oldstable et sécurité

[David Soulayrol <david.soulayrol@gmail.com>]

Bonjour,

Je dois recompiler un paquetage dont openssl est une dépendance. La
cible est Debian Squeeze. Pour ce faire, j'utilise apt-get build-dep,
apt-get source, dpkg-buildpackage... Je travaille une image de Squeeze
dédiée et configurée avec les sources suivantes :

  deb http://ftp.fr.debian.org/debian/ squeeze main
  deb-src http://ftp.fr.debian.org/debian/ squeeze main

  deb http://security.debian.org/ squeeze/updates main
  deb-src http://security.debian.org/ squeeze/updates main

  deb http://ftp.fr.debian.org/debian/ squeeze-updates main
  deb-src http://ftp.fr.debian.org/debian/ squeeze-updates main

apt-cache me retourne les disponibilités suivantes pour openssl, ce qui
est conforme à http://packages.qa.debian.org/o/openssl.html.

  # apt-cache policy openssl
  openssl:
    Installed: 0.9.8o-4squeeze1
    Candidate: 0.9.8o-4squeeze14
    Version table:
       0.9.8o-4squeeze14 0
          500 http://ftp.fr.debian.org/debian/ squeeze/main amd64 Packages
          500 http://security.debian.org/ squeeze/updates/main amd64 Packages
   *** 0.9.8o-4squeeze1 0
          100 /var/lib/dpkg/status

Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus
détaillée sur https://security-tracker.debian.org/tracker/source-package/openssl,
j'observe que Debian Squeeze (oldstable) semble posséder une version
passablement obsolète et dangereuse de openssl. Pourtant, il me semble
que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est
envisagé un support de longue durée pour cette version.

Quelle procédure me conseilleriez-vous pour disposer des sources d'une
version empaquetée à jour de openssl ?

Merci.
-- 
Si vous ne pouvez, à la longue, faire savoir à tout le monde
ce que vous avez fait, c'est que ça vaut rien.
	-+- Erwin Schrödinger -+-