[lcfc] wml://www.debian.org/News/weekly/2001/8/index.wml
Merci à Bernard Adrian pour sa relecture.
--
Thomas Huriaux
#use wml::debian::weeklynews::header PUBDATE="2001-3-14" SUMMARY="Signature des paquets et publication à venir, mise à jour de la distribution stable, élections du chef de projet"
#use wml::debian::translation-check translation="1.3" maintainer="Thomas Huriaux"
<p>Nous avons le plaisir de vous présenter la 8e <em>DWN</em> de
l'année, la lettre d'information hebdomadaire de la communauté Debian.</p>
<p>
Depuis des années, nous savons que le moyen par lequel Debian propose les
paquets et les publications aux utilisateurs souffre d'un cruel manque de
sécurité. Il n'y avait aucune manière de savoir si les paquets que vous
veniez de télécharger avaient vraiment été construits par un développeur
Debian ou faisaient vraiment partie d'une publication de Debian. Cela est
en train de changer rapidement, et <strong>les utilisateurs auront bientôt
deux moyens complémentaires de vérifier qu'ils sont en train d'installer
les paquets légitimes</strong>. Cette semaine, un
<a href="http://lists.debian.org/debian-dpkg-0103/msg00024.html";>correctif
a été envoyé</a> à la liste debian-dpkg. Celui-ci permettrait à dpkg de
pouvoir vérifier la signature des paquets Debian. Ces signatures sont
incluses dans une nouvelle section du paquet, et des utilitaires sont en
train d'être introduits pour ajouter et vérifier ces signatures.
Cette méthode de signature des paquets est similaire aux techniques
utilisées depuis longtemps dans le monde des rpm, et représente un ajout
non négligeable à dpkg, mais son utilité ne doit pas être surestimée.
</p>
<p>
<strong>Les paquets signés, lorsqu'ils sont seuls, laissent toujours
plusieurs ouvertures à une attaque.</strong> Quelques choses malicieuses
peuvent être faites au
<a href="http://lists.debian.org/debian-dpkg-0103/msg00046.html";>fichier
Packages</a> ou en forçant apt à télécharger un
<a href="http://lists.debian.org/debian-dpkg-0103/msg00035.html";>ancien
paquet non sécurisé</a>. Éviter ces attaques demande un autre niveau de
sécurité : la signature des publications. Des fichiers Release.gpg
sont en train de faire leur apparition dans l'archive, et apt sera bientôt
capable de vérifier ces signatures au moment de la mise à niveau d'un
système. En conclusion, aucune de ces méthodes ne garantit de sécurité
absolue, mais celles-ci vont rendre les attaques beaucoup plus difficiles
pour les pirates. Ces deux types de signature seront peut-être complètement
supportés au moment de la parution de <em>Woody</em>.
</p>
<p>
<strong>Les préparations pour une mise à jour de la version stable sont
en cours. Cette publication sera la version 2.2r3.</strong> Comme
pour toutes les parutions mineures importantes, les paquets avec des
problèmes de sécurité, des questions de droits d'auteur ou des bogues
très graves sont de bons candidats à la mise à jour dans cette publication.
Les mises à jour pour la compatibilité avec le noyau 2.4 sont
également acceptées, comme tous les paquets nécessaires ont
<a href="http://www.fs.tum.de/~bunk/kernel-24.html";>déjà été intégrés</a>.
Martin Schulze
<a href="http://lists.debian.org/debian-devel-announce-0103/msg00008.html";>\
coordonne cette nouvelle parution</a>, et la liste des paquets modifiés
est disponible <a href="http://master.debian.org/~joey/2.2r3/";>sur le
web</a>.
</p>
<p>
<strong>Les élections du chef de projet sont en cours, après quelques faux
départs.</strong> Les développeurs peuvent obtenir un
<a href="http://lists.debian.org/debian-devel-announce-0103/msg00005.html";>\
bulletin</a> et l'envoyer par courriel signé. Les votes s'achèveront le
28.
</p>
<p>
<strong>Une autre chasse aux bogues</strong> est prévue pour
<a href="http://lists.debian.org/debian-devel-announce-0103/msg00009.html";>\
ce week-end</a>. Il reste près de 350 bogues critiques pour la parution
après la dernière séance, et ils doivent tous être corrigés avant la
publication de <em>Woody</em>. Tous ceux qui ont du temps ce week-end sont
donc invités à aider et à corriger un bogue ou deux.
</p>
<p>
<strong>Il y a des semaines où les corrections de sécurité sont sans fin
pour Debian. Cette semaine en faisait partie.</strong> Certaines de ces
alertes concernent des problèmes qui avaient été corrigés plus tôt mais
qui n'avaient pas été annoncés. Il y a cependant un tas de nouvelles
corrections :
</p>
<ul>
<li><a href="../../../../security/2001/dsa-032">plusieurs bogues mineurs</a>
dans le paquet stable de proftpd pouvaient entraîner des problèmes mineurs
de sécurité ;</li>
<li>un <a href="../../../../security/2001/dsa-033">dépassement de tampon</a>
exploitable à distance dans analog pouvait être utilisé <i>via</i>
l'interface CGI ;</li>
<li>plusieurs <a href="../../../../security/2001/dsa-034">dépassements
de tampon</a> dans ePerl ont été découverts et permettaient l'exploitation
à distance du superutilisateur pour certaines configurations ;</li>
<li>une <a href="../../../../security/2001/dsa-035">attaque par déni de
service</a> a été trouvée dans man2html et pouvait entraîner l'utilisation
de la totalité de la mémoire ;</li>
<li>une <a href="../../../../security/2001/dsa-036">exploitation locale
dans midnight commander</a> ;</li>
<li>toutes les bibliothèques de remplacement de xam (nextaw, xaw3d et xaw95)
ont été mises à jour pour corriger quelques
<a href="../../../../security/2001/dsa-037">failles de sécurité</a> qui
avaient été trouvées plus tôt et corrigées directement dans xam ;</li>
<li>une faille de sécurité <a href="../../../../security/2001/dsa-038">de
fichier temporaire</a> a été corrigée dans sgml-tools ;</li>
<li><a href="../../../../security/2001/dsa-039">deux trous de sécurité</a>
permettant l'exploitation à distance du superutilisateur ont été corrigés
dans la version stable de glibc (veuillez noter que la rustine a cassé
ldd pour les binaires « suid », donc une mise à jour devrait
normalement être publiée pour le corriger) ;</li>
<li>un <a href="../../../../security/2001/dsa-040">dépassement de tampon
exploitable à distance</a> dans la version stable de slrn ;</li>
<li>joe <a href="../../../../security/2001/dsa-041">lit de manière non
sécurisée</a> le fichier <tt>.joerc</tt> qui est dans le répertoire courant,
donc cela est exploitable localement si joe est lancé depuis des répertoires
comme <tt>/tmp/</tt> ;</li>
<li>un <a href="../../../../security/2001/dsa-042">dépassement de tampon
exploitable à distance</a> dans gnuserv et xemacs ;</li>
<li>Plusieurs <a href="../../../../security/2001/dsa-043">exploitations à
distance</a> dans Zope ;</li>
<li>un
<a href="http://lists.debian.org/debian-security-announce-01/msg00042.html";>\
dépassement de tampon dans mailx</a> qui pouvait donner localement l'accès
au groupe <tt>mail</tt>.</li>
</ul>
<p>
Nous remercions chaleureusement l'équipe en charge de la sécurité pour
le travail de cette semaine.
</p>
#use wml::debian::weeklynews::footer translator="Thomas Huriaux"
Reply to: