Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 16-02-2017 17:31:00

jiraya
Membre
Lieu : quelque part sur la planete
Distrib. : debian jessie 8.5
(G)UI : xfce
Inscription : 24-05-2013

classement vulnérabilité 2016

bonjour aujourd'hui je suis allé voir sur un site le classement de vulnérabilité de différent OS etc... et je suis stupéfait du classement a vrai dire pour Android ces tout à fait normal qu'il soit premier mes Debian en 2 position la je trouve cela étrange

https://www.cvedetails.com/top-50-produ … ?year=2016

Hors ligne

#2 16-02-2017 17:43:26

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : classement vulnérabilité 2016

Ce classement n'a pas beaucoup de sens…

Il comptabilise le nombre d'alertes de sécurité émises par différents éditeurs, distributions ou projets…
Tous les CVE de Firefox, de PHP, etc. sont comptés comme CVE de Debian, toutes les alertes de sécu de tous les logiciels présents dans Debian sont comptés comme CVE Debian. De plus, la majorité des bugs sont des failles de sécurité en puissance. Donc bon, c'est un peu normal…

Typiquement, récemment, un bug a été corrigé dans la libjasper, une lib qui permet d'afficher les images au format JPEG2000, un format utilisé principalement pour la cartographie. La mémoire était mal gérée et on avait rapidement des dépassement de piles faisant planter le logiciel tentant d'afficher l'image. Un bug quoi. Mais ce bug pouvait être utilisé pour faire crasher une partie d'un système, voire, peut-être, de lui faire exécuter un peu n'importe quoi comme code. Donc, une faille de sécurité potentielle.

Une faille comme celle-là sous Windows pourrait très bien être tue ou non-détectée car le code est caché, ou planquée dans une mise à jour de sécurité « groupée ».

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 16-02-2017 18:08:40

jiraya
Membre
Lieu : quelque part sur la planete
Distrib. : debian jessie 8.5
(G)UI : xfce
Inscription : 24-05-2013

Re : classement vulnérabilité 2016

il devrait diviser les CVE de firefox etc de debian pour plus de précision, j'ai teste ubuntu et lui parcontre il se crasch souvent( envoyé le rapport) ils aurait du mettre ubuntu en 2 eme place et flash player en 3 etc...

Hors ligne

#4 16-02-2017 18:21:52

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : classement vulnérabilité 2016

par contre, on voit qu'Adobe reste champion.

Hors ligne

#5 16-02-2017 18:54:18

jiraya
Membre
Lieu : quelque part sur la planete
Distrib. : debian jessie 8.5
(G)UI : xfce
Inscription : 24-05-2013

Re : classement vulnérabilité 2016

et microsoft qui suit derriere adobe ces beau  lol

Hors ligne

#6 17-02-2017 02:08:22

chad
Membre
Lieu : Rennes
Distrib. : debian 9.0
Noyau : 4.9.0-1-amd64
(G)UI : cinnamon 3.2.7
Inscription : 05-02-2017

Re : classement vulnérabilité 2016

oui bof c'est plutot bon signe qu'elles soient detectées

Hors ligne

#7 19-02-2017 17:12:07

Anaxagone
Membre
Distrib. : Debian 8.7 (Jessie)
Noyau : Linux 4.9.0-0.bpo.1-amd64
(G)UI : Gnome 3.14.1
Inscription : 13-02-2017

Re : classement vulnérabilité 2016

"Tu sais, les classements de toute façon, faut pas les prendre au sérieux, parce que le seul principe quand t'as un paquet de classements, c'est que tu choisis celui qui t'arrange." Cédric Villani

"Je commence à comprendre ce que je suis. Je suis défectueuse. Endommagée. Mais la lucidité que j'ai me donne la force de faire ce que tu ne peux pas. C'est ce que je peux être : ta force."

Hors ligne

#8 19-02-2017 22:27:03

Maximilien LIX
Membre
Distrib. : Archlinux
(G)UI : KDE
Inscription : 17-12-2013
Site Web

Re : classement vulnérabilité 2016

Oh je m'attendais pas à une citation de Mr Villani. big_smile

Acer AX3810  (Archlinux & Debian )
Acer Aspire V5 (ubuntu-Mate)
Lenovo Thinkpad Edge E330 ( Archlinux )

Hors ligne

#9 19-02-2017 22:35:18

otyugh
Membre
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016

Re : classement vulnérabilité 2016

Surtout que je me demande bien, si Ubuntu a moins de "vulnérabilité" que Debian, Ubuntu étant dérivé de Debian... Je veux bien qu'ils aient fait quelques patch de sécurité, mais au final ils ont aussi beaucoup plus de paquets, dont une bonne portion non-libre et peu mise à jour (genre skype, flash, ou teamviewer). Mwaif.

T'façon le truc avec les failles, il en suffit d'une, donc le nombre, hein. Ce qui compte c'est la vitesse de l'arrivée du correctif, et le logiciel libre est souvent champion de l'exercice (vu que les déploiement sont centralisés via le gestionnaire de paquet sur la plupart des distributions).

Dernière modification par otyugh (19-02-2017 22:36:27)


L'informaticien sans son vocabulaire spécifique ? Rien d'impressionnant.
Venez les rencontrer en vrai : Agenda du libre

Hors ligne

#10 19-02-2017 22:55:02

Anaxagone
Membre
Distrib. : Debian 8.7 (Jessie)
Noyau : Linux 4.9.0-0.bpo.1-amd64
(G)UI : Gnome 3.14.1
Inscription : 13-02-2017

Re : classement vulnérabilité 2016

Maximilien LIX a écrit :

Oh je m'attendais pas à une citation de Mr Villani. big_smile


Citation tirée du documentaire "Comment j'ai détesté les maths" (que je conseille d'ailleurs) smile
C'est la réponse qu'il a fait quand on lui a dit que mathématicien était classé meilleur métier du monde (par Forbes je crois)

Dernière modification par Anaxagone (19-02-2017 23:00:28)


"Je commence à comprendre ce que je suis. Je suis défectueuse. Endommagée. Mais la lucidité que j'ai me donne la force de faire ce que tu ne peux pas. C'est ce que je peux être : ta force."

Hors ligne

Pied de page des forums