Bonjour nal,
Si je prends la plume si précipitamment aujourd'hui, c'est parce qu'il est urgent de t'avertir d'une faille critique dans le code d'une librairie qui t'es chère. En effet, un dépassement de tampon dans l'implémentation Openssl de l'extension "heartbeat" du protocole TLS a été découvert. Je suppose que tu as le coeur brisé par cette nouvelle, mais je t'en supplie, ton sang ne doit faire qu'un tour, et tu dois migrer vers une version sûre, comme la 1.0.1.g.
# La bourre
Posté par Guillaume Rossignol . Évalué à 10.
Ça a été un gros coup de pression ce matin au boulot, mais c'est fait \o/
# Rolling release
Posté par StreakyCobra . Évalué à 0.
Maintenant que tu le dis, je n'y ai pas fait attention ce matin:
Sachant que la CVE à été dévoilée hier (le 2014-04-07), la réactivité ça laisse… rêveur.
[^] # Re: Rolling release
Posté par claudex . Évalué à 10.
Ça n'a rien à voir avec les rolling release, Debian aussi est à jour https://www.debian.org/security/2014/dsa-2896
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Rolling release
Posté par StreakyCobra . Évalué à -1.
(Préambule: je ne connais pas bien le monde de Debian, corrigez moi si je me trompe)
Il faut bien espérer que toutes les distributions corrigent vite le problème vis à vis de la gravité du problème. Je constatais juste qu'avec du rolling release la correction était rapide et transparente pour l'utilisateur. Mais de toute façon ça n'a pas grande importance, qui utiliserai du rolling release sur un serveur ;-) ? (Pchuuut baissez les bras)
Cela semble être à jour dans sid (testing), mais pas dans les plus vieilles versions: par exemple jessie semble vulnérable. Après je ne sais pas si une simple mise à jour des packages sur une jessie corrige la faille ou non. Si c'est le cas, mea culpa.
[^] # Re: Rolling release
Posté par Anthony Jaguenaud . Évalué à -4.
Jessie sera vulnérable encore 15 jours trois semaines. C'est dû au processus de validation des paquets. Ils rentrent dans sid, et si ça ne casse rien, au bout de 15 jours trois semaines, c'est automatiquement descendue dans "testing". Après, il est fortement déconseillé d'utiliser testing à d'autre fin que du test. Le bon choix reste stable ou sid.
[^] # Re: Rolling release
Posté par chimrod (site web personnel) . Évalué à 10.
Non c'est faux, il y a une procédure pour faire passer les corrections de sécurités en urgence, voir le projet testing-security pour plus de détail.
[^] # Re: Rolling release
Posté par Anthony Jaguenaud . Évalué à 2.
Merci de l'information.
[^] # Re: Rolling release
Posté par Anonyme . Évalué à 4.
Si personne ne s’occupe du paquet, ce n’est pas parce que c’est du rolling-release que ça changera quelque chose…
# dans Debian
Posté par Thomas Debesse (site web personnel) . Évalué à 5.
Dans Debian, la 1.0.1e-2+deb7u5 est ok, cf. https://security-tracker.debian.org/tracker/CVE-2014-0160 ;)
ce commentaire est sous licence cc by 4 et précédentes
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.