On Mon, Feb 24, 2003 at 04:37:52PM +0100, Yann SOUCHON wrote:
> Je suis �tonn�, car en g�n�ral, Debian sort les corrections en premier.
Gentoo est aussi pas mal bien souvent. En fait, les deux distributions
catastrophiques sont SuSE et Red Hat en ce moment (Red Hat sort parfois
des patches plusieurs mois apr�s, c'est m�me pire que Microsoft, faut le
faire).
En ce qui concerne le d�lai de la Debian, je suppose qu'il s'agit du
travail n�cessaire au back-port � woody (on ne peut pas simplement
changer ainsi la version SSL: il faut appliquer un patch � la version
pr�c�dente).
De plus, il y a plusieurs versions de SSL maintenues dans Debian, et
potato est toujours maintenue. Enfin, il y a 13 architectures �
supporter.
Le bug d�crit n'�tant pas un bug susceptible de piratage de root, par
exemple, et n�cessitant tout de m�me pas mal de travail (DNS spoofing ou
interception de paquets), je comprends qu'il y ait eu quelques jours
pour tester sur 13 architectures.
PS: quelqu'un conna�t le status des autres impl�mentations de SSL, comme
par exemple celles utilis�es sous environnements propri�taires ?
D'apr�s ce que j'ai lu, cette vuln�rabilit� ne concerne pas que
OpenSSL.
> Est-ce li� au weekend ?
Jusqu'ici je n'ai pas vu ce ph�nom�ne.
--
http://www-internal.alphanet.ch/linux-leman/ avant de poser
une question. Ouais, pour se d�sabonner aussi.
