Le 24.06.2005 11:11:18, Laurent Perez a écrit :
HelloUne de mes machines a été rootée ce matin via Cacti (c'est un soft de monitoring : http://www.cacti.net), l'exploit et le fix ayant été publiés avant-hier, le 22/06/2005 (cf http://www.idefense.com/application/poi/display?id=265&type=vulnerabilities) Le mainteneur du paquet Cacti sous debian a bien mis à jour une version patchée, mais seulement dans unstable (cf http://packages.qa.debian.org/c/cacti/news/1.html). Dans stable, c'est toujours exploitable (testez vous verrez ;( .. ), et il n'y a pas de package dans security. Donc ma question naïve : est-ce une erreur du mainteneur de proposer le fix dans unstable, est-ce normal de devoir passer de stable en unstable juste pour bénéficier de patches de sécurité ?
Il est assez logique de mettre les patches d'abord dans unstable avant stable. Ce n'est pas la peine de créer plus d'ennuis qu'on en corrige.
Je suis bloqué, je pense que c'est pas une bonne idéee de passer mes serveurs de prod sous unstable juste pour disposer de ce fix, alors en attendant, j'ai coupé Cacti (super).
Il n'est sans doute pas nécessaire de passer les serveur en unstable. L'application du patch peut suffire ou l'installation du paquet d'unstable.
Merci de vos lumières, et coupez Cacti sous stable ! Laurent
Jean-Luc
pgpITYMV4WoJ4.pgp
Description: PGP signature
