R: R: DEBIAN - Supporto OS e cybersecurity

To: "'Giuseppe Sacco'" <giuseppe@sguazz.it>, <debian-italian@lists.debian.org>
Subject: R: R: DEBIAN - Supporto OS e cybersecurity
From: <l.sillari@prc-el.it>
Date: Mon, 24 Jun 2024 12:44:51 +0200
Message-id: <[🔎] 006201dac623$8afafaf0$a0f0f0d0$@prc-el.it>
In-reply-to: <[🔎] e757c3f778351d13da9d4608fafaec1347da20c2.camel@sguazz.it>
References: <!&!AAAAAAAAAAAYAAAAAAAAAOqcFT9ugoNNi94xMyFuPpHCgAAAEAAAAOd2a+vpkb5IkCqSK7JI7scBAAAAAA==@prc-el.it> <[🔎] 6de54c05adaf62de87dec7dc4f59ea603e33fca3.camel@sguazz.it> <!&!AAAAAAAAAAAYAAAAAAAAAOqcFT9ugoNNi94xMyFuPpHCgAAAEAAAAKKrSDSMNxpJhK0/Qpu1fU0BAAAAAA==@prc-el.it> <[🔎] e757c3f778351d13da9d4608fafaec1347da20c2.camel@sguazz.it>

Grazie Giuseppe 
Per il tuo prezioso contributo.

Luca


-----Messaggio originale-----
Da: Giuseppe Sacco <giuseppe@sguazz.it> 
Inviato: lunedì 24 giugno 2024 12:08
A: debian-italian@lists.debian.org
Oggetto: Re: R: DEBIAN - Supporto OS e cybersecurity

Il giorno lun, 24/06/2024 alle 11.19 +0200, l.sillari@prc-el.it ha scritto:
> Ciao Giuseppe,
> innanzi tutto volevo ringraziarti per il Tuo contributo.
> In riferimento alla Tua risposta :
> 
> > quando hai un pacchetto Debian supportato (normale o LTS) allora 
> > tutti i problemi di sicurezza pubblici sono gestiti dal supporto con 
> > aggiornamenti a impatto minimo. Se il software è ancora mantenuto 
> > anche upstream, allora la patch sarà quella > realizzata upstream 
> > (con eventuali aggiustamenti per Debian), altrimenti verrà fatta 
> > apposta dal supporto Debian
> 
> Mi stai dicendo che nel caso di pacchetti software in EOL, come 
> l'esempio di nodejs ver.12 in DB11, eventuali problemi di sicurezza 
> verranno eseguiti direttamente dal supporto Debian. Ho capito bene?

Sì

> La mia perplessità però rimane. Anche se degli sviluppatori Debian 
> modificassero il codice per eliminare le criticità, rimane il dubbio 
> su chi rileva queste criticità.
> Penso che su pacchetti in EOL non si ponga la dovuta attenzione ad 
> eventuale falle sulla sicurezza, ma ci si limiti ad eseguire dei test 
> sulle versione mantenute.

Le patch vengono pubblicate solo a seguito della segnalazione di problemi. E queste arrivano da semplici persone che controllano il codice, dallo studio degli attacchi informatici, dai ricercatori di sicurezza. Ad esempio, quando un ricercatore trova un problema, controlla da quale versione del programma si presenti, anche per le versioni EOL.

> Tu hai esperienza diretta in questi casi? Puoi fornirmi esempi di 
> patch di sicurezza rilasciate da Debian anche in caso di pacchetti in EOL?

LibreOffice 7.0 non è più supportato upstream da giugno 2021
https://wiki.documentfoundation.org/ReleasePlan/7.0

idem per 7.4, da giugno 2023
https://wiki.documentfoundation.org/ReleasePlan/7.4

Eppure a maggio 2024 Debian ha rilasciato un patch di sicurezza per la versione 7.0 e per la 7.4:
https://lists.debian.org/debian-security-announce/2024/msg00099.html

Ciao,
Giuseppe

Reply to:

References:
- DEBIAN - Supporto OS e cybersecurity
  - From: <l.sillari@prc-el.it>
- Re: DEBIAN - Supporto OS e cybersecurity
  - From: Giuseppe Sacco <giuseppe@sguazz.it>
- R: DEBIAN - Supporto OS e cybersecurity
  - From: <l.sillari@prc-el.it>
- Re: R: DEBIAN - Supporto OS e cybersecurity
  - From: Giuseppe Sacco <giuseppe@sguazz.it>

Prev by Date: Re: Portatile con processore RISC-V + Debian
Next by Date: Re: Portatile con processore RISC-V + Debian
Previous by thread: Re: R: DEBIAN - Supporto OS e cybersecurity
Next by thread: Re: DEBIAN - Supporto OS e cybersecurity
Index(es):
- Date
- Thread