Paquets qui ne sont plus maintenus dans Buster

Support Debian
#1

Bonjour
J’avais posé une question dans cet autre sujet : Installation KDE sur debian 10 buster - #4 par blunt
mais je crée mon propre sujet pour ne pas gêner l’autre car c’est hors-sujet.
Donc voilà : je ne savais pas que certains paquet pouvaient ne plus être maintenus au bout d’un certain temps, pour moi Buster étant maintenue 5 ans je pensais que c’était le cas pour tous les paquets de Buster.
Donc j’ai lancé la commande check-support-status et voilà ce que ça donne :

    $ check-support-status 
Suivi limité des mises à jour de sécurité pour un ou plusieurs paquets

Malheureusement, il a été nécessaire de limiter le suivi des mises 
à jour de sécurité pour certains paquets.

Les paquets suivants trouvés sur ce système sont affectés par ceci :

* Source : binutils
  Détails : Only suitable for trusted content; see https://lists.debian.org/msgid-search/87lfqsomtg.fsf@mid.deneb.enyo.de
  Paquets binaires affectés :
  - binutils (version installée : 2.31.1-16)
  - binutils-common:amd64 (version installée : 2.31.1-16)
  - binutils-x86-64-linux-gnu (version installée : 2.31.1-16)
  - libbinutils:amd64 (version installée : 2.31.1-16)

* Source : qtwebengine-opensource-src
  Détails : No security support upstream and backports not feasible, only for use on trusted content
  Paquets binaires affectés :
  - libqt5webengine-data (version installée : 5.11.3+dfsg-2+deb10u1)
  - libqt5webenginecore5:amd64 (version installée : 5.11.3+dfsg-2+deb10u1)
  - libqt5webenginewidgets5:amd64 (version installée : 5.11.3+dfsg-2+deb10u1)

* Source : qtwebkit-opensource-src
  Détails : No security support upstream and backports not feasible, only for use on trusted content
  Paquet binaire affecté :
  - libqt5webkit5:amd64 (version installée : 5.212.0~alpha2-21)

Donc binutils n’aura plus de mise à jour, est-ce problématique pour la sécurité ?

#2

Si ta question se limite à binutils, il s’agit d’utilitaires non liés à la sécurité.
Les paquets relatifs à la sécurité de buster sont gérés par les dépôts [buster-security] , [buster-updates]
Les éventuels paquets ajoutés par le dépôt [buster-backports]

/etc/apt/sources.list :

# dépôt sécurité:
deb http://security.debian.org/debian-security buster-security main contrib non-free

ou si non accessible, essayer avec [oldstable/updates]

# dépôt sécurité:
deb http://security.debian.org/debian-security oldstable/updates main contrib non-free

A moins d’avoir d’excellentes raisons de ne pas mettre à jour, mettre à jour à Bullseye posera probablement moins de soucis, à moins d’avoir un environnement très restreint et limité, genre serveur par exemple.

1 J'aime
#3

Buster est outdated.
passes sur Bullseye, tu te feras moins de cheveux blanc.

#4

Non, il ne faut absolument jamais mettre les version stable, oldsable oldoldstable et testing, c’est un coup à péter son système si on oublie de le modifier au moment de la mise à jour de la version majeure. Je conseille de remplacer oldstable par le nom de la version, mais j’ai oublié son nom.

1 J'aime
#5

A noter que ce n’est pas lié au passage de buster en LTS, ça date de 2019 et ça affecte toutes les versions de Debian.

Oui, ça peut être problématique. check-support-status mentionne que binutils ne convient que pour traiter du contenu « de confiance », mais par exemple j’ai régulièrement besoin d’utiliser le programme strings de ce paquet pour rechercher des chaînes de caractères dans des fichiers binaires pas forcément « de confiance ».

Cette phrase ne veut rien dire. Tout programme susceptible de traiter des données externes non vérifiées est concerné par la sécurité.

« Paquets relatifs à la sécurité », ça ne veut rien dire non plus.
Le dépôt « buster-security » n’existe pas. Le dépôt de sécurité de buster est « buster/updates ». Quant au dépôt « buster-updates », il sert à publier des mises à jour non liées à la sécurité sans attendre la prochaine révision stable, comme les mises à jour de fuseaux horaires (tzdata), clés PGP ou certificats, ou pour corriger des régressions.
https://wiki.debian.org/fr/StableUpdates
Le seul rapport avec la sécurité est le cas de la mise à jour de clamav (anti-virus).

C’est pourtant dans le titre de la discussion : « buster »

#6

Tu fais comment quand tu ne trouves pas de buster-security ?
As-tu essayé ? Pas moi, mais je ne le trouve pas.

Index of /debian-security/dists

J’ai bien dit " si buster-security non accessible, essayer avec [ oldstable ]"

Confirmes-tu que buster-security est accessible ?

»»» Debian – Garder un système Debian sûr - Informations de sécurité

#7

merci pour vos réponses

#8

@Blunt
Concernant binutils, ton inquiétude initiale , je te certifie qu’il n’y a aucun paquet binutils en security pour buster. Te voilà rassuré.
Pour craindre un problème sécurité avec la commande ‹ strings › , il faut quand-même devenir totalement parano.
Par contre, mon conseil de migrer sur Bullseye reste valable.

#9

Tu utilises le bon dépôt : buster/updates.

Bien sûr que non puisque je te répète que ce dépôt n’existe pas et n’a jamais existé. D’où le sors-tu ?

Ni pour bullseye ni aucune autre version. Et pour cause puisque binutils n’est pas pris en charge par l’équipe sécurité ou LTS.

Pas vraiment, non. Cela ne signifie pas qu’il ne contient pas de failles de sécurité mais que celles-ci ne seront pas corrigées.

« Ce n’est pas parce que je suis paranoïaque qu’ils ne sont pas tous après moi. » (Pierre Desproges)

#10

Question précédente: « Tu fais comment quand tu ne trouves pas de buster-security ? »

Ha bon ? Contradiction ? ça sent l’embrouille non ? Alors plutôt update ou sécurité ?
Au fait qui définit le ‹ bon dépôt › ?

He ben tu vois ! au moins un point d’accord !!!

On pourrait se demander si ton stress d’utiliser la commande strings ne rentrerait quand-même pas dans ce cas de figure.

Au fait, tu penses quoi des recommendations Debian sur la sécurité ?
»» Debian – Garder un système Debian sûr - Informations de sécurité

deb http://security.debian.org/debian-security bullseye-security main contrib non-free

Debian prend les questions de sécurité très au sérieux.
Nous traitons tous les problèmes de sécurité qui sont portés à notre attention et nous nous assurons qu’ils sont corrigés dans un délai raisonnable.

#11

Aucune contradition ni embrouille.
buster/updates est sur security.debian.org et contient les mises à jour de sécurité.
buster-updates est sur les miroirs normaux (ftp.debian.org…) et contient les mises à jour normales.

La documentation et les faits. Le bon dépôt est celui qui existe et a le contenu attendu. buster-security n’existe sur aucun miroir de sécurité ou normal et n’est mentionné dans aucune documentation officielle.

Mais nous ne semblons pas l’interpréter de la même façon. J’ai l’impression que pour toi si ce n’est pas suivi alors il n’y a pas de risque de sécurité. Je ne suis pas d’accord avec ce point de vue.

Rien de particulier. C’est le minimum syndical.

Ce dépôt est pour bullseye, pas pour buster.

Sauf exceptions, et binutils en fait partie.

#12

Donc, en résumé, il ne faudrait pas utiliser le dépôt oldstable de debian-security, parce-que ce serait hyper dangereux, et il faudrait impérativement mettre à jour la sécurité de debianutils, alors qu’il n’est pas géré dans les dépôts security.
Non mais sérieusement. A part vouloir effrayer inutilement blunt, je ne vois pas.

@Almtesh
Je pense que tu as eu le temps de comprendre pourquoi je proposais le dépôt oldstable de debian-security et non pas buster-security que tu n’as pas encore trouvé, et pour cause…
Tu n’as pas à craindre l’utilisation de dépôts stable/oldstable qui ne sont en fait que des liens dynamiques dans le temps, sur le nom réel des versions.

Actuellement

   stable -> bullseye
oldstable -> buster

Lorsque bookworm (testing) passera en stable

      stable -> bookworm
   oldstable -> bullseye
oldoldstable -> buster

Apt ira toujours chercher des mises à jour vers une version supérieure, et non inférieure.
Supposons que tu sois vraiment neuneu, que tu ne vérifies absolument pas ce qu’il y a dans ton sources.list après un upgrade de version (opération majeure), et qu’il y ait ça dans ton sources.list après passage de buster à bullseye:

deb http://security.debian.org/debian-security oldstable/updates main
deb http://security.debian.org/debian-security bullseye-security main

Le dépôt oldstable sera en fait totalement ignoré, et bullseye ira chercher sa sécurité dans bullseye-security.

Ce n’était donc vraimant pas la peine d’effrayer blunt.
Avant de dire « il ne faut jamais », il faut par contre toujours vérifier, ce qui n’était pas compliqué.

@pH
Même en épaississant l’écran de fumée, ça reste pas facile de se raccrocher aux branches.
Tu te rends bien compte que demander à blunt de mettre à jour debianutils dans debian-security, alors que c’est impossible puisque non dispo en sécurité, ce n’est pas cohérent du tout.
Si à titre personnel, tu considères que debianutils doit être géré en debian-securité, soit dans cette même logique en fait tous les paquets debian, ce n’est pas à blunt qu’il faut t’en prendre, mais directement à debian à qui tu peux adresser une réclamation.

Ta tentative de clarification entre debian/updates qui gère la ‹ sécurité › mais pas les ‹ updates ›, et debian-updates les ‹ updates ›, mais pas la ‹ sécurité › reste très confuse et non convaincante, mais je n’en suis pas surpris car c’est un peu confus, si on oublie de s’intéresser à quel serveur s’adressent ces différents ‹ updates ›.

Pour être clair, l’explication est celle-ci:

buster-updates va chercher les mises à jour dans debian.org
deb http://deb.debian.org/debian/ buster-updates main

buster/updates va chercher les mises à jour dans debian-security (par redirection vers security.debian.org)
deb http://deb.debian.org/debian-security/ buster/updates main

Conformément à la documentation officielle Debian, la seule référence qu’il est préférable de suivre, la référence des dépôts sécurité de debian est security.debian.org.
Pour la sécurité, il est préférable de s’adresser directement à un serveur, plutôt que de transiter à travers des redirections.
La liste actuelle des distributions accessibles sur security.debian.org est:

bullseye-security
buster
jessie
oldoldoldstable
oldoldstable
oldstable
stable-security
stretch
testing-security

Par analogie à bullseye-security, il aurait été intuitivement logique que buster-security existe, mais il ne l’est pas. Pour justement plus de clarté, le ‹ -security › a été introduit à partir de Bullseye.
Par contre, oldstable et buster sont strictement équivalents.

Donc en clair,

deb http://security.debian.org/debian-security oldstable/updates main

ou

deb http://security.debian.org/debian-security buster/updates main

• Que trouve-t-on dans buster-updates ?
deb http://deb.debian.org/debian/ buster-updates

exemples parmi 54 paquets
apt ca-certificates tzdata

• Que trouve-t-on dans buster[-security] ?
deb http://security.debian.org/debian-security buster/updates main

exemples parmi 2260 paquets

firefox-esr
linux-image-4.19.0-21-amd64
linux-image-4.19.0-21-amd64-unsigned
network-manager-ssh
ssh
thunderbird

En espérant avoir quelque-peu destressé la situation…

#13

en résumé utilise une distribution à jour et pas de oldstable.

Non être neuneu c’est mettre des sources list de deux versions différente. Au final, on obtient que des problèmes.

Et franchement tu te prends la tête vraiment pour rien, mais si tu as du temps à perdre :wink:

1 J'aime