[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Vidéo sur une grosse porte dérobé xz...

To: linux-31@culte.org
Subject: Re: Vidéo sur une grosse porte dérobé xz...
From: Albert ARIBAUD <albert@aribaud.net>
Date: Sun, 24 Nov 2024 17:29:28 +0100
In-reply-to: <d0af2f7cc8e5ebf90c83d7af5afc125b@free.fr>
References: <62dcfea08a6b9392596e91cd8b40c3f1@free.fr> <668a6fed-7c6a-4655-a14d-4fe396f1021e@free.fr> <CADDnTRhKuUoi=_CRypz4OVX+2NCS=bvAULPD2ofEKsgZgm7+6Q@mail.gmail.com> <c284de5d334febf2d7db83e94ccd45f0@free.fr> <9c2691f8df5bdbcf52e8e262990c0369@free.fr> <6c9d4aef-3d6d-46db-8297-cfbaa4da4134@dodin.org> <7b4c78527effe4a3aa196b6ab86ab4db713b8f11.camel@aribaud.net> <d0af2f7cc8e5ebf90c83d7af5afc125b@free.fr>
User-agent: Evolution 3.46.4-2

Le dimanche 24 novembre 2024 à 15:12 +0100, Jean-Marc Mongrelet a
écrit :
> Bonjour,
> 
> Le 24/11/2024 09:17, Albert ARIBAUD a écrit :
> > 
> > Pour Ubuntu comme pour les autres, ça a touché une distrib de test
> > seulement.
> > 
> > C'était du reste la situation la plus probable, au moins pour les
> > deux
> > raisons suivantes :
> > 
> > 1. Comme toutes les distros majeures, Ubuntu une équipe de sécurité
> > et
> > que toutes ces équipes de sécurité des distros et projets
> > importants
> > communiquent les risques entre elles par de multiples canaux.
> > 
> > 2. Ubuntu a une branche pro et ne peut pas se permettre d'ignorer
> > une
> > faille devenue publique. A minima, ils doivent communiquer, et
> > comme
> > l'open source est impliqué, doivent montrer qu'ils agissent, parce
> > qu'on le saura de toute façon.
> 
> Sauf que avant que la faille soit découverte, les distributions en 
> version testing on était contaminé... Rien à voir avec une volonté de
> ne pas communiquer des failles... Et Ubuntu stable, c'est-une Debian 
> testing...

Euh non, Ubuntu stable n'est pas "une Debian testing". Ubuntu stable
*s'appuie* sur une baseline Debian testing (pour les LTS ; pour les
autre, c'est une unstable), mais c'est différent de "être". C'est
expliqué par exemple ici :

https://askubuntu.com/questions/701345/is-ubuntu-lts-based-on-debian-unstable-or-testing

Pour faire simple, Ubuntu stable fait à partir de Debian unstable (ou
testing) *la même chose que fait Debian stable*, à savoir tester, etc,
et n'intègre pas aveuglément des paquets unstable ou testing, et dans
le cas de xz, Ubuntu stable n'a pas intégré de paquet xz compromis --
sa *bêta* a même été remise à plus tard pour s'en assurer.

https://discourse.ubuntu.com/t/noble-numbat-beta-delayed-xz-liblzma-security-update/43827

> De plus on me communique dans l’oreillette (source XMPP canal
> Sécurité & Vie Privée) que Ubuntu aurait été contaminée (à
> l'époque)...

Cette source est-elle publiquement disponible ?

> Donc ??

Donc je continue à m'appuyer sur des sources publiquement disponibles.

> JM

Amicalement,
Albert.

Follow-Ups:
- Re: Vidéo sur une grosse porte dérobé xz...
  - From: Jean-Marc Mongrelet <jeanmarc.mongrelet@free.fr>

References:
- Vidéo sur une grosse porte dérobé xz...
  - From: Jean-Marc Mongrelet <jeanmarc.mongrelet@free.fr>
- Re: Vidéo sur une grosse porte dérobé xz...
  - From: jdanield <jdanield@free.fr>
- Re: Vidéo sur une grosse porte dérobé xz...
  - From: Christophe VANHOUTTE <tx1138@gmail.com>
- Re: Vidéo sur une grosse porte dérobé xz...
  - From: Jean-Marc Mongrelet <jeanmarc.mongrelet@free.fr>
- Re: Vidéo sur une grosse porte dérobé xz...
  - From: Jean-Marc Mongrelet <jeanmarc.mongrelet@free.fr>
- Re: Vidéo sur une grosse porte dérobé xz...
  - From: "jdd@dodin.org" <jdd@dodin.org>
- Re: Vidéo sur une grosse porte dérobé xz...
  - From: Albert ARIBAUD <albert@aribaud.net>
- Re: Vidéo sur une grosse porte dérobé xz...
  - From: Jean-Marc Mongrelet <jeanmarc.mongrelet@free.fr>

Prev by Date: Re: Vidéo sur une grosse porte dérobé xz...
Next by Date: Re: Vidéo sur une grosse porte dérobé xz...
Previous by thread: Re: Vidéo sur une grosse porte dérobé xz...
Next by thread: Re: Vidéo sur une grosse porte dérobé xz...
Index(es):
- Date
- Thread