De la sécurité

jcsm33 · Novembre 4, 2017, 8:48am

Bonjour,

La prise en charge de la sécurité dans debian en ce moment est étonnante.

Certains paquets sont mieux suivis dans wheezy !

Pour stretch, ça dépend des paquets.

Par contre, jessie est franchement moins bien lotie.

Suis-je le seul à avoir remarqué ces différences ?

grandtoubab · Novembre 4, 2017, 9:41am

Salut
Quel paquet?
je me suis interessé aux différentes versions du noyau et c’est par le tracker que j’ai suivi les corrections de sécurité
https://security-tracker.debian.org/tracker/source-package/linux

jcsm33 · Novembre 4, 2017, 10:38am

Pour le noyau, mieux vaut sid si je lis bien

Partant de la liste debian-lts-announce qui publie les annonces de sécurité pour debian LTS (wheezy à ce jour) :

https://lists.debian.org/debian-lts-announce/recent

La dernière concerne le paquet graphicsmagick.

Pour comparer avec les autres versions dans debian :

https://security-tracker.debian.org/graphicsmagick

C’est wheezy qui est à la fois stable et “sécurisée”.

Il y a aussi qemu qui semble délaissé :

https://security-tracker.debian.org/qemu

wpa (krackattacks) a été mis à jour dans wheezy 15 jours après.

[SECURITY] [DLA 1150-1] wpa security update

Date: Tue, 31 Oct 2017 10:48:26 -0400

[SECURITY] [DSA 3999-1] wpa security update

Date: Mon, 16 Oct 2017 11:20:15 +0200

Certains CVE sont considérés comme “mineurs” dans jessie et/ou wheezy

https://security-tracker.debian.org/CVE-2016-9586

[jessie] - curl <no-dsa> (Minor issue)

https://security-tracker.debian.org/CVE-2016-7098

[jessie] - wget <no-dsa> (Minor issue)
[wheezy] - wget <no-dsa> (Minor issue)

https://security-tracker.debian.org/CVE-2016-7076

[jessie] - sudo <no-dsa> (Minor issue)

grandtoubab · Novembre 4, 2017, 10:06am

je me base sur les lignes “fixed” en vert

Par exemple pour https://security-tracker.debian.org/tracker/source-package/graphicsmagick
je penche pour buster et sid 1.3.26-17

car wheezy
CVE-2017-10800 vulnerable (no DSA)

Pour le noyau, la version 4.13.10 de sid est en effet la version la plus proche du noyau officiel 4.13.11 https://www.kernel.org/

jcsm33 · Novembre 4, 2017, 10:31am

Je comprends bien mais certaines lignes de qemu laisse un choix au hasard…

		wheezy 		jessie 		stretch 	buster 		sid
CVE-2017-2615	fixed		vulnerable	fixed		fixed		fixed		display: cirrus: oob access while doing bitblt copy backward mode
CVE-2017-15289	vulnerable	vulnerable	vulnerable	vulnerable	vulnerable	The mode4and5 write functions in hw/display/cirrus_vga.c in Qemu allow ...
CVE-2017-15268	fixed		fixed		vulnerable	vulnerable	vulnerable	Qemu through 2.10.0 allows remote attackers to cause a memory leak by ...

qemu dans jessie semble être le pire…

Et pour imagemagick, quel serait ton choix @grandtoubab ?

https://security-tracker.debian.org/imagemagick

Je mise sur wheezy

Plus compliqué : poppler

https://security-tracker.debian.org/poppler

Ou encore tiff

https://security-tracker.debian.org/tiff

grandtoubab · Novembre 4, 2017, 11:02am

imagemagick ça fait peur

comme j’utilise gimp qui parait moins vulnérable https://security-tracker.debian.org/tracker/source-package/gimp

je choisi la méthode Attila

 apt remove -s imagemagick
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Les paquets suivants seront ENLEVÉS :
  imagemagick
0 mis à jour, 0 nouvellement installés, 1 à enlever et 0 non mis à jour.
Remv imagemagick [8:6.9.7.4+dfsg-16]
root@debian:/# apt remove imagemagick
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances       
Lecture des informations d'état... Fait
Les paquets suivants seront ENLEVÉS :
  imagemagick
0 mis à jour, 0 nouvellement installés, 1 à enlever et 0 non mis à jour.
Après cette opération, 201 ko d'espace disque seront libérés.
Souhaitez-vous continuer ? [O/n] 
(Lecture de la base de données... 204191 fichiers et répertoires déjà installés.)
Suppression de imagemagick (8:6.9.7.4+dfsg-16) ...

jcsm33 · Novembre 7, 2017, 8:53am

Fin officielle de la prise en charge de la sécurité pour le navigateur chromium dans jessie.

In addition, this message serves as an annoucement that security support for chromium in the oldstable release (jessie), Debian 8, is now discontinued.

Debian 8 chromium users that desire continued security updates are strongly encouraged to upgrade now to the current stable release (stretch), Debian 9.

An alternative is to switch to the firefox browser, which will continue to receive security updates in jessie for some time.

Solutions : passer à firefox (ESR) ou basculer sur stretch.

[SECURITY] [DSA 4020-1] chromium-browser security update