Bungiorno lista ! Qualche mese fa avevo aperto un post dove facevo notare che (stranamente) alcuni pacchetti (sicuramente marginali) di Debian venivano sicurizzati dopo tempi davvero lunghi. Era successo un mezzo putiferio, sono stato zitto, mi sarò sbagliato, bho..
Background: Uso un server Debian per erogare corsi on-line utilizzando la diffusissima piattaforma Moodle. La macchina è una 100% stable ma il pacchetto Moodle non è quello di Debian, lo seguo e lo aggiorno dal sito ufficiale. Il 9 Gennaio 2012 è stato rilasciato Moodle 1.9.16 che corregge diversi problemi di sicurezza (faccio riferimento alla versione 1.9.x perchè è quella inclusa in Stable, anche se è la 1.9.9), in particolare: **** MSA-12-0001 - Recaptcha transmission consistency issue MSA-12-0002 - Personal information leak MSA-12-0003 - Added password protection MSA-12-0004 - Added profile image security MSA-12-0005 - Encryption enhancement MSA-12-0006 - Additional email address validation MSA-12-0007 - Email injection prevention **** Ovviamente Moodle in Debian Stable deve rimanere alla 1.9.9, quindi viene fatta una nuova revisione 1.9.9 che include questi fix (introdotti nell'ufficiale 1.9.16). Il giorno 29 Febbraio 2012 viene rilasciato: DSA-2421 relativo a Moodle, i problemi corretti sono: CVE-2011-4308, CVE-2011-4584, CVE-2011-4585, CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793, CVE-2012-0794, CVE-2012-0795, CVE-2012-0796 che vanno a rappresentare quelli di cui sopra. Ora mi chiedo: Dal rilascio pubblico delle patch al pacchetto Debian corretto sono passati 52 giorni. Sbaglierò qualcosa io, ma penso sarebbe meglio *NON* includere un pacchetto mantenuto con tempi di risposta così lunghi, non sarebbe meglio dire: Vuoi questo software su Debian ? Installa queste dipendenze, quindi scarichi il sorgente dal sito ufficiale. Sarà una mia idea ed aprirà certo dei flame, ma penso sia meglio.. "pochi pacchetti ma buoni e ben mantenuti" piuttosto che il contrario. E' solo una mia idea ? Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120301114816.m13...@corep.it