Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 03-02-2019 11:41:59

chrispierret
Membre
Distrib. : Debian 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : MATE Desktop Environment 1.20.4
Inscription : 04-02-2017

[Résolu] Des risques avec contrib et non-free ?

Bonjour,
Je suis un utilisateur basique, faisant presque exclusivement de la bureautique, sur Debian stable.
Je viens d’installer la version 6.1.4.2 de LibreOffice, pour la fonctionnalité EPUB. Selon les conseils que j’ai trouvé (sur https://www.numetopia.fr) et appliqué avec succès, il était proposé d’ajouter dans sources.list la ligne : deb http://ftp.debian.org/debian stretch-backports main
Je n’en ai rien fait puisqu’elle y figurait déjà, avec en plus de main les indications contrib et non-free.
Tout a parfaitement fonctionné. Mais j’ai un doute. Est-ce que lors de futures mises à jour ne seront pas, à cause de ces mentions, installées des versions trop expérimentales de LibreOffice ? N’y a-t-il pas un risque ? Ne serait-il pas plus prudent de les effacer ? Mais alors, ne me priverai-je pas de… je ne sais quoi ?
Merci pour votre avis.

Dernière modification par chrispierret (03-02-2019 12:42:44)

Hors ligne

#2 03-02-2019 12:12:56

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu] Des risques avec contrib et non-free ?

Avec un paquet backport d'installé tu ne profites pas des corrections de sécurité de la team debian, et auront été moins testé en général.

C'est toujours bon de faire les MàJ de backport si tu as des paquets qui viennent de là, surtout pour le logiciel libre backporté; je pense "qu'il faut", ou alternativement désinstalle-les et remet la version stable à la place. Donc dans l'absolu "non il ne faut pas retirer backport du sources-list" si tu continues à en avoir d'installé sur ton système.

Nonfree est par contre *toujours* un problème de sécurité potentiel vu qu'il n'y a aucun moyen d'auditer sérieusement ce que fait le code ; backporté ou non : fais comme tu préfères. La bonne pratique voudraient qu'on fasse confiance au discernement de debian ; bien qu'en nonfree ils peuvent pas faire de miracles (c'est un peu l'ambivalence du nonfree chez debian : comment faire confiance à la distributions de logiciels invérifiables ? Ça casse un peu l'envie de solidité/confiance qu'on veut placer chez debian. Mais de l'autre, beaucoup d'ordinateurs ne fonctionneraient pas sans un bout de code propriétaire).

Dernière modification par otyugh (03-02-2019 12:20:56)


virtue_signaling.png
Pas de repos pour les oppresseurs ! (/me inclus)

En ligne

#3 03-02-2019 12:30:26

MicP
Membre
Inscription : 29-02-2016

Re : [Résolu] Des risques avec contrib et non-free ?

Bonjour

Pour info, un extrait de la page web debian concernant le fichier /etc/apt/sources.list :

"debian.org -> Wiki -> SourcesList # Composants" a écrit :


- La section main comprend l'ensemble des paquets qui se conforment aux DFSG - Directives Debian pour le logiciel libre
    et qui n'ont pas besoin de programmes en dehors de ce périmètre pour fonctionner.
    Ce sont les seuls paquets considérés comme faisant partie de la distribution Debian.

- La section contrib comprend l'ensemble des paquets qui se conforment aux DFSG,
    mais qui ont des dépendances en dehors de main (qui peuvent être empaquetées pour Debian dans non-free).

- La section non-free contient des logiciels qui ne se conforment pas aux DFSG.

Hors ligne

#4 03-02-2019 12:42:14

chrispierret
Membre
Distrib. : Debian 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : MATE Desktop Environment 1.20.4
Inscription : 04-02-2017

Re : [Résolu] Des risques avec contrib et non-free ?

Oui, merci,
Par prudence, j'efface contrib et non-free de stretch-backports.
Question résolue.

Hors ligne

#5 03-02-2019 12:59:43

Frosch
Membre
Distrib. : FreeBSD
(G)UI : Xfce
Inscription : 09-12-2015

Re : [Résolu] Des risques avec contrib et non-free ?

Au cas où tu veux savoir si tu as des paquets issus de contrib et non-free installés, tu peux utiliser vrms (virtual Richard M. Stallman)

Hors ligne

#6 03-02-2019 13:16:12

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Des risques avec contrib et non-free ?

otyugh a écrit :

Nonfree est par contre *toujours* un problème de sécurité potentiel vu qu'il n'y a aucun moyen d'auditer sérieusement ce que fait le code


Attention, il y a un peu de tout dans non-free : du binaire impossible à auditer, mais aussi du code source parfaitement auditable, placé dans non-free parce que sa licence n'est pas totalement compatible avec Debian.


Il vaut mieux montrer que raconter.

Hors ligne

#7 03-02-2019 13:18:21

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Des risques avec contrib et non-free ?

chrispierret a écrit :

Par prudence, j'efface contrib et non-free de stretch-backports.


Dans ce cas il faut aussi supprimer tous les éventuels paquets correspondants installés.


Il vaut mieux montrer que raconter.

Hors ligne

#8 03-02-2019 13:46:22

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu] Des risques avec contrib et non-free ?

Assez d'accord avec les préconisations de Râleur (comme d'habitude) - après si la "réponse élégante" est celle-là, le reste me semble plus être des applications propriétaires que tu utilises, d'où tu places ta confiance....

Personnellement je ne met jamais à jour mes firmwares videos propriétaires (c'est le seul truc que j'ai de privateur) ; mais si j'avais quelque chose de propriétaire au niveau d'une appli en contact avec internet (et en supposant que j'ai fait le deuil du logiciel libre), j'aurais activé le nonfree dans mon sources.list ; le poid de danger via les failles non-corrigées me semble supérieur au risque d'une mise à jour malware. Mais dans le cas d'un driver de carte graphique je me dis "meh, tant pis".

"vrms" pour détecter tous les paquets qui ne sont pas libres (se base sur une liste de licences, donc n'est pas absolu ; et "apt policy <paquet>" pour savoir sa version)

Dernière modification par otyugh (03-02-2019 13:48:57)


virtue_signaling.png
Pas de repos pour les oppresseurs ! (/me inclus)

En ligne

#9 03-02-2019 14:43:38

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Des risques avec contrib et non-free ?

L'élégance n'a rien à voir là-dedans, il s'agit de cohérence et de sécurité. Désactiver un dépôt ou section dont on a installé un paquet signifie qu'on ne bénéficiera pas des éventuelles mises à jour de sécurité de ce paquet.

otyugh a écrit :

je ne met jamais à jour mes firmwares videos propriétaires (c'est le seul truc que j'ai de privateur) ; mais si j'avais quelque chose de propriétaire au niveau d'une appli en contact avec internet


Ah ? La carte graphique n'affiche rien qui vienne d'internet ?
Rappel : sans IOMMU activée et correctement configurée, un périphérique PCI comme la carte graphique peut accéder à toute la mémoire système.

Dernière modification par raleur (03-02-2019 16:07:56)


Il vaut mieux montrer que raconter.

Hors ligne

#10 03-02-2019 15:52:23

chrispierret
Membre
Distrib. : Debian 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : MATE Desktop Environment 1.20.4
Inscription : 04-02-2017

Re : [Résolu] Des risques avec contrib et non-free ?

Je viens d'installer et lancer VRMS, dont voici le verdict :

$ vrms
No non-free or contrib packages installed on debian!  rms would be proud.



Je ne risque donc pas de perdre quelque mise-à-jour que ce soit en ôtant contrib et non-free de de stretch-backports dans sources.list.

Je reste dans le plus sûr des mondes !

Hors ligne

#11 03-02-2019 17:38:58

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu] Des risques avec contrib et non-free ?

@Chris : comme je le disais plus haut, vrms est loin d'être un outil absolu, vaut mieux se réferer au classement de debian par son gestionnaire de paquet. Par contre je serai bien en peine de te donner la commande utilisant apt/dpkg/aptitude pour lister les logiciels backporté de nonfree/contrib... Mais ça doit complètement être faisable ^^'

En "méthode manuelle" si t'en a pas beaucoup  choper la: liste des paquets backportés installés :

dpkg-query -W | grep '~bpo'


Puis avec "apt show <paquet>" tu peux savoir s'ils sont main/contrib/nonfree.


@Raleur : ce genre de vulnérabilité serait publié dans leur flux "https://www.debian.org/security/dsa-long.fr.rdf" ou pas ?
En tous cas, yup, c'est pas faux. Je me doute bien qu'en informatique on peut rentrer de toute part, et en cela ma "décision éclairée" est juste pas très tenable pour quelqu'un qui n'a pas le temps de s'y intéresser (personnellement juste ça me frit le cul de cocher des màj privateur par principe, ne serais-ce que de le conseiller... Ça me dérange é_è - j'en avais d'ailleurs déjà parlé avec Chalu aussi).

Désolé @Chris pour le mauvais conseil - je pense que Raleur a raison dans la grande majorité des cas, et donc, mea culpa.

Dernière modification par otyugh (03-02-2019 17:45:42)


virtue_signaling.png
Pas de repos pour les oppresseurs ! (/me inclus)

En ligne

#12 03-02-2019 18:16:45

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Des risques avec contrib et non-free ?

otyugh a écrit :

ce genre de vulnérabilité serait publié dans leur flux "https://www.debian.org/security/dsa-long.fr.rdf" ou pas ?


S'il y a une mise à jour, je suppose que oui. Il y a eu des annonces de mises à jour des microcodes pour CPU Intel et AMD à l'occasion des failles Spectre et Meltdown en 2018, mais il me semble avoir lu quelque part que l'équipe de sécurité Debian ne fait pas de support pour les paquets non libres. En dehors de ça je trouve quelques annonces de mises à jour oldoldstable par l'équipe LTS.

otyugh a écrit :

cocher des màj privateur par principe, ne serais-ce que de le conseiller... Ça me dérange


Et ça ne t'a pas dérangé d'installer des firmwares non libres ? Il a bien fallu activer les dépôts, non ?


Il vaut mieux montrer que raconter.

Hors ligne

#13 03-02-2019 20:22:22

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu] Des risques avec contrib et non-free ?

raleur a écrit :

otyugh a écrit :

cocher des màj privateur par principe, ne serais-ce que de le conseiller... Ça me dérange


Et ça ne t'a pas dérangé d'installer des firmwares non libres ? Il a bien fallu activer les dépôts, non ?


Ben oui, complètement que ça me dérange. Je distingue cependant "installer un truc non fiable une fois" et "m'abonner à des màj (qui vont probablement passer sous mon radar) d'un truc non fiable".

Dernière modification par otyugh (03-02-2019 20:23:38)


virtue_signaling.png
Pas de repos pour les oppresseurs ! (/me inclus)

En ligne

#14 03-02-2019 20:30:55

Frosch
Membre
Distrib. : FreeBSD
(G)UI : Xfce
Inscription : 09-12-2015

Re : [Résolu] Des risques avec contrib et non-free ?

Je trouve ça plutôt curieux comme façon de voir les choses, si tu as installé un truc propriétaire, autant qu'il soit mis à jour, non? La màj va pas le rendre plus propriétaire qu'il l'est déjà tongue

Hors ligne

#15 03-02-2019 21:36:02

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu] Des risques avec contrib et non-free ?

Un logiciel évolue. Faire une mise à jour est strictement équivalent à en installer un nouveau. À mon sens installer un logiciel "boîte noir" est préocuppant - s'abonner à installer quotidiennement des boîtes noir l'est encore plus.
Avec quelques octets malveillants, tu peux faire un script qui ira mettre à jour plein de trucs en cascade ; donc je trouve "confortant" de fermer le robinet à cette possibilité - bien que ça ouvre celle des failles nouvelles trouvées, certainement.

Ou alors il faut considérer qu'on fait confiance aveuglément à l'entreprise bidule qui développer le pilote en question: dans ce cas là, OK, on s'abandonne, pas de problème. Je ne peux pas prétendre ressentir ce genre de confiance, personnellement (de fait "par principe" des gens qui font du logiciel non libre, je ne veux pas accorder ma confiance).

Je préfère un vieux malware qui peut-être aura des fonctionalités plus maintenanues et donc "mort" (genre qui veut envoyer des données ou se mettre à jour tout seul via un DNS mort, ou sur un serveur qui n'est plus en ligne), qu'une boîte noir flambant neuf, avec tout à jour.

Du moins, pour mon usage perso à moi. Pour installer à quelqu'un d'autre, vous m'avez assez convaincu - à l'échelle personne, j'avoue que je reste dans mon idée. Je ne trouve pas "souhaitable" de mettre à jour automatiquement du machin privateur, et je trouve aussi peu souhaitable que apt me propose d'installer du logiciel privateur ou contrib que je pourrais installer par erreur. - Préférence perso, qui je le conçois, est probablement "pas acceptable" si on gère le parc informatique d.

Dernière modification par otyugh (03-02-2019 21:43:40)


virtue_signaling.png
Pas de repos pour les oppresseurs ! (/me inclus)

En ligne

#16 03-02-2019 21:41:03

raleur
Membre
Inscription : 03-10-2014

Re : [Résolu] Des risques avec contrib et non-free ?

otyugh a écrit :

Faire une mise à jour est strictement équivalent à en installer un nouveau


Pas dans Debian stable, à de rares exceptions près. Les mises à jour ne sont censées corriger que des failles de sécurité ou des bugs sérieux.


Il vaut mieux montrer que raconter.

Hors ligne

#17 03-02-2019 21:44:17

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu] Des risques avec contrib et non-free ?

raleur a écrit :

otyugh a écrit :

Faire une mise à jour est strictement équivalent à en installer un nouveau


Pas dans Debian stable, à de rares exceptions près. Les mises à jour ne sont censées corriger que des failles de sécurité ou des bugs sérieux.


Si c'est juste un binare qu'on mets à jour avec un binaire, aucun moyen de savoir ce qu'il se passe vraiment, sinon une très chère retro-engineering que personne va faire ? - À priori quelques octets de code malveillant, on peut faire créer un installateur caché qui va faire une mise à jour plus conséquente plus tard de lui-même, ou installer une nouvelle backdoor. Que je sache.

Dernière modification par otyugh (03-02-2019 21:47:36)


virtue_signaling.png
Pas de repos pour les oppresseurs ! (/me inclus)

En ligne

#18 03-02-2019 21:46:16

Frosch
Membre
Distrib. : FreeBSD
(G)UI : Xfce
Inscription : 09-12-2015

Re : [Résolu] Des risques avec contrib et non-free ?

otyugh a écrit :

s'abonner à installer quotidiennement des boîtes noires

Quotidiennement, quotidiennement, je suis pas certain que ça soit le mot le plus adapté en l'occurence big_smile

Hors ligne

#19 03-02-2019 21:51:03

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : [Résolu] Des risques avec contrib et non-free ?

Nah mais tu vois l'idée.

Et j'ai *vraiment* conscience que c'est pas élégant (le "bien faire" veut toujours qu'on applique les mise à jours, c'est dans le manuel), mais je constate que je suis pas forcément au claire ; depuis aujourd'hui Raleur m'introduit au fait qu'on puisse avoir des failles via un driver de CG non-maintenu ; ce qui ne sonne pas comme étonnant, quelque part. ...Mais à la fois j'y avais pas trop pensé non plus.

"Où est la plus grand probabilité de se faire niquer ?", j'avoue que là... Je sais pas trop s'il y a des statistiques sur le sujet. J'estimerai à priori que les chances de se faire hacker via le firmware non maintenu de sa CG est faible, mais j'en sais rien. tongue

Ptéte chercher des rapport de faille sur ma version de driver ? Mah.

Dernière modification par otyugh (03-02-2019 21:56:55)


virtue_signaling.png
Pas de repos pour les oppresseurs ! (/me inclus)

En ligne

#20 04-02-2019 08:48:49

chalu
Modératrice
Lieu : Anjou
Distrib. : openSUSE Tumbleweed
Noyau : Linux 5.12
(G)UI : KDE 5.21.4
Inscription : 11-03-2016

Re : [Résolu] Des risques avec contrib et non-free ?

@otyugh : je t’en avais parlé sur le fil de ton iso, que pour moi ce n’etait pas cohérent ni une bonne chose d’installer un paquet firmware non-free puis de désactiver son dépôt smile
Les mises à jour sont rares mais il y en a
pour des corrections de sécurité :

firmware-nonfree (20161130-4) stretch; urgency=medium

  * debian/bin/gencontrol.py: Set encoding to UTF-8 globally
  * Add back firmware-{adi,ralink} as transitional packages (Closes: #907320)
  * debian/control: Point Vcs URLs to Salsa
  * Update to linux-support 4.9.0-8
  * firmware-brcm80211: Update Broadcom wifi firmware to fix security issues
    (Closes: #869639):
    - BCM4339 (CVE-2016-0801)
    - BCM4354 (CVE-2016-0801, CVE-2017-0561, CVE-2017-9417, CVE-2017-13077,
      CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081)
    - BCM4356-PCIe (CVE-2016-0801, CVE-2017-0561, CVE-2017-9417,
      CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
      CVE-2017-13081)
    - BCM43340 (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
      CVE-2017-13081) (also fixes issues when operating in 5GHz band)
    - BCM43362 (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
      CVE-2017-13081)
    - BCM43430 (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
      CVE-2017-13081)

-- Ben Hutchings <ben@decadent.org.uk>  Sat, 13 Oct 2018 20:27:06 +0100


et des bugs :

firmware-nonfree (20161130-3) unstable; urgency=medium

  * misc-nonfree: Include Intel OPA Gen1 firmware (Closes: #862458)
  * misc-nonfree: Add Intel "Broxton" GuC firmware version 8.7 and
    Intel "Kabylake" GuC firmware version 9.14 (Closes: #854695)
  * iwlwifi: Fix DDC file format for Intel Bluetooth 8260/8265
    (Closes: #854907)
  * amd-graphics: Add radeon/si58_mc.bin (Closes: #856853)
  * Revert "ipw2x00: Downgrade Intel Pro 2200/2915 firwmare to version 3.0"
    (Closes: #833551)
  * Update to linux-support 4.9.0-1

-- Ben Hutchings <ben@decadent.org.uk>  Tue, 06 Jun 2017 00:56:25 +0100

Hors ligne

#21 04-02-2019 10:23:35

robert2a
Membre
Distrib. : Bookworm version 12
Noyau : kernel 6.x.x
(G)UI : Mate
Inscription : 15-11-2014

Re : [Résolu] Des risques avec contrib et non-free ?

Bonjour

pour le driver non free nvidia par exemple  =>  https://security-tracker.debian.org/tra … cs-drivers
pour  le firmware au hasard => https://security-tracker.debian.org/tra … re-nonfree

pour une année il y a plus de correctif pour xserver-xorg-video-nvidia que pour xserver-xorg-video-amdgpu
pour un firmware c'est plutôt ajout de matériel pris en charge , que correctif de bug ou sécurité et assez rare (une fois par an pour debian déjà pas mal )

pour utiliser des drivers nonfree , c'est assez souvent qu il y a des mises a jours (même pour spectre ).

Dernière modification par robert2a (04-02-2019 10:40:56)


Machines : kabylake I7 7700 , AMD 1700(X) ,AMD 5700X ,AMD threadripper gen1 , AMD Raven R3 2200G , AMD FX(tm)-8320

Hors ligne

Pied de page des forums