lundi 05 janvier
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Derniers journaux de madko :

Journal : Fedora 10 prend un peu de retard

Posté par madko (Jabber id, ) le 25 septembre 2008
3
Toutes les dates des prochaines étapes amenant à la sortie de la Fedora 10 viennent d'être reculé d'une semaine. La Beta officielle devrait sortir le 30 septembre prochain. La Finale sortira le 25 novembre et avant cela ils ont comblé le vide par une "Preview Release" qui devrait sortir le 4 novembre.

Ce n'est pas énorme et je n'ai pas trouvé d'annonce officielle, si quelqu'un sait le pourquoi du comment? On imagine certainement quelques bugs recalcitrant...

> Lire le journal (18 commentaires, moyenne: 2,6).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

Parlez moi !

Posté par Potatoes () le 25/09/2008 à 09:09. (lien). Évalué à 1.

"pas trouvé d'annonce officielle" -> Fedora ne communique pas comme il le faudrait ?

Comme d'habitude, deux poids deux mesures

Posté par nazcafan () le 25/09/2008 à 09:36. (lien). Évalué à 6.

Quand Debian sarge accuse un petit retard insignifiant, on dit pis-que-pendre des projets 100% communautaires, mais quand c'est fedora qui a UNE SEMAINE ENTIÈRE de retard, bizarrement, ça passe en un petit journal insignifiant, et il va sûrement y avoir des tas de gens pour trouver des excuses. Dégueulasse !

  • [^]Re: Comme d'habitude, deux poids deux mesures

    Posté par Matthieu Lagouge (Jabber id, page perso, ) le 25/09/2008 à 10:19. (lien). Évalué à 1.

    Ouai, moi ch'uis pas d'accord non plus!
    Tout fournisseur doit respecter les délais annoncés de sortie coûte que coûte.

    Ils pourront toujours sortir une Fedora SP1 deux semaines plus tard...

    Au fait, c'est pas un peu communautaire, Fedora?

    Au fait, on n'est pas que jeudi là??

Quel calme

Posté par Duncan Idaho (Jabber id, page perso, ) le 25/09/2008 à 10:20. (lien). Évalué à 2.

Woah une news sur Fedora qui part à peine en troll dans les commentaires.

Je ne m'en étais pas rendu compte, mais IzNotGood nous a quitté ?

  • [^]Re: Quel calme

    Posté par IsNotGood () le 25/09/2008 à 21:36. (lien). Évalué à 3.

    Non.

Et au fait

Posté par F. Florent (Jabber id, ) le 25/09/2008 à 13:26. (lien). Évalué à 2.

En parlant de Fedora, quelqu'un a des nouvelles de l'intrusion sur ses serveurs ? Je n'ai vu aucune nouvelle et explication sur linuxfr suite à ce journal :

https://linuxfr.org/~patrick_g/27082.html

Si quelqu'un a des détails je serais pas contre les lire.

  • [^]Re: Et au fait

    Posté par patrick_g (page perso, ) le 25/09/2008 à 13:46. (lien). Évalué à 2.

    Y'a eu un update : http://lwn.net/Articles/299413/

    En gros ils disent que tout est revenu à la normale et que l'enquête sur l'intrusion continue. Quand elle sera terminée ils publieront un rapport pour tout expliquer.

    The security investigation into the intrusion is still in progress.
    When that investigation is completed, the Fedora Project's intention is
    to publish a more detailed report on the matter.

  • [^]Re: Et au fait

    Posté par IsNotGood () le 25/09/2008 à 21:49. (lien). Évalué à 4.

    > Si quelqu'un a des détails je serais pas contre les lire.

    J'ai peu de détails.
    Car Red Hat a vu ses serveurs attaqués (je parle des serveurs RHN, etc et pas des serveurs Fedora), Red Hat a semble-t-il lancé un procès (du moins une plainte). Red Hat, au moins pour ses clients, doit montrer qu'il défend son "business".
    Tant que ce n'est pas terminé, Red Hat (et donc Fedora car Fedora dépend juridiquement de Red Hat) ne peut communiquer sur le problème.

    La situation est embarrassante pour Fedora (distrubtion certe "massivement" sponsorisée par Red Hat mais aussi voulue communautaire). Mais, c'est peut-être un préjugé, j'ai confiance en Fedora et Red Hat pour nous donner, lorsqu'ils le pourront, toutes les informations.

    • [^]Re: Et au fait

      Posté par bubar () le 26/09/2008 à 21:45. (lien). Évalué à 2.

      Attaqué est un faible mot.
      Quiconque a un accès redhat s' est bien rendu compte (j espère) de la zizanie actuelle : ça a commencé avec OpenSSL, qu on le reocniasse ou non, la 'faille' OpenSSL est un point de similitude temporelle, du moins, avec les graves problèmes de redhat. Leur ré-activité est épatante par contre.

      • [^]Re: Et au fait

        Posté par IsNotGood () le 26/09/2008 à 22:21. (lien). Évalué à 3.

        > Quiconque a un accès redhat s' est bien rendu compte (j espère) de la zizanie actuelle

        Tu délires complètement.

        > ça a commencé avec OpenSSL

        OpenSSL n'a pas été compromis.

        Le problème est que des personnes non autorisées ont signé des paquets avec la signature de Red Hat !
        Comment on-t-il fait ça ?
        Pour l'instant on ne sait pas ! Mais Red Hat a été clair et indique que ses clés GPG (RHEL) n'ont pas été volée n'y qu'il y a un problème avec OpenSSL ou autre.

        Par contre, pour Fedora les clés GPG ont peut-être été volée. Par contre la passphrase ne l'a pas été. Mais c'est une question de temps pour qu'elle soit crackée. Donc Fedora a dû changer de clée GPG ce qui est TRES lourd à réaliser (Plusieurs centaines (!) de Go à resigner).

        Il y a eu abus de l'infrastructure de RHEL et Fedora. Le problème est de savoir si des paquets sont sortis de l'infrastructure RHEL et Fedora. Ici Red Hat n'est pas sûr. Par contre Red Hat garantit qu'il n'y a pas eu de mauvais paquets fournit par RHN (RHN est utilisé par les clients (payant) de RHEL). Néanmoins, les clés GPG de Red Hat ont été utilisée de façons frauduleuses pour des paquets connus par Red Hat de RHEL. Red Hat a sorti des mises à jours pour que les utilisateurs qui n'utilisent pas RHN (c'est à dire qui ne payent pas Red Hat !) soient tranquilles (ce qui est assez cool).

        Je ne vais pas tortiller du cul, le problème est grave. Mais la réaction de Red Hat et Fedora a été parfaitement adaptée. Cette réaction est certe musclée et non sans conséquence (notamment pour Fedora). Mais tout a été, me semble-t-il, bien maitrisé.


        Pour l'instant, on ne connait rien de la faille.
        Et si c'était (seulement) un ancien employé/stagiaire de Red Hat qui a "fait le con" ?

        Inutile de délirer, Red Hat a promis des explications lorsqu'il pourrait les donner. La parole de Red Hat a une solide crédibilité, on peut les croire.

        • [^]Re: Et au fait

          Posté par bubar () le 27/09/2008 à 15:51. (lien). Évalué à 2.

          On dit grosso modo la même chose, mais moi "je délire"... isnotgood tu es lassant parfois. La zizanie car jamais, du moins depuis 2 ans, autant d' updates n' ont été proposées. Quant une boite comme RedHat propose les mises à jour de ce type, on peux se douter de l' ampleur du pb derrière. RedHat vient de connaitre de gros soucis (apparement pas uniquement celui qui a été communiqué). Oui je leur fait confiance pour la communication à postériori, à froid, lorsque toute pression sera redescendue. De plus cette épreuve va leur être certainement bénéfique en terme d' image.
          Car il semble, supputation, que les problèmes restent de gravité secondaire. Malgrès cela, le traitement est stupéfiant. Et la com' parfaite.

          Je soulignais aussi l' étrange similitude temporelle entre ceci et cela. Je ne retire rien de mes propos. Bien que techniquement très différent et ne touchant pas la même chose de la même manière, oui la quasi similtude temporelle est troublante. Reste à chacun de faire ses interprétations dessus ?

          Ce qui n' est pas le cas de tout le monde... mais je vais pas troller sur Canonical qui assure sa distribution serveur sans même vérifier les paquets openssl. La il y a de quoi rigoler.

          • [^]Re: Et au fait

            Posté par IsNotGood () le 27/09/2008 à 19:39. (lien). Évalué à 2.

            On ne doit pas avoir la même défintion de zizanie :
            http://www.linternaute.com/dictionnaire/fr/definition/zizani(...)
            Discorde, mésentente.

            Où est la zizanie ? Tu m'expliques ?
            Il y a eu un grave problème (personne le contexte, pas de zizanie), et une action derrière qui n'a pas prêté à "zizanie", ni discode, ni mésentente. L'action derrière est logique et ne prête pas à discussion. C'est même quasiment la calme plat. Ce que certains n'apprécient pas dans la communauté Fedora (une minorité mais je les comprend très bien) c'est le manque d'information sur ce qui a causé ce grave problème. Red Hat c'est engager à donner toutes les informations lorsqu'il le pourront (on suppose jusqu'à maintenant qu'ils ne le peuvent pas pour des raisons légales).

            > La zizanie car jamais, du moins depuis 2 ans, autant d' updates n' ont été proposées.

            Je me demande si tu connais bien Fedora... Un Go de mise à jours en 2 mois est "classique" chez Fedora.
            Suite à ce problème, Red Hat n'a sorti qu'une mise à jours spécifique pour RHEL. Seulement une ! C'est le paquet openssh (puisqu'il y a eu un paquet openssh signé sur l'infrastructure de RHEL). Cette mise à jour est là pour virer le paquet signé illégalement. NB: jusqu'à maintenant il n'y a aucun preuve que le paquet signé illégalement soit sorti de l'infrastructure de Red Hat. C'est seulement une mesure de protection tout le monde accèpte sans discuter (sans zizanie).

            Pour Fedora, qu'une mise à jour spécique ! Une ! C'est fedora-release avec la nouvelle clée GPG et l'url des nouveaux dépôts.

            Notons que jusqu'à maintenant (plusieurs semaines après l'incident !) aucun paquet signé illégalement n'a été découvert ! Hors, évidement, ceux que Red Hat et Fedora ont trouvé dans l'infrastructure. Red Hat et Fedora n'ont diffusé aucun paquet signé illégalement ! Et on en a la preuve. Le doute est de savoir si les "pirates" ont sorti d'eux même des paquets. Il semble que non puisque aucun paquet n'a été encore découvert. Fedora sait que les "pirates" avait un accès à la clés GPG de Fedora. Le doute est s'ils l'ont sorti (copié) *ET* trouvé la passphrase. Ici encore, seulement par mesure de précaution, tous les paquets ont été signés avec une nouvelle clée. Ceci n'a encore une fois pas prêté à discussion, voire zizanie.

            > isnotgood tu es lassant parfois.

            Ce qui est lassant, ce sont les gens qui affirment des conneries, évidement sans se renseigner et sans la moindre preuve.

            • [^]Re: Et au fait

              Posté par IsNotGood () le 27/09/2008 à 19:51. (lien). Évalué à 2.

              En passant, ce qui n'est pas apprécié par une partie de la communauté Fedora, c'est ça :
              http://lwn.net/Articles/297568/
              Red Hat is clearly holding all information about the intrusion as a closely guarded secret—whether that is at the behest of law enforcement or just lawyers is unclear. While there was no timeline given, the clear sense that one got from the meeting is that it might be weeks or months before clearance will be granted to even confirm that they know how the intrusion occurred. In addition, the Fedora board has not been officially briefed on the incident; some members have knowledge because of their Red Hat responsibilities, but the rest are in the dark. If one needed a reminder that Fedora is not an independent distribution, but instead is subject to the whims of Red Hat, this is a clear demonstration.

              Mais beaucoup apprécie l'investissement de Red Hat dans Fedora. Donc qu'en passer ?

ssl

Posté par bubar () le 26/09/2008 à 21:46. (lien). Évalué à 2.

faille OpenSSL de Debian. Il n' y a pas peut être pas d' autre rapport (certainement d ailleurs) que le rapport temporel, mais cela reste troublant.

  • [^]Re: ssl

    Posté par IsNotGood () le 26/09/2008 à 22:23. (lien). Évalué à 2.

    > faille OpenSSL de Debian

    Elle est spécifique à Debian.
    C'est "merde" a imposer de revalider il y a quelques mois TOUTES les clées GPG qui avait accès à l'infrastructure de Fedora (des centaines de clés GPG). Merci Debian...

    • [^]Re: ssl

      Posté par F. Florent (Jabber id, ) le 27/09/2008 à 20:25. (lien). Évalué à 4.

      Euh GPG n'a pas été touché par la faille Debian vu que cela ne dépend pas de Openssl (et j'aurais envie de dire heureusement, sinon le bazar aurait été encore plus monstreux). Tu veux parler des clefs ssh ?

      • [^]Re: ssl

        Posté par IsNotGood () le 28/09/2008 à 12:03. (lien). Évalué à 2.

        Je te plussois, j'ai dit une connerie.

        > Tu veux parler des clefs ssh ?

        Oui, mais oublions ça.

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.1057s (dont 0.0236 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !