firmware-nonfree (20161130-4) stretch; urgency=medium
* debian/bin/gencontrol.py: Set encoding to UTF-8 globally
* Add back firmware-{adi,ralink} as transitional packages (Closes: #907320)
* debian/control: Point Vcs URLs to Salsa
* Update to linux-support 4.9.0-8
* firmware-brcm80211: Update Broadcom wifi firmware to fix security issues
(Closes: #869639):
- BCM4339 (CVE-2016-0801)
- BCM4354 (CVE-2016-0801, CVE-2017-0561, CVE-2017-9417, CVE-2017-13077,
CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081)
- BCM4356-PCIe (CVE-2016-0801, CVE-2017-0561, CVE-2017-9417,
CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
CVE-2017-13081)
- BCM43340 (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
CVE-2017-13081) (also fixes issues when operating in 5GHz band)
- BCM43362 (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
CVE-2017-13081)
- BCM43430 (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
CVE-2017-13081)
-- Ben Hutchings <ben@decadent.org.uk> Sat, 13 Oct 2018 20:27:06 +0100
et des bugs :
firmware-nonfree (20161130-3) unstable; urgency=medium
* misc-nonfree: Include Intel OPA Gen1 firmware (Closes: #862458)
* misc-nonfree: Add Intel "Broxton" GuC firmware version 8.7 and
Intel "Kabylake" GuC firmware version 9.14 (Closes: #854695)
* iwlwifi: Fix DDC file format for Intel Bluetooth 8260/8265
(Closes: #854907)
* amd-graphics: Add radeon/si58_mc.bin (Closes: #856853)
* Revert "ipw2x00: Downgrade Intel Pro 2200/2915 firwmare to version 3.0"
(Closes: #833551)
* Update to linux-support 4.9.0-1
-- Ben Hutchings <ben@decadent.org.uk> Tue, 06 Jun 2017 00:56:25 +0100
]]>
s'abonner à installer quotidiennement des boîtes noires
Quotidiennement, quotidiennement, je suis pas certain que ça soit le mot le plus adapté en l'occurence ]]>
otyugh a écrit :Faire une mise à jour est strictement équivalent à en installer un nouveau
Pas dans Debian stable, à de rares exceptions près. Les mises à jour ne sont censées corriger que des failles de sécurité ou des bugs sérieux.
Si c'est juste un binare qu'on mets à jour avec un binaire, aucun moyen de savoir ce qu'il se passe vraiment, sinon une très chère retro-engineering que personne va faire ? - À priori quelques octets de code malveillant, on peut faire créer un installateur caché qui va faire une mise à jour plus conséquente plus tard de lui-même, ou installer une nouvelle backdoor. Que je sache.]]>
Faire une mise à jour est strictement équivalent à en installer un nouveau
Pas dans Debian stable, à de rares exceptions près. Les mises à jour ne sont censées corriger que des failles de sécurité ou des bugs sérieux.]]>
otyugh a écrit :cocher des màj privateur par principe, ne serais-ce que de le conseiller... Ça me dérange
Et ça ne t'a pas dérangé d'installer des firmwares non libres ? Il a bien fallu activer les dépôts, non ?
Ben oui, complètement que ça me dérange. Je distingue cependant "installer un truc non fiable une fois" et "m'abonner à des màj (qui vont probablement passer sous mon radar) d'un truc non fiable".]]>
ce genre de vulnérabilité serait publié dans leur flux "https://www.debian.org/security/dsa-long.fr.rdf" ou pas ?
S'il y a une mise à jour, je suppose que oui. Il y a eu des annonces de mises à jour des microcodes pour CPU Intel et AMD à l'occasion des failles Spectre et Meltdown en 2018, mais il me semble avoir lu quelque part que l'équipe de sécurité Debian ne fait pas de support pour les paquets non libres. En dehors de ça je trouve quelques annonces de mises à jour oldoldstable par l'équipe LTS.
cocher des màj privateur par principe, ne serais-ce que de le conseiller... Ça me dérange
Et ça ne t'a pas dérangé d'installer des firmwares non libres ? Il a bien fallu activer les dépôts, non ?]]>
Puis avec "apt show <paquet>" tu peux savoir s'ils sont main/contrib/nonfree.
@Raleur : ce genre de vulnérabilité serait publié dans leur flux "https://www.debian.org/security/dsa-long.fr.rdf" ou pas ?
En tous cas, yup, c'est pas faux. Je me doute bien qu'en informatique on peut rentrer de toute part, et en cela ma "décision éclairée" est juste pas très tenable pour quelqu'un qui n'a pas le temps de s'y intéresser (personnellement juste ça me frit le cul de cocher des màj privateur par principe, ne serais-ce que de le conseiller... Ça me dérange é_è - j'en avais d'ailleurs déjà parlé avec Chalu aussi).
Désolé @Chris pour le mauvais conseil - je pense que Raleur a raison dans la grande majorité des cas, et donc, mea culpa.]]>
Je ne risque donc pas de perdre quelque mise-à-jour que ce soit en ôtant contrib et non-free de de stretch-backports dans sources.list.
Je reste dans le plus sûr des mondes !]]>
je ne met jamais à jour mes firmwares videos propriétaires (c'est le seul truc que j'ai de privateur) ; mais si j'avais quelque chose de propriétaire au niveau d'une appli en contact avec internet
Ah ? La carte graphique n'affiche rien qui vienne d'internet ?
Rappel : sans IOMMU activée et correctement configurée, un périphérique PCI comme la carte graphique peut accéder à toute la mémoire système.]]>
Par prudence, j'efface contrib et non-free de stretch-backports.
Dans ce cas il faut aussi supprimer tous les éventuels paquets correspondants installés.]]>