas compris
Posté par djibb (site web personnel) . Évalué à 4.
[^] # Re: Pas compris
Posté par Colin Leroy (site web personnel) . Évalué à 10.
[^] # Re: Pas compris
Posté par patrick_g (site web personnel) . Évalué à 4.
Oui puisque je suis ubuntiste.
# Debian rules !
Posté par Phoenyx . Évalué à 2.
Debian rules !
Bon ok, en dehors du troll :
0 heures , c'est quoi ce chiffre ?
Ca voudrais dire que le correctif serait parru dans l'heure ? impressionnant.
Doit-on en conclure que Debian c'est mieux que %%Votre distrib préférée%%, (je pense que oui :) ).
Sachant que l'ecart entre Debian et son suivant est de 8 heures, ne doit on pas y voir de la précipitation du côté de Debian ? (je pense que non)
[^] # Re: Debian rules !
Posté par nullisimo . Évalué à 2.
Ca voudrais dire que le correctif serait parru dans l'heure ? impressionnant.
Pour les failles critiques les "vendors" sont generalement prevenus a l'avance. Generalement, ca se passe en 3 temps (sans compter la premiere etape ou le projet apprend qu'il a un joli trou de secu ;))
1. Annnonce de la failles aux security officers/maintainers, avec souvent un correctif
2. Quand les principaux acteurs sont prevenus/prets, une date et une heure sont choisies pour l'annonce publique.
3. une fois annoncee, tout le monde applique le fix (commits dans les repos, mise a jour des packages, etc...)
Note: il peut s'ecouler plusieurs jours/semaines/mois entre la phase 1 et 3.
[^] # Re: Debian rules !
Posté par ß ß . Évalué à 6.
Ca voudrais dire que le correctif serait parru dans l'heure ? impressionnant.
Non, c'est n'est pas ça.
Sur la page c'est bien marqué que la faille a été découverte le 8 et corrigée à partir du 11.
À partir de ce moment là Debian est pris comme temps de référence. Et le nombre d'heure des autres distribs, c'est le temps en plus qu'elles ont mis à corriger.
Un peu comme dans une course automobile, la première au vainqueur correspond le temps qu'il a mis. Pour les autres, on met un différentiel par rapport au premier.
J'aurai préféré qu'on mette le temps de l'annonce en référence, ce serait plus parlant. On verrai bien qu'entre 3 jours et 3 jours et 8 heures, la différence n'est pas si grande que ça. Par contre entre 3 jours et 5 jours, ça commence à faire beaucoup. (Pas pour dénigrer Debian, c'est ma distrib et je suis content de voir qu'elle a été la plus réactive. Juste parce que je trouve que ça aurait été plus parlant).
Une autre chose aussi. Dommage que Distrowatch soit à ce point imprécis. Ils donnent des dates et des heures, pas pas de fuseau horaire de référence... En général ça ne m'étonne pas de cerains habitants des États Unis (pas tous hein, je ne généralise pas) qui sont relativement ignorant qu'il y a quelque chose en dehors de leur frontières, mais là... Même aux USA il y a plusieurs fuseaux horaires. Ils devraient le savoir non ?
Bref on n'est pas le 8/02 partout dans le monde en même temps, et pour les heures de référence, c'est encore pire... D'autant que leurs commentaires sont exprimés en GMT. Probablement le fuseau retenu pour ce comparatif ?
[^] # Re: Debian rules !
Posté par imalip . Évalué à 2.
Si seulement le systeme sous-jacent pouvait etre aussi simple que ca...
/me retourne a la réecriture de son projet actuel, poetiquement appelé "FOMTeamClient"
[^] # Re: Debian rules !
Posté par patrick_g (site web personnel) . Évalué à 2.
Ladislav (l'auteur de Distrowatch) vit à Taiwan je crois.
[^] # Re: Debian rules !
Posté par Misc (site web personnel) . Évalué à 2.
( non, j'ai pas dit qu'ils ont aucune vie, pas du tout )
[^] # Re: Debian rules !
Posté par IsNotGood . Évalué à -1.
C'est pour un bug seulement !
> Doit-on en conclure que Debian c'est mieux que %%Votre distrib préférée%%, (je pense que oui :) ).
Pour ce bug, oui.
# Slackware
Posté par Mr_Moustache . Évalué à 2.
Patcher la dernière stable, c'est bien, mais qu'en est-il des autres ?
Bon ok, le 2.6.17 fournit dans la 11.0 est dans extra/, ça n'empêche que l'install via NFS l'utilise ...
# Et Gentoo ?
Posté par Mathieu . Évalué à 3.
Je sais bien qu'on ne peut pas y mettre toutes les distributions mais elle reste quand même assez répandue.
La faille n'est pas encore corrigée ?
Il y a eu un soucis de communication (pas de publication du correctif) ?
[^] # Re: Et Gentoo ?
Posté par timid . Évalué à 2.
# un truc pareil pour les admins?
Posté par abramov_MS . Évalué à 1.
[^] # Re: un truc pareil pour les admins?
Posté par WH (site web personnel) . Évalué à 4.
[^] # Re: un truc pareil pour les admins?
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
Nan, je pense que les admins de machines critiques sont de BOFH, et qu'ils ont bien raison...
Bon, il y a certainement des cas problématiques (de mise à jour, pas d'admin) mais ca se règle très facilement... avec un BSD ^^
[^] # Re: un truc pareil pour les admins?
Posté par Romeo . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.