On Fri, 13 Sep 2002, Marc Mongenet wrote: > Ce qui n'empêche que Debian semble réagir avec zèle > digne de Microsoft. :-( > http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=121101
Non, Microsoft réagit relativement vite aux problèmes de sécurité depuis quelques années, je donnerais ici plutôt comme exemple IRIX, Solaris, Red Hat Linux ou une des distributions anecdotiques comme TurboLinux, etc, qui mettent parfois des semaines, voire des mois, pour ne serait-ce qu'annoncer un problème de sécurité. > D'ailleurs, sans vouloir troller, les bugs de Debian > sont-ils suivis ? Mon interprêtation de ce que je vois > dans la (mauvaise) interface de bugs.debian.ch me fait > douter. Les bugs de sécurité sont en règle générale corrigés en premier sur Debian, puis sous d'autres distributions (exception: p.ex. les programmes dérivés d'OpenBSD qui sont en général corrigés en deuxième sous Debian). Cette remarque est basée sur l'expérience d'environ 3 mois de woody. Par contre il est vrai que certains autres problèmes restent longtemps non résolus. Il faut en général attendre la prochaine `bug squash party' pour qu'ils soient résolus -- certains. A mon avis, ce problème n'est pas spécifique à woody: c'est un problème général de la libc6 2.2.5 (vraisemblablement). A voir la liste de bugs de libc6: http://bugs.debian.org/cgi-bin/pkgreport.cgi?which=pkg&data=libc6&archive=no certains des bugs ouverts ont été patchés sur stable (woody), voire testing. S'ils sont encore ouverts c'est parce qu'une branche (unstable?) n'a pas le fix. > La solution propre me semblerait d'interdire à la libc la > résolution pour IPv6. Est-ce théoriquement et pratiquement > possible ? A mon avis, le bug a été transmis aux `upstream developers', donc il y a probablement une correction qui a été développé. N'ayant pas beaucoup de temps en ce moment je n'ai pas eu le temps de regarder (*). Si tu as le temps, tu pourrais voir dans la source officielle libc6, ou chez d'autres distributions (en particulier SuSE a une excellente base de support) si le problème se pose aussi, et s'il a été résolu. Puis éventuellement rapporter tes trouvailles à debian-security, en particulier s'il y a `information leak'. (*) de plus mes machines en dial-up fonctionnent avec aucun resolver actif, sauf pour un processus squid chrooté et c'est tout. Ca évite pas mal de causes de dialup intempestives. -- http://www-internal.alphanet.ch/linux-leman/ avant de poser une question. Ouais, pour se désabonner aussi.