Il giorno lun, 24/06/2024 alle 11.19 +0200, l.sill...@prc-el.it ha scritto: > Ciao Giuseppe, > innanzi tutto volevo ringraziarti per il Tuo contributo. > In riferimento alla Tua risposta : > > > quando hai un pacchetto Debian supportato (normale o LTS) allora tutti i > > problemi di sicurezza pubblici sono gestiti dal > > supporto con aggiornamenti a impatto minimo. Se il software è ancora > > mantenuto anche upstream, allora la patch sarà quella > realizzata > > upstream (con eventuali aggiustamenti per Debian), altrimenti verrà fatta > > apposta dal supporto Debian > > Mi stai dicendo che nel caso di pacchetti software in EOL, come l'esempio di > nodejs ver.12 in DB11, eventuali problemi di sicurezza verranno eseguiti > direttamente dal supporto Debian. Ho capito bene?
Sì > La mia perplessità però rimane. Anche se degli sviluppatori Debian > modificassero il codice per eliminare le criticità, rimane il dubbio su chi > rileva queste criticità. > Penso che su pacchetti in EOL non si ponga la dovuta attenzione ad eventuale > falle sulla sicurezza, ma ci si limiti ad eseguire dei test sulle versione > mantenute. Le patch vengono pubblicate solo a seguito della segnalazione di problemi. E queste arrivano da semplici persone che controllano il codice, dallo studio degli attacchi informatici, dai ricercatori di sicurezza. Ad esempio, quando un ricercatore trova un problema, controlla da quale versione del programma si presenti, anche per le versioni EOL. > Tu hai esperienza diretta in questi casi? Puoi fornirmi esempi di patch di > sicurezza rilasciate da Debian anche in caso di pacchetti in EOL? LibreOffice 7.0 non è più supportato upstream da giugno 2021 https://wiki.documentfoundation.org/ReleasePlan/7.0 idem per 7.4, da giugno 2023 https://wiki.documentfoundation.org/ReleasePlan/7.4 Eppure a maggio 2024 Debian ha rilasciato un patch di sicurezza per la versione 7.0 e per la 7.4: https://lists.debian.org/debian-security-announce/2024/msg00099.html Ciao, Giuseppe
