[securité] notifications de mises à jour de securité

[cedricl]

Bonjour,

Il existe un certain nombre d'outils sur arch permettant d'être informer des nouvelles mises à jour.
Cependant, sauf erreur de ma part il n'est pas possible de distinguer les mises à jours impactant la sécurité des autres mises à jour. Personnellement une tel fonctionnalité serais bien utile pour ma part.
Autant je ne souhaite pas être informé en temps réel de la disponibilité de toutes les mises à jour, en revanches pour celles impactant la sécurité du système j'aimerais pouvoir en être informé immédiatement.

je me suis fait cette réflexion suite à la découverte d'une faille de sécurité critique dans la dernière version d'open SSL.

Que pensez vous d'une tel fonctionnalité?

Merci pour vos réponses,

[benjarobin]

Bonjour,

Il n'y a normalement aucune mise à jour de sécurité sous ArchLinux car on ne patch aucun paquet ou presque (c'est la politique).
Donc on suit les mises à jour upstream. La question qui se pose est comment savoir que la mise à jour upstream est une mise à jour critique ? Je crains que cela ne soit pas possible car rien ne peux te l'indiquer. A part éventuellement suivre les mailing lists...

[cedricl]

Merci pour ta réponse

La question qui se pose est comment savoir que la mise à jour upstream est une mise à jour critique ? Je crains que cela ne soit pas possible car rien ne peux te l'indiquer. A part éventuellement suivre les mailing lists...

Oui, c'est dans se sens là que se portait ma réflexion. Effectivement, il n'existe actuellement aucun moyen de le savoir.
Par contre le mainteneur du paquet devrais être au courant de mises à jour critiques ?
Si oui, est ce qu'il n'y aurais pas moyen d'ajouter une variable dans PKGBUILD par exemple permettant de savoir si il s'agit d'une mise a jour critique... Ou sinon un message dans la mailing list en cas de mise à jour critique (upstream)?

[Xorg]

Très franchement, je crois que ce que tu cherches n'existe pas, et je doute que ça existera un jour.
Chaque logiciel a sa propre numérotation, avec une signification qui n'est toujours la même. Donc mis à part fouiller les changements en détail (ou si le ChangeLog est complet), on n'est pas vraiment au courant.
Puis je ne pense pas non plus que les développeurs d'ArchLinux traquent ce genre de choses.

[bobo]

Comment c'est géré chez Manjaro ? J'ai cru lire qu'ils avaient des dépôts à part, dont un dépôt « stable », il doit certainement voir les mises à jour de sécurité.

[Elbarto]

Bonjour,

Il existe un certain nombre d'outils sur arch permettant d'être informer des nouvelles mises à jour.
Cependant, sauf erreur de ma part il n'est pas possible de distinguer les mises à jours impactant la sécurité des autres mises à jour. Personnellement une tel fonctionnalité serais bien utile pour ma part.

il ne faut pas perdre de vue qu'archlinux est une rolling release ( contrairement à du debian stable ), ce qui fait que d'une certaine manière toutes les mises à jour doivent être faites quand tu fais un "pacman -Syu" ( sous peine de rendre inutilisable à court terme archlinux ), une simple mise à jour d'une librairie entrainant parfois un effet domino qui oblige à mettre à jour d'autres paquets pour prendre en compte la nouvelle version de librairie,

donc à quoi bon chercher à discriminer les mises à jour, sachant qu'il faut toutes les faire ?

il existe une option avec pacman pour blacklister certains paquets ( noyau, xorg ) mais c'est un mauvais calcul, car tôt ou tard ça risque de bloquer les autres mises à jours, des dépendances non satisfaites,

c'est peut-être pour ça que les développeurs d'archlinux n'ont pas jugé utile de distinguer les mises à jour "sécurité" des mises à jour lambda, à cause des implications du concept "rolling release"

[cedricl]

donc à quoi bon chercher à discriminer les mises à jour, sachant qu'il faut toutes les faire ?

C’est pas tant chercher à effectuer des mises à jour partielles que j'aurais aimé pouvoir faire mais plutôt être avertis de la sortie de certaines mises à jour qui corrigent une faille de de sécurité critique.
Comme par exemple la mise à jour de la faille de sécurité "Heartbleed" trouvée dans OpenSSL qui pourrais permettre de décrypter les échanges chiffrés et mots de passe...
Dans ce cas j'aurais apprécié une petite notification pour faire la mise à jour de suite. D'après ce que vous dites ça parait plus compliquer à mettre en œuvre que ce que je pensais.

Bien sur, la règle d'or reste de mettre à jour régulièrement son système pour éviter les problèmes et de suivre la liste de diffusion .

[benjarobin]

La faille de sécurité Heartbleed ne touche que la partie serveur. Donc si tu n'as pas de serveur Web sur ton PC, serveur ssh, ... accessible depuis l'extérieur ce n'est pas du tout une faille critique.

[Elbarto]

C’est pas tant chercher à effectuer des mises à jour partielles que j'aurais aimé pouvoir faire mais plutôt être avertis de la sortie de certaines mises à jour qui corrigent une faille de de sécurité critique.

je comprends ta demande,

si tu fais des "pacman -Syu" régulièrement ( fortement conseillé dans le cadre d'une rolling release, certains le font tous les jours ) le besoin d'être averti spécifiquement perd un peu de son intérêt,

je pense que ce besoin d'être averti est compréhensible pour les autres OS ( type windows où les mises à jour ne sont que mensuels, avec parfois le mode automatique désactivé par l'utilisateur, la vigilance risque alors de baisser et les failles non comblées si l'utilisateur n'est pas très rigoureux ),

le mieux pour toi c'est de s'abonner à des mailings list ou de consulter régulièrement des sites dédiés à la sécurité informatique, comme zataz.com qui possède un lien "alertes" pour les failles de sécurité découvertes

[lekaf974]

Salut,

Pour te tenir au courant des failles de sécurité découvertes, il y a des orgnamismes spécialisés qui le font. Et tu peux avoir un listing de ses failles sur http://www.cert.ssi.gouv.fr/.

[cedricl]

Merci pour les lien lekaf974 et Elbarto.

Dans l'idéal j'aurais aimé des alerte plus spécifique à mon système mais je vais faire avec les outils qui existent actuellement.