[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Compiler son noyau.



On 12/02/2013 09:01 AM, Yves Rutschle wrote:
On Sun, Dec 01, 2013 at 03:21:14PM +0100, maderios wrote:
Chaque nouvelle version de noyau créant des possibilités de
nouvelles failles, un patch sécurité créé par les dev kernel pour un
récent noyau "F"  répondra aux besoins spécifiques de "F" et non à
un noyau ancien "B"  abandonné_EOL_end of life_fin de vie. Donc
cette histoire d'appliquer des patches sécurité récents à des noyaux
anciens pour sécuriser vraiment ces derniers n'est pas très
crédible, même si certaines des failles sur les EOL peuvent être
corrigées parce qu'elles sont communes avec des failles affectant le
nouveau noyau. Je souhaiterais trouver une explication satisfaisante
mais pour l'instant rien qui tienne la route...

On ne parle pas d'appliquer "bêtement", effectivement
souvent ça ne marcherait pas.

Bon, après avoir retiré les pronoms, je rajoute toutes les
étapes en essayant de supprimer également les mots
intérprétables comme "voit" et "patch".


- Debian package un noyau de version X
- L'équipe noyau continue son travail, créé un noyau X+1,
   X+2,... et cesse (pratiquement instantanément, si je me
   souviens bien) de s'occuper du noyau X
- À chaque sortie d'un nouveau noyau X+Y, l'équipe Debian
   Sécu lit le ChangeLog en entier.
   Si elle trouve un correctif lié à de la sécu dans ce
   changelog, elle passe à l'étape suivante, sinon (pas de
   correctif sécu) elle attend la prochaine version

- Pour chaque correctif lié à de la sécu, l'équipe Debian
   sécu regarde si ce correctif est applicable au noyau X
   (évidemment, une faille dans un pilote qui n'existe pas
   dans X n'est pas applicable). S'il est applicable, alors:
- L'équipe Debian Secu regarde la vulnérabilité et sa
   correction, et change le code de X pour la réparer.
   Peut-être simplement en appliquant le patch de la version
   X+Y, ou peut-être en écrivant directement dans le code,
   car l'équipe Debian Secu contient également des
   programmeurs.

Ils feraient bien de communiquer sur ce dernier point. Beaucoup d'utilisateurs seraient intéressés par une connaissance plus approfondie des arcanes de la maintenance de Debian.

- L'équipe Debian Secu package et publie ce nouveau noyau,
   obsolète, mais contenant des mises à jour pour des
   vulnérabilités trouvées sur X+Y.


Et, comme je disais dans un autre mail, dis-toi que le le
suivi de sécurité d'absolument *toutes* les applications de
toutes les distributions se fait de la même façon. Il n'y a
aucun développeur d'application qui puisse se permettre de
faire du suivi de sécurité sur toutes les versions de son
application qui sont intégrées dans des distributions; de
façon générale, les développeurs ne travaillent que sur la
dernière version, et ce sont les distributions qui font ce
suivi.
Ce qui expliquerait peut-être pourquoi le paquet wwwoffle a (malheureusement) disparu des dernières versions Debian faute de mainteneurs alors que ce même wwwoffle est présent chez Gentoo, par exemple.


Par exemple, si j'ai publié un logiciel "trucmuche", et que
Debian package la version 2.3, RedHat package la version
2.5, Ubunti package la version 3.2, Slackware package la
version 1.3, il m'est impossible (et je ne voudrais pas)
m'assurer que toutes ces versions sont sûres. Moi, je
continue à travailler sur ma version 3.5, et si elle inclue
des mises à jour de sécu, ce sont les mainteneurs de chaque
distrib (qui sont abonnés à ma mailing list, lisent les
ChangeLog etc) qui vont aller réparer dans leurs version
respectives.

Malgré tous les fantasmes qu'il porte, le noyau Linux n'est
qu'une application parmi d'autres, particulièrement de ce
point de vue.
C'est quand même un monstre qui continue à grossir démesurément...
A écouter ici en direct  la croissance de la bête   :-)
http://www.linux.fm/

Il n'y a donc aucun problème à utiliser un
noyau ancien tant qu'il est bien dans Debian stable, de la
même façon qu'il n'y a aucun problème à utiliser un Firefox
un peu ancien, tant qu'il est bien dans Debian stable.

Est-ce plus clair?

Oui, tout à fait. Merci pour cette longue explication/contribution concernant la maintenance du noyau..
--
Maderios



Reply to: