Problèmes de gestion de la sécurité chez Debian

Infos-du-Net.comQuand on parle de l'informatique moderne et des systèmes d'exploitation, s'il est une chose qui doit aller très vite, c'est la correction de failles et de problèmes de sécurité.
Connaissant aujourd'hui les dégats que peuvent causer une faille non comblée, on comprendra aisément l'importance d'une rapidité d'action la plus grande possible afin d'assurer la sécurité de chacun.

L'un des principaux avantages que les utilisateurs de systèmes Linux apprécient est justement cette réputation que les failles de sécurité sont souvent comblées en un temps record.
Si le phénomène peut s'expliquer par le fait que chaque distribution (et même plusieurs programmes indépendants) connait le soutien d'une communauté avec des développeurs amateurs qui passent leurs temps libres à travailler sur la recherche et la correction de failles, cette sécurité accrue est souvent due à une équipe de développement spécialisée qui mettent la majorité de leur temps et de leur passion à ce service.

Debian est bien connu pour cette sécurité que l'on confère aux systèmes Linux, d'une part parce qu'il est très utilisé, d'autre part parce que c'est une distribution qui équipe pas mal de serveurs sur internet. Elle connait également beaucoup de déclinaisons, donnant naissance à d'autres basées dessus (Ubuntu, Knoppix, etc...).

Malheureusement, Debian va mal en ce moment, et la communauté déplore, après avoir longtemps attendu la sortie de la dernière version stable de la distribution, le manque cruel de mises à jour de sécurité. On peut en effet constater sur le site de Debian que rien n'a été publié depuis le 3 juin, laissant les systèmes ouverts aux 4 vents depuis cette date.

Le problème a été dénoncé par le magazine allemand Heise, qui déplore que "depuis des semaines, plus aucune annonce, et même pire, plus aucun patch de sécurité pour Debian n'est apparu"
les logiciels incriminés sont nombreux et le magazine cite pour exemple SquirrelMail, SpamAssassin ou encore sudo.

Un mail a été envoyé par Heise Security à l'Email officiel de Debian Security et est resté sans réponse.

Il est apparu après enquète et une discussion plutôt houleuse sur la security mailing list de Debian qu'il s'agit en réalité de bien plus qu'un simple retard, mais bel et bien d'un malaise au sein de l'équipe de développement.
En effet, la discussion révèle que 4 des 5 membres de l'équipe de sécurité seraient devenus totalement inactifs et injoignables, que ce soit sur IRC ou sur les mailing list, le dernier croulant sous le travail à faire. On parle même de postes désertés pour des propositions plus interressantes ailleurs...

La sécurité tourne donc au ralenti chez Debian, mais tourne, comme l'indique la suite de cette discussion : "La situation semble être désormais sous contrôle et une annonce est déjà en préparation".

Espérons que la situation reprendra donc son cours normal et que les différentes tensions au sein même de l'équipe de développement de Debian trouveront enfin une issue et ne gèneront plus l'avancement du développement en lui-même.

Voir l'article de Heise (en allemand)
Acceder à la security mailing list de Debian (en anglais)

Source : linuxfr.org
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
14 commentaires
    Votre commentaire
  • shadowbrain
    en même temps c'était à craindre de moins en moins de gens sont prêts à assurer un projet de ce type bénévolement...
    0
  • szdavid
    détrompe toi ; la communauté du libre est très importante, mêrme au niveau développement ; les gens sont motivés. Là, les circonstances ont fait que les 5 principaux ne pouvaient plus assurer un suivi efficace en même temps...
    Certes, certains arrêtent, d'autres prennent la relève.
    Bénévolement ? Oui, sans problème.
    Je suis développeur informatique mais rien n'empêche que je participe de façon très active, dans la limite de mes possibilités, à IDN, à Wikipedia, Ubuntu...
    0
  • Bebeoix
    Oh mon dieu !!!
    MA pauvre Xbox... mdr :-o
    0