Tempi di rilascio fix security per alcuni pacchetti

To: debian-italian@lists.debian.org
Subject: Tempi di rilascio fix security per *alcuni* pacchetti
From: "dea" <dea@corep.it>
Date: Thu, 1 Mar 2012 13:02:28 +0100
Message-id: <[🔎] 20120301114816.M13236@corep.it>
In-reply-to: <[🔎] 20120301113213.M48515@corep.it>
References: <201201302341.45010.in3dzz@gmx.de> <201202032151.15816.in3dzz@gmx.de> <[🔎] CAC2nX3nD+BCqoH9hAS5ZPCcVLucgQB2gOv5fqsk56nuP=4RdsQ@mail.gmail.com> <[🔎] 201203011224.56191.in3dzz@gmx.de> <[🔎] 20120301113213.M48515@corep.it>

Bungiorno lista !

Qualche mese fa avevo aperto un post dove facevo notare che (stranamente)
alcuni pacchetti (sicuramente marginali) di Debian venivano sicurizzati dopo
tempi davvero lunghi.
Era successo un mezzo putiferio, sono stato zitto, mi sarò sbagliato, bho..

Background:

Uso un server Debian per erogare corsi on-line utilizzando la diffusissima
piattaforma Moodle.
La macchina è una 100% stable ma il pacchetto Moodle non è quello di Debian,
lo seguo e lo aggiorno dal sito ufficiale.

Il 9 Gennaio 2012 è stato rilasciato Moodle 1.9.16 che corregge diversi
problemi di sicurezza (faccio riferimento alla versione 1.9.x perchè è quella
inclusa in Stable, anche se è la 1.9.9), in particolare:

****
    MSA-12-0001 - Recaptcha transmission consistency issue
    MSA-12-0002 - Personal information leak
    MSA-12-0003 - Added password protection
    MSA-12-0004 - Added profile image security
    MSA-12-0005 - Encryption enhancement
    MSA-12-0006 - Additional email address validation
    MSA-12-0007 - Email injection prevention 
****

Ovviamente Moodle in Debian Stable deve rimanere alla 1.9.9, quindi viene
fatta una nuova revisione 1.9.9 che include questi fix (introdotti
nell'ufficiale 1.9.16).

Il giorno 29 Febbraio 2012 viene rilasciato: DSA-2421 relativo a Moodle, i
problemi corretti sono: CVE-2011-4308, CVE-2011-4584, CVE-2011-4585,
CVE-2011-4586, CVE-2011-4587, CVE-2011-4588, CVE-2012-0792, CVE-2012-0793,
CVE-2012-0794, CVE-2012-0795, CVE-2012-0796 che vanno a rappresentare quelli
di cui sopra.

Ora mi chiedo:

Dal rilascio pubblico delle patch al pacchetto Debian corretto sono passati 52
giorni.
Sbaglierò qualcosa io, ma penso sarebbe meglio *NON* includere un pacchetto
mantenuto con tempi di risposta così lunghi, non sarebbe meglio dire:

Vuoi questo software su Debian ? Installa queste dipendenze, quindi scarichi
il sorgente dal sito ufficiale.
Sarà una mia idea ed aprirà certo dei flame, ma penso sia meglio.. "pochi
pacchetti ma buoni e ben mantenuti" piuttosto che il contrario.

E' solo una mia idea ?

Luca

Reply to:

Follow-Ups:
- Re: Tempi di rilascio fix security per *alcuni* pacchetti
  - From: Dario <dario.java@gmail.com>

References:
- Re: debian squeeze squid3 e antivirus
  - From: Dario Pilori <penguin90@gmail.com>
- Re: debian squeeze squid3 e antivirus
  - From: Luigi di Lazzaro <in3dzz@gmx.de>
- Re: debian squeeze squid3 e antivirus
  - From: "dea" <dea@corep.it>

Prev by Date: Re: debian squeeze squid3 e antivirus
Next by Date: Re: Tempi di rilascio fix security per *alcuni* pacchetti
Previous by thread: Re: debian squeeze squid3 e antivirus
Next by thread: Re: Tempi di rilascio fix security per *alcuni* pacchetti
Index(es):
- Date
- Thread

Tempi di rilascio fix security per *alcuni* pacchetti

Tempi di rilascio fix security per alcuni pacchetti