Author: Yves Martin Date: To: guilde Subject: Re: Impossible de rétroporter depuis Debian
experimental
On Tue, 2012-04-17 at 18:21 +0200, Patrice Karatchentzeff wrote: > Le 17 avril 2012 18:19, Anael <anael@???> a écrit :
>
> [...]
>
> > Démonstration par l'exemple :
> > CVE-2011-2508
> > 24 jours de vulnérabilités sur internet.
>
> heu... phpMyAdmin sur un serveur ?
Très bonne question Patrice. Car si l'administration système est un
métier, la pratique du SQL n'est pas une perte de temps - pour reprendre
les mots d'Anael. L'exemple n'était pas forcément le meilleur - le temps
de réaction avec sudo, ssh et openssl est probablement plus
représentatif de la réactivité des mainteneurs Debian sensibles à la
sécurité.
Et une bonne pratique à généraliser est bien de n'installer que le
strict nécessaire et qu'un service qui ne sert pas ne doit pas tourner
et s'il ne tourne pas son paquet doit être retiré ! Un exécutable
compromis peut très bien servir à une attaque...