Bonjour, Depuis pas mal d'année je recompile le package nagios nrpe pour avoir un support ipv6 qui n'est apparu que très récemment dans ce logiciel. Avec l'arrivée de Jessie le package passe en 2.15 et donc supporte ipv6 nativement (ouf enfin). Dans l'idée mon petit package recompilé ne servait plus du coup. Et en testant Jessie j'installe nrpe server, je met ma configuration qui utilise la variable dont_blame_nrpe = 1 pour pouvoir passer des arguments. J'ai pleinement conscience qu'il y a des failles énormes de faire ainsi mais la raison du logiciel veut qu'on puisse faire avec, juste que ce dernier ne vérifie pas ou très mal les arguments donnés. Et sur cette Jessie fresh install, ça ne marche pas, les commandes nrpe ne passent pas. Après analyse mon fichier de configuration est bon juste que le mainteneur du package a décidé de supprimer l'option à la compilation (sans retirer l'option dans le fichier de conf en passant). Alors d'après le ticket https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=756479 le mainteneur se justifie en disant que c'est super grave et qu'il faut donc désactiver. J'ai pleinement conscience que faire un patch reviendrait à développer un gros morceau pour faire un travail de vérification qui n'est pas prévu dans le logiciel de base, c'est donc côté Nagios que ce développement doit être fait à mon sens. Par contre au lieu de simplement mettre la variable à 0 (ce qui est le cas depuis des lustres) et ajouter un warning encore plus important, il préfère ne plus compiler cette option et le justifie en disant qu'il veut plus s'en occuper. Ma question de fond porte plus sur la réaction, demain si PHP ou Apache ou n'importe quel package très utilisé venait à avoir une faille et que les développeurs traînent à faire un patch ou n'en proposent pas, les mainteneurs Debian pourrait / devrait / sont obligés de désactiver la fonctionnalité à la compilation? Ca me parait un peu overkill comme réaction, vous ne trouvez pas? PS j'ai jamais compris comment devenir mainteneur d'un package, malgré les docs ça me parait super complexe chez Debian, du coup je recompile mes packages et les mets sur mon repo perso. Mais si quelqu'un à une bonne piste simple à comprendre pour se lancer, je dis pas non pour maintenir ce package.
Attachment:
signature.asc
Description: OpenPGP digital signature