Mes activités libres en avril 2015

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 26,25 heures de travail sur Debian LTS qui ont été subventionnées. Elles ont été consacrées aux tâches suivantes :

  • Tri de vulnérabilités CVE : j’ai poussé 52 commits vers le suiveur de sécurité. J’ai fini un nouveau script d’aide (bin/lts-cve-triage.py) qui s’appuie sur la sortie JSON qu’Holger a implémenté dernièrement. Cela permet de trier plus rapidement certains problèmes, en se basant sur le travail de tri déjà réalisé par l’équipe de sécurité Debian ;
  • J’ai soumis le rapport de bogue n°783005 afin de clarifier la situation de libhtp et suricata dans unstable (J’ai découvert ce souci alors que je triais les problèmes affectant ces paquets) ;
  • J’ai passé en revue et parrainé la DLA-197-1 de Nguyen Cong corrigeant 5 vulnérabilités CVE de libvncserver ;
  • J’ai publié la DLA-199-1 corrigeant une vulnérabilité CVE de libx11. J’ai également utilisé codesearch.debian.net afin d’identifier tous les paquets qui devaient être recompilés avec la macro corrigée, et les ai tous uploadés (Il y en avait 11) ;
  • J’ai parrainé la DLA-207-1 de James McCoy corrigeant 7 vulnérabilités CVE de subversion;
  • J’ai publié la DLA-210-1 corrigeant 5 vulnérabilités CVE de qt4-x11 ;
  • J’ai publié la DLA-213-1 corrigeant 7 vulnérabilités CVE de openjdk-6 ;
  • J’ai publié la DLA-214-1 corrigeant 1 vulnérabilité CVE de libxml-libxml-perl ;
  • J’ai publié la DLA-215-1 corrigeant 1 vulnérabilité CVE de libjson-ruby. Ce rétroportage n’était pas trivial mais par chance il incluait des tests de non-régression ;
  • J’ai soumis le rapport de bogue n°783800 concernant une gestion incorrecte par le suiveur de sécurité de squeeze-lts/non-free.

Toujours au sujet de Debian LTS, mais de manière bénévole, j’ai travaillé à plusieurs autres choses :

Autres travaux Debian

Demande de nouvelle fonctionnalité pour update-alternatives Après discussion avec Josselin Mouette lors de la mini-DebConf à Lyon, j’ai soumis le rapport n°782493 demandant la possibilité de passer outre la priorité par défaut des alternatives enregistrées dans update-alternatives (le tout avec un mécanisme permettant de gérer cela au niveau du système et non pas du paquet). Cela rendrait les choses plus faciles aux distributions dérivées lorsqu’elles souhaitent faire des choix différents de ceux de Debian.

Parrainage d’un upload de dnsjava J’ai parrainé ce NMU (« Non-Maintener Upload ») qui introduit une nouvelle version amont nécessaire à jitsi. En outre, j’ai informé l’équipe MIA que les mainteneurs de dnsjava avaient disparu.

Correctif pour python-crcmod et uploads vers *-backports Un membre de l’équipe Google Cloud souhaitait que ce paquet (avec son extension C) soit disponible pour les utilisateurs de Wheezy. J’ai donc effectué un NMU du paquet vers unstable, afin de corriger le n°782379, et de préparer les rétroportages vers wheezy-backports et jessie-backports (en ce qui concerne ce dernier : l’envoi s’est fait uniquement après que l’équipe chargée de la publication ait rejeté un correctif pour Jessie, cf. le n°782766).

Ancien et nouveau systèmes de suivi des paquets pour la publication de Jessie Je me suis occupé de mettre à jour tracker.debian.org et packages.qa.debian.org afin que la publication de Jessie soit prise en compte. Ce qui, fait le plus notable, a introduit la notion de « oldoldstable » comme nom pour Squeeze jusqu’à la fin de sa vie.

J’ai reçu avec plaisir des remerciements Rien que je n’ai fait ici, mais j’ai pris plaisir à lire les nombreux remerciements spontanés en réponse au communiqué laconique et ingrat de Guillem annonçant mon retrait de la maintenance de dpkg. J’aime la communauté Debian. Merci.

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in April 2015 contribuée par Weierstrass01.

Mes activités libres en mars 2015

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 15,25 heures de travail sur Debian LTS qui ont été subventionnées. Elles ont été consacrées aux tâches suivantes :

  • Tri de vulnérabilités CVE : j’ai poussé 37 commits vers le suiveur de sécurité, et contacté 20 mainteneurs à propos de failles de sécurité affectant leurs paquets;
  • J’ai commencé à coder un script d’aide basé sur la nouvelle sortie JSON du suiveur de sécurité (cf. le rapport n°761859 pour de plus amples détails). Il n’est pas encore finalisé, mais une fois fini il va permettre d’identifier plus facilement les bogues pour lesquels l’équipe LTS est en retard sur le travail de l’équipe de sécurité, ainsi que d’autres divergences semblables, ce qui accélérera le tri des CVE dans le futur;
  • J’ai poussé la DLA-174-1 (mise à jour de tcpdump corrigeant 3 CVE) après avoir reçu un debdiff de Romain Françoise;
  • J’ai préparé la DLA-175-1 concernant gnupg, corrigeant 3 CVE ;
  • J’ai également préparé la DLA-180-1 concernant gnutls26, corrigeant 3 CVE.

Voilà tout pour ce qui est du travail subventionné, mais, toujours au sujet de Debian LTS, j’ai également proposé la tenue de deux événements lors de Debconf 15 :

A Debian LTS logoJ’ai mentionné rapidement, dans mon dernier billet Freexian concernant LTS, qu’il serait chouette d’avoir un logo propre au projet. J’ai reçu peu après un premier logo préparé par Damien Escoffier, suivi d’autres : ils sont tous visibles sur la page wiki dédiée (et le logo que vous voyez ci-dessus est de lui !). Sur la suggestion de Paul Wise, j’ai enregistré l’appel à contribution d’un logo sur une autre page du wiki dédiée aux demandes d’illustrations. Ce type de collaboration est géniale ! Merci à tous les artistes impliqués dans Debian.

Empaquetage Debian

Django Ce mois a vu pas moins de 3 versions amont mineures empaquetées pour Debian (1.7.5, 1.7.6 et 1.7.7), et elles ont été acceptées pour Jessie par l’équipe chargée de la publication. La tolérance dont il est fait preuve pour ces mises à jour amont me réjouit, dans la mesure où j’ai plaidé en sa faveur à de multiples reprises dans le passé, compte tenu de la saine politique de publication conduite par l’amont (uniquement des corrections de bogues pour une branche déjà publiée).

Analyse de code Python J’ai découvert il y a quelques mois un logiciel combinant la puissance de plusieurs autres outils d’analyse de code Python : prospector. Je viens juste de remplir une « demande d’empaquetage » le concernant (cf. le n°781165), et quelqu’un s’est déjà porté volontaire pour l’empaqueter \o/

update-rc.d et systemd Alors que je travaillais sur une version de Kali basée sur Jessie, j’ai été ennuyé par ce qu’il s’est avéré être une mauvaise interaction entre systemd et update-rc.d (cf. le n°746580). Après quelques échanges avec d’autres utilisateurs également affectés, j’ai élevé le niveau du bogue à « sérieux » pour que nous soyons réellement tenus de faire quelque chose avant la publication. J’ai également ouvert le n°781155 concernant openbsd-inetd, dans la mesure où son usage de inetd.service en lieu et place de openbsd-inetd.service (qui se trouve être uniquement présent via un lien symbolique vers le premier) mène à de multiples petits problèmes.

Divers

Debian France L’assemblée générale a eu lieu et le nouveau Bureau a élu son président : c’est maintenant officiel, je ne suis plus le président de Debian France. Bonne chance à Nicolas Dandrimont, qui me succède à ce poste.

Formule Salt pour OpenSSH J’ai amélioré la formule Salt pour OpenSSH, afin de rendre possible la gestion du fichier /etc/ssh/ssh_known_hosts, qui référence les clés publiques SSH d’autres machines administrées.

Tendenci.com J’étais à la recherche d’une solution logicielle permettant la gestion d’une base importante d’adhérents pour une association à but non lucratif, et j’ai découvert Tendenci. Cela m’a semblé très intéressant pour ce qui est des fonctionnalités proposées, et codé via un langage/plate-forme que j’affectionne (Python/Django). Mais bien qu’il soit sous licence libre, il n’y a aucune communauté le supportant. La société qui l’a développé l’a publié sous une licence libre, et il apparaît qu’ils ont réellement essayé de bâtir une communauté autour de ce produit. Mais ils ont échoué. Lorsque j’y ai regardé de plus près, leurs « forums de développement » étaient basés sur des pages Web et étaient pratiquement vides, avec seulement une discussion initiée par les développeurs actuels, et sans aucune réponse… Il n’y a aucune mention d’un canal IRC ou d’une liste de diffusion. Je leur ai envoyé un courrier électronique pour savoir à quel type de collaboration on pouvait s’attendre si on choisissait leur solution, et n’ai reçu aucune réponse. Dommage, vraiment.

Quelle solution libre de gestion d’adhésions utiliseriez-vous si vous aviez plus de 10 000 adhérents, et que vous souhaitiez utiliser la base de données correspondante pour offrir une authentification SSO pour de multiples services externes ?

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in March 2015 contribuée par Weierstrass01.

Mes activités libres en février 2015

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 14,5 heures de travail sur Debian LTS qui ont été subventionnées. J’ai principalement travaillé au tri des vulnérabilités CVE (41 commits vers le suiveur de sécurité) et aux problèmes d’organisation.

Un mainteneur s’est plaint de ne pas avoir été gardé dans la boucle d’une mise à jour LTS de son paquet. Après discussion, j’ai décidé de changer la façon dont je réalisais le tri des CVE. A partir de maintenant, chaque fois que j’ajoute un paquet à notre liste de paquets nécessitant une mise à jour, j’envoie également un email à son mainteneur, lui offrant ainsi l’opportunité de s’impliquer.

Afin que cela soit supportable en termes de charge, j’ai écrit un petit script qui génère un email à partir d’un modèle. Et pour lancer ce processus, j’ai envoyé un email à tous les mainteneurs de tous les paquets qui étaient déjà dans notre pile de paquets à mettre à jour.

J’ai demandé à ce qu’un export au format JSON des données du suiveur de sécurité soit disponible, de sorte à améliorer les emails générés (cf. les discussions autour du n°761859). Dans l’intervalle, Holger a travaillé dessus et, après quelques itérations, nous avons convergé vers un format de sortie à la fois très utile pour mes besoins en termes de tri CVE, mais également pour le suiveur de paquets, car rendant possible l’affichage de la liste des vulnérabilités de sécurité affectant chaque version (cf. le n°761730).

Last but not least, je ne souhaite pas être le seul à effectuer ce tri des vulnérabilités CVE pour nos versions LTS, en conséquence de quoi j’ai documenté ce processus sur notre page wiki.

Note : j’ai parrainé une mise à jour de e2fsprogs préparée par Nguyen Cong, et j’ai envoyé la DLA pour la mise à jour de la version de samba placée sous embargo, qui a été préparée par Ivo de Decker (merci à tous les deux !).

Tryton

Comme le mois dernier, j’ai passé un temps certain sur Tryton, corrigeant certains bogues qui m’affectaient et améliorant la définition du plan comptable français, ce afin que les achats et ventes au sein de l’Union Européenne soient correctement gérés. Voici quelques liens pour plus de détails :

Debian

J’ai un peu travaillé sur Distro Tracker, où j’ai corrigé le n°777453 (réinitialisation non fonctionnelle du mot de passe car l’email généré utilisait une adresse email « From » invalide) ainsi que le n°779247 (les éléments d’action reproductible des compilations obsolètes n’étaient pas supprimés). J’ai également commencé à restructurer la gestion des emails dans distro-tracker (cf. n°754913), mais ce n’est pas encore publié.

Bien que je n’ai aucune intention d’arrêter ma contribution envers Debian (cela fait partie de mon travail quotidien !), j’ai réduit mon implication – pour ce qui n’est pas lié à mon travail – en reconnaissant officiellement que je n’étais plus en mesure d’assurer correctement certaines de mes responsabilités, et que je suivais trop de listes de diffusions ou de flux RSS. Les changements les plus notables sont mon retrait de la maintenance de dpkg, de developers-reference, quilt, sql-ledger, et de quelques modules perl/python.

Divers

Logiciel de vote Une des raisons de la réduction de ma contribution envers Debian vient de mon implication croissante dans Nouvelle Donne (un parti politique français), et plus particulièrement dans la gestion de son infrastructure numérique (qui tourne actuellement sous Ubuntu, doh !). Corollaire du point précédent, je cherchais un logiciel libre capable de gérer de manière sécurisée les votes et élections (et, si possible, qui adhère au principe de la démocratie liquide). Aucune solution n’est parfaite et il n’y a pas de vainqueur qui émerge clairement.

Ceci étant, j’ai commencé à suivre l’évolution de AgoraVoting, car il semble profiter d’une bonne dynamique et dispose de fonctionnalités intéressantes (il supporte dès à présent les votes par classement des choix, de bons mécanismes de chiffrement, et a été utilisé dans le contexte de Podemos, en Espagne, pour des élections impliquant un nombre important de votants). Il a toutefois des progrès à faire pour obtenir le statut d’un projet réellement international et supporté par la communauté.

Bogue GDM Du fait de mon travail sur Kali, j’ai créé ce rapport concernant GDM (ce dernier a été rapidement corrigé en amont, il est toujours ouvert dans Debian) ainsi que celui-là concernant accountsservice, pour qu’il soit possible de définir la session graphique par défaut.

Formule Dirvish pour Salt J’ai contribué une autre formule pour la gestion des sauvegardes avec dirvish.

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in February 2015 contribuée par Weierstrass01.

Mes activités libres en janvier 2015

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 12 heures de travail sur Debian LTS qui ont été subventionnées. Voici le résumé des tâches qui m’ont occupé :

  • Tri de vulnérabilités CVE. J’ai poussé 24 commits vers le suiveur de sécurité. J’ai passé plus de temps que d’habitude à cette tâche ce mois-ci (cf. ci-dessous);
  • J’ai publié la DLA-143-1 concernant python-django (corrigeant 3 vulnérabilités CVE). Alors que j’espérais que la mise à jour soit rapide, mes tests ont révélé que, bien que les patchs fussent bien appliqués en majorité, ils ne fonctionnaient pas comme attendu. J’ai du coup passé 4 heures à rétroporter proprement les correctifs et à effectuer les tests correspondants (afin de m’assurer que les patchs fonctionnaient enfin correctement).

Je souhaite expliciter ici un peu plus avant deux cas auxquels j’ai été confronté dans mon tri des vulnérabilités CVE, et qui ont chacun nécessité pas mal de temps d’investigation. Si la description a posteriori que je vais en faire semble logique, simple et directe, il en a été tout autrement pour en venir à bout, ce qui a impliqué beaucoup d’itérations et de collectes de données que je ne mentionnerai pas ici.

Pour commencer, j’étais en train d’investiguer la vulnérabilité CVE-2012-6685 concernant libnokogiri-ruby, et la discussion du bogue upstream a révélé que libxml2 pouvait également être lié au problème. En utilisant les cas de tests soumis, j’ai confirmé que libxml2 était également affecté par un problème qui lui était propre… puis j’ai commencé à analyser l’historique CVE de libxml2 afin de trouver si un numéro CVE lui avait été affecté. Ce qui était le cas, la n°CVE-2014-0191 (bien que la description n’en souffle mot). Ceci étant, cette vulnérabilité était marquée comme corrigée dans toutes les versions. Comment donc ? Il s’est avéré que le correctif fourni par l’amont pour cette CVE était juste le complément d’un autre commit qui fut intégré beaucoup plus tôt (et qui fut utilisé comme base du commit, comme le montre les copier/coller des commentaires). Lorsque l’équipe de sécurité a intégré ce patch dans Wheezy/Squeeze, ils n’étaient probablement pas au courant que le correctif complet requérait également l’inclusion d’autre chose. En conséquence, j’ai réouvert la vulnérabilité CVE-2014-0191 sur notre suiveur (le commit correspondant).

Le second cas problématique fut pound. Thijs Kinkhorst a ajouté des données relatives à pound en relation avec de nombreux soucis SSL. Ce qui fit apparaître pound sur ma liste des nouveaux paquets vulnérables dans Squeeze, car la vulnérabilité CVE-2009-3555 était marquée comme corrigée dans la version 2.6-2, tandis que Squeeze ne dispose que de la version 2.5-1. Il n’y avait aucune référence à un bogue dans le suiveur de sécurité et l’historique des modifications Debian pour cette version ne mentionnait qu’un « patch anti_beast », qui est encore une autre vulnérabilité (CVE-2011-3389). Je devais creuser encore un peu plus profondément…et je découvris in fine que le patch précédent avait également à voir avec la CVE qui m’intéressait. Mais Brian May avait récemment remonté dans le bogue n°765649 que ce paquet était toujours vulnérable à cette faille ! J’ai essayé de comprendre où ce patch était déficient et j’ai remonté mes trouvailles dans le ticket. J’ai mis à jour les données du suiveur avec mes connaissances nouvellement acquises (commit 31751 et 31752).

Tryton

En ce qui me concerne, janvier est toujours le mois où j’essaye de clôturer les comptes de Freexian. Cette année ne fait pas exception à la règle, bien que ce soit la première fois où j’accomplis cette tâche avec Tryton. J’ai en premier lieu mis à niveau vers la version 3.4 afin de profiter de la dernière version de Tryton.

Malgré cela, j’ai découvert de multiples problèmes lors de la clôture…et comme je ne veux pas être confronté aux mêmes problèmes l’année prochaine, je les ai remontés et ai préparé des correctifs pour ceux concernant le plan comptable français :

  • n°4464: l’export CSV des vues hiérarchiques est inutilisable;
  • n°4466: ajout des propriétés de report manquantes des comptes;
  • n°4468: suppression de propriétés abusives de réconciliation sur certains comptes;
  • n°4469: conversion du compte 6354 en un vrai compte;
  • n°4479: la balance des comptes non reportables ne marche pas avec certains comptes parents.

Saltstack

J’ai mentionné cette idée le mois dernier : mettre en place et maintenir de nombreux chroots sbuild peut être fastidieux, et j’ai donc souhaité l’automatiser le plus possible. A cette fin, j’ai créé trois formules Salt et les ai fait ajouter au dépôt officiel Saltstack :

Chacune est construite par-dessus la précédente. debootstrap-formula crée des chroots avec debootstrap ou cdebootstrap. schroot-formula fait la même chose et enregistre ces chroots dans schroot. sbuild-formula fait la même chose que schroot-formula mais avec différents paramètres par défaut qui sont plus adaptés aux chroots sbuild (et bien entendu contrôle que sbuild est installé et que les chroots générés sont des chroots buildd).

Avec la formule sbuild je peux ajouter ceci aux données pilier :

sbuild:
  chroots:
    wheezy:
      architectures: [amd64, i386]
      extra_dists:
        - wheezy-backports
        - wheezy-security
      extra_aliases:
        - wheezy-backports
        - stable-security
        - wheezy-security
    jessie:
    [...]

Et ensuite un simple salt-call state.highstate (je fonctionne en mode standalone) permettra de contrôler que tous les chroots sont correctement paramétrés.

Empaquetage divers

J’ai empaqueté de nouvelles versions amont de Python dans experimental et ouvert une requête de pré-approbation afin d’avoir la dernière 1.7.x dans Jessie (n°775892). Il semble que cela soit un choix cornélien pour l’équipe en charge de la publication, ce qui est bien dommage : nous avons des développeurs Debian actifs, des développeurs amont actifs, et chacun est parfaitement au courant de la règle « pas de nouvelles fonctionnalités » afin d’éviter les régressions. Que risque-t-on ?

J’ai également créé une requête de déblocage pour Dolibarr (à la demande de l’équipe de sécurité qui souhaite voir le correctif CVE atteindre Jessie). J’ai contribué modestement à deux bogues qui étaient d’un intérêt particulier pour certains de mes donateurs (n°751339 et n°774811). Ils n’étaient pas sous ma responsabilité, mais j’ai essayé de les faire avancer en contactant les bonnes personnes.

J’ai préparé un patch de sécurité pour Django dans Wheezy (python-django_1.4.5-1+deb7u9) et l’ai envoyé à l’équipe chargée de la sécurité. En faisant cela j’ai découvert un petit problème dans leur patch rétroporté que j’ai remonté à l’amont dans le ticket Django n°24239.

Debian France

Avec la nouvelle année vient le temps d’organiser l’assemblée générale avec le renouvellement d’un tiers de son Bureau. Nous avons donc appelé les membres à candidater et j’ai été heureux de voir que nous avons 6 candidatures pour 3 sièges. C’est un signe positif, montrant que nous avons assez de personnes impliquées dans l’association. L’une d’entre elle évoque même une Debconf 17 en France… de grands projets !

De mon côté, j’ai annoncé que je ne concourrai pas pour le poste de président l’année prochaine. Ceci étant, je resterai au Bureau afin d’assurer une transition en douceur.

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities for January 2015; contribuée par Weierstrass01.

Mes activités libres en décembre 2014

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

Ce mois-ci ce sont 20 heures de travail sur Debian LTS qui ont été subventionnées. Voici le résumé des tâches qui m’ont occupé :

  • Tri de vulnérabilités CVE : j’ai poussé 47 commits vers le suiveur de sécurité. Ce qui m’a amené à soumettre deux demandes d’évolution le concernant : n°772927 et n°772961;
  • J’ai publié la DLA-106-1 qui avait été préparée par Osamu Aoki;
  • J’ai publié la DLA-111-1, corrigeant une vulnéréabilité CVE affectant cpio;
  • J’ai publié les DLA DLA-113-1 et DLA-114-1 affectant bsd-mailx et heirloom-mailx, corrigeant respectivement une vulnérabilité pour le premier, et deux pour le second;
  • J’ai publié la DLA-120-1 affectant xorg-server. Cette mise à jour seule m’a demandé plus de 6 heures pour rétroporter tous les patchs, corrigeant un ensemble conséquent de 12 vulnérabilités CVE.

Hors heures subventionnées, mais toujours en relation avec Debian LTS : j’ai demandé à Linux Weekly News de couvrir Debian LTS dans leur section sécurité, ce qui est maintenant chose faite. Vous pouvez consulter les DLA sur la page de sécurité habituelle, tandis qu’une page dédiée suit ce flux en particulier : http://lwn.net/Alerts/Debian-LTS/.

J’ai modifié la page wiki de Debian LTS afin de disposer d’une sous-page dédiée au financement. Cela permet d’éviter l’affichage d’un lien direct vers l’offre de Freexian sur la page principale du projet (ce qui a surpris quelques personnes). Cela permet également d’expliquer plus avant le contexte et de lister d’autres sociétés/personnes physiques de la même manière, le cas échéant (dans la mesure où il n’y a aucune relation d’exclusivité entre Debian et Freexian ici !).

j’ai également répondu à plusieurs questions de Nguyen Cong (un nouveau contributeur, employé par Toshiba avec leur permission explicite de travailler sur Debian LTS pendant ses heures travaillées ! \o/), via IRC, sur ask.debian.net (encore) et sur la liste de diffusion ! Il est bon de voir le projet LTS trouver un écho au-delà de la communauté des membres actuels du projet Debian.

Distro Tracker

Je souhaite prioriser de nouveau Distro Tracker, a minima afin de compléter la transition de l’ancien suiveur de paquets vers ce nouveau service… le mois dernier fut à cet égard un petit peu mieux que novembre, mais pas de beaucoup.

J’ai passé en revue un patch du rapport de bogue n°771604 (concernant l’affichage des descriptions longues), puis j’ai fusionné un autre patch du rapport n°757443 (corrigeant un mauvais balisage rendant la page inutilisable avec Konqueror). J’ai enfin corrigé le bogue n°760382, affectant les paquets passant par l’état « NEW » et ne le perdant plus par la suite.

Contributions en lien avec Kali

Je ne décris pas ici tout mon travail sur Kali, mais seulement quelques réalisations qui ont été contribuées en amont (ou dans Debian).

En premier lieu, je me suis assuré que nous pouvions compiler l’ISO de Kali avec le live-build 4.x de Jessie. Le résultat en a été de multiples patchs fusionnés dans le projet Debian live (1, 2, 3 et 4).

J’ai également soumis un patch concernant une régression dans la manière de traiter les dépendances dans les listes de paquets. Elle a été corrigée différemment et mon patch a été rejeté. J’ai également créé le rapport de bogue n°772651 pour consigner un problème dans la façon qu’a live-build de décider de la variante du paquet live-config à installer.

Kali a modifié le paquet sysvinit afin de pouvoir désactiver les services par défaut, et j’ai investigué comment porter cette fonctionnalité dans le monde systemd. Il s’est avéré que systemd présente nativement une telle fonctionnalité, nommée Preset files. Ce n’est malheureusement pas utilisable dans Debian car systemctl preset n’est pas appelé lors de l’installation du paquet. J’ai créé le rapport de bogue n°772555 pour demander la modification correspondante (dans Stretch, il est trop tard pour Jessie :-()

Saltstack

J’utilise salt afin d’automatiser certaines tâches d’administration dans Kali, au travail ou à la maison. J’ai découvert récemment que le projet essayait de rassembler des « Salt formulas », qui sont autant d’instructions prêtes à être utilisées, pour autant de services que possible.

J’ai commencé à les utiliser pour des services simples, et j’ai rapidement ressenti le besoin d’étendre « salt-formula », le jeu de formules utilisé pour configurer salt à partir de salt. J’ai soumis 5 demandes d’intégration (les n°73 et n°74 pour configurer salt en mode standalone, la n°75 pour activer les dépôts du paquet amont, la n°76 pour télécharger et activer automatiquement les formules salt désirées, et la n°77 corrigeant quelques bogues) qui ont toutes été intégrées en moins de 24h (ce qui est du genre à vous motiver pour contribuer de nouveau dans le futur !).

J’ai également soumis une correction de bogue pour samba-formula et un rapport de bogue pour salt lui-même (le n°19180).

Je dispose d’ailleurs d’états salt pour mettre en place schroot et sbuild. Je vais essayer de les empaqueter proprement en tant que formules dans le futur…

Travaux divers

Gouvernance de la liste de diffusion. Au sein de Debian, nous nous plaignons souvent des « méta-discussions » qui sont tenues sur les listes de diffusion (c’est-à-dire des discussions qui ont pour sujet la manière dont nous discutons ensemble). Néanmoins il est nécessaire que nous ayons ce type de discussions de temps à temps. J’ai ainsi suggéré d’héberger ces discussions sur une nouvelle liste de diffusion et, afin que cette liste soit effectivement mise en place, nos règles requièrent que d’autres personnes manifestent leurs intérêts pour celle-ci. Cette idée a reçu un certain soutien lorsque nous en avons discuté sur debian-private, je l’ai donc relancé sur debian-project tout en soumettant officiellement la demande via le rapport de bogue n°772645. Je n’ai malheureusement obtenu qu’un soutien jusqu’à maintenant. Aussi, si vous êtes intéressé par l’idée, je vous encourage à vous manifester…

Parrainage. J’ai parrainé un autre plugin de Galette ce mois-ci : galette-plugin-fullcard. Merci à François-Régis Vuillemin pour son travail.

Publican. A la suite d’un de mes rapports de bogue concernant Publican, et avec l’aide de l’auteur amont, nous avons identifié le problème et j’ai soumis un patch.

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in December 2014 contribuée par Weierstrass01.

Mes activités libres en novembre 2014

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Debian LTS

ce sont dix-huit de heures de travail sur Debian LTS qui ont été financées ce mois-ci (14 heures allouées par Freexian et 4 heures non consommées du mois dernier). Voici ce qui a été accompli :

  • Tri de vulnérabilités CVE: j’ai poussé 19 commits vers le suiveur de sécurité. J’ai également essayé d’encourager certains mainteneurs à fournir des mises à jour pour des paquets qui ne sont pas utilisés par les sponsors actuels de Debian LTS, et qui ne sont donc pas sur notre liste de priorités;
  • DLA 87 : mise à jour de dbus corrigeant 3 vulnérabilités CVE;
  • DLA 93: mise à jour de libgcrypt11 corrigeant 1 vulnérabilité CVE;
  • DLA 96: mise à jour de sécurité de openjdk-6 corrigeant 21 vulnérabilités CVE;
  • J’ai travaillé à la préparation d’une mise à jour de sécurité pour linux. Elle n’est pas encore publiée.

Mettre à jour le paquet source de linux nous a pris une bonne moitié du temps alloué. Nous avons opté pour une mise à jour du noyau vers la version amont 2.6.32.64. J’ai intégré les patchs amont et j’ai identifié environ 130 patchs que nous devions désactiver (car ils étaient déjà intégrés par l’amont). J’ai ensuite mis à jour notre patch openvz pour l’appliquer par-dessus le nouveau noyau. Cela a demandé un peu de travail manuel pour résoudre les conflits et il y a même des cas pour lesquels je ne suis pas sûr d’avoir pris la bonne décision. Je n’ai pas pu trouver un arbre git de l’amont openvz pour cette version de noyau afin de contre-vérifier.

A la place, j’ai demandé à Ben Hutchings de revoir mon patch. Il m’a répondu qu’il ne s’était pas porté volontaire pour travailler sur la version LTS, mais qu’il était disposé à y contribuer de manière rémunérée. En conséquence et en tant que coordinateur de l’offre Freexian, je lui ai proposé de rejoindre l’équipe des contributeurs LTS rémunérés, afin de s’occuper du noyau. Ce qu’il a accepté.

Ainsi, nous serons capable si tout va bien d’en finir avec cet envoi au cours de la première semaine de décembre. Nous n’avons pas eu d’uploads du noyau dans Squeeze depuis juillet dernier, aussi savoir que nous avons maintenant quelqu’un de capable pour traiter ça en priorité est une bonne chose.

Distro Tracker

Aucun nouveau développement ce mois-ci de ce côté. J’ai passé du temps à la place à importer les nouvelles de l’ancien historique de sorte à ce que lorsque vous recherchez d’anciens paquets vous obteniez des résultats plutôt qu’une erreur 404. Vous pouvez par exemple essayer avec python2.1.

Une autre chose faite ce mois-ci fut de marquer certains bogues avec le tag « newcomer », nouvellement créé. Ce sont des bogues faciles à traiter, et qui sont donc parfaits pour les nouveaux contributeurs souhaitant se lancer : la liste est ici.

A vous de jouer maintenant ! 😉

DEP-14: Structure recommandée pour les dépôts Git utilisés pour le packaging Debian

J’ai ébauché la version initiale d’un document appelé Structure recommandée pour les dépôts Git utilisés pour le packaging Debian, et l’ai soumis pour discussion sur debian-devel.

La discussion fut intéressante et constructive (oui, c’est encore possible au sein de Debian !). J’ai une pile d’améliorations dans ma copie locale et j’ai besoin de prendre encore en compte quelques retours avant de soumettre un brouillon mis à jour. Ce n’est pas une révolution mais c’est un grand pas vers une standardisation des conventions de nommage pour les tags et les branches.

Systemd, le comité technique et nos listes de diffusion

En bon vétéran, je prête beaucoup d’attention à la gouvernance de Debian et il est ennuyeux de voir à quel point le débat autour de systemd fait resurgir certains de nos anciens démons, et combien il tend l’atmosphère sur nos listes de diffusion.

Nous pouvons être en désaccord sur beaucoup de choses, mais nous devons respecter les opinions de chacun et sommes ici pour travailler ensemble à des solutions utilisables par tout le monde. J’ai donc écrit aux personnes ayant franchi la ligne jaune pour les inviter à mieux se comporter. Et je suis content de voir les responsables des listes nous supporter en bannissant les personnes lorsque c’est justifié. Je crois que nous devons continuer dans cette direction et j’ai partagé une idée (sur un fil de discussion Debian privé qui n’aurait jamais du exister, tout comme le trafic sur cette liste) que je formaliserai et partagerai sur debian-project@l.d.o le moment venu (c’est chose faite ici).

Au même moment, nous avons eu une autre discussion concernant la gouvernance de Debian, avec l’idée qu’il fallait imposer une rotation des membres du comité technique. J’ai été heureux de voir que nous voterons bientôt à ce sujet. Je pense que c’est une bonne chose d’un point de vue général, même si trois de ses membres viennent juste d’en démissionner.

Travaux divers

J’ai parrainé un upload de galette et de trois de ses extensions. J’ai passé en revue jitsi-videobridge et jitsi-meet sur mentors.debian.net.

J’ai également créé quelques rapports de bogues :

  • n°768256 : au sujet d’icônes vim disproportionnées dans les menus contextuels GNOME;
  • n°768540 : cdebootstrap : échoue à lancer d’anciennes versions lorsque dpkg ne supporte pas data.tar.xz;
  • n°770011 : lynx -dump lors d’une mauvaise conversion de &#x2026.

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in November 2014 contribuée par Weierstrass01.

Mes activités libres en octobre 2014

Mon rapport mensuel couvre une grande partie de mes contributions au logiciel libre. Je l’écris pour mes donateurs (merci à eux !) mais aussi pour la communauté Debian au sens large parce que cela peut donner des idées aux nouveaux venus et que c’est également un des moyens les plus effectifs de trouver des volontaires pour travailler sur les projets qui me tiennent à cœur.

Travail d’empaquetage

Avec l’approche du gel effectif de Jessie, je me suis occupé d’empaqueter quelques nouvelles versions amont que je voulais voir incluses. J’ai commencé avec zim 0.62, ayant fait l’impasse sur la version 0.61 pour cause de régressions assez ennuyeuses. Et puisque j’avais deux rapports de bogues à transmettre, j’ai saisi cette opportunité pour discuter avec l’auteur amont et lui demander s’il avait des correctifs importants à inclure pour Jessie. Ce qui eut pour résultat l’envoi d’une autre mise à jour avec trois commits attentivement choisis depuis le dépôt Bazaar amont. J’ai également parrainé un rétroportage dans les dépôts wheezy-backports de cette nouvelle version.

J’ai poussé deux nouvelles versions correctives de Publican (4.2.3 et 4.2.6), mais j’ai du y inclure une solution de contournement pour un bogue que j’ai reporté plus tôt concernant docbook-xml (n°763598 : le catalogue XML ne permet pas à libxml2/xmllint d’identifier une copie locale de certains fichiers), et cela paraissait peu probable que cela soit correctement corrigé pour Jessie.

Last but not least, j’ai poussé la première révision mineure de Django 1.7 – également dénommée version 1.7.1 – vers unstable, et j’ai demandé aux responsables de la publication de s’assurer de son passage vers testing avant le gel effectif de Jessie. C’est important dans la mesure où plus nous sommes proches de l’amont, plus il est facile d’appliquer les correctifs de sécurité durant tout le cycle de vie de Jessie (qui je l’espère sera de 5 ans, grâce à Debian LTS !). J’ai également publié un rétroportage de python-django 1.7 vers les dépôts wheezy-backports.

J’ai enfin parrainé la publication d’un correctif de galette (0.7.8+dfsg-1), résolvant un bogue critique pour la publication, de sorte à ce que galette retourne dans testing (il en avait été enlevé du fait de ce bogue précisément).

Debian LTS

Vous pouvez prendre connaissance du travail rémunéré que j’ai effectué pour Debian LTS via le bulletin dédié. J’ai également consacré un certain temps à échanger avec les consultants Debian au sujet de nouvelles sociétés que nous pourrions contacter. De nouveaux sponsors sont attendus grâce à cette démarche, mais étant donné le très grand nombre de personnes que cela représente, j’en attendais plus. J’ai profité de cette opportunité pour rapporter toutes les entrées erronées (comme par exemple les rejets d’emails ou les URL mortes) au mainteneur de ladite page Web.

Distro Tracker

Seuls 30 commits ont été effectués ce mois-ci, avec presque aucune contribution extérieure. Je suis un petit peu peiné de cet état de fait dans la mesure où contribuer à ce projet n’est pas très compliqué, et que nous disposons d’une pelleté de bogues faciles à traiter pour vous mettre le pied à l’étrier.

Ceci étant dit je suis toujours content du travail accompli. La plupart des modifications ont été effectuées pour Kali, mais elles seront profitables à toutes les distributions dérivées : il est maintenant possible d’ajouter des dépôts externes dans le suiveur mais de ne pas les afficher dans la liste des versions disponibles, et de ne pas générer automatiquement de nouvelles à propos de ces dépôts. Une nouvelle application « dérivé » est maintenant disponible : elle n’en est qu’à ses balbutiements mais peut d’ores et déjà apporter une comparaison utile entre un dérivé et son parent. Vous pouvez la voir à l’oeuvre sur la page du suiveur Kali : http://pkg.kali.org/derivative/. Merci à Offensive Security pour avoir sponsorisé ce travail !

Dans la mesure où j’ai poussé Django 1.7 vers les dépôts wheezy-backports, toutes les instances de suiveurs de distribution que je gère ont été mis à jour avec cette version de Django, et j’ai opté pour rendre cette version obligatoire. Cela a permis de mettre en place la nouvelle fonctionnalité « migrations Django » pour gérer les futures mises à jour de schémas de base de données (j’ai volontairement évité tout changement de schéma jusqu’à aujourd’hui afin d’éviter les problèmes induits par le passage des migratinos gérées par South vers celles gérées par Django).

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in October 2014 contribuée par Weierstrass01.

Mon rapport Debian LTS d’octobre 2014

J’ai consacré dix heures rémunérées durant le mois d’octobre à travailler sur Debian LTS. J’aurais du travailler quatre heures de plus, mais pour diverses raisons cela n’a pas pu se faire. Je travaillerai donc quatre heures supplémentaires au mois de novembre.

Durant ces dix heures donc, j’ai effectué le travail suivant :

  • Tri de bogues CVE : j’ai poussé ce mois-ci 23 commits vers le dépôt SVN du suiveur de sécurité, et créé le rapport de bogue n°765352 concernant wpa;
  • J’ai publié une mise à jour pour mysql-5.1 (DLA-75-1), corrigeant trois CVE;
  • J’ai sponsorisé l’envoi de ppp version 2.4.5-4+deb6u1 corrigeant DLA-74-1, qui avait été préparé par Andrew Bartlett ;
  • J’ai envoyé une nouvelle version d’apache2 (DLA-71-1), corrigeant 2 CVE ;
  • J’ai créé quelques rapports de bogues concernant debian-security-support et demandant que certains paquets soient marqués comme non supportés dans Squeeze : cf. n°765374 pour axis2c et rampart, n°765452 pour une nouvelle fonctionnalité devant permettre aux paquets binaires d’être marqués comme non supportés, de sorte que glassfish-appserv soit répertorié en tant que tel (n°765454).

Après quelques mois de travail sur Debian LTS, je commence à avoir une meilleure vision du workflow et de ce qui peut être fait ou pas fait. Mais je suis toujours abasourdi de compter si peu d’utilisateurs de Squeeze sur la liste de diffusion. Si vous utilisez toujours Squeeze, inscrivez-vous s’il vous plaît à cette liste et testez les paquets soumis pour test/évaluation par les contributeurs. Cela nous aide vraiment d’avoir un retour des « vrais » utilisateurs avant de publier une mise à jour, en particulier lorsque le contributeur Debian qui l’a préparée n’est pas un utilisateur dudit paquet… tout le monde n’a pas les compétences requises pour préparer une mise à jour de sécurité, mais tout le monde peut aider à tester des paquets, vous n’avez pas d’excuses ! 😉

Et nous sommes toujours à la recherche de nouvelles organisations rejoignant le projet LTS, soit en apportant de l’aide (comme Catalyst le fit en laissant Andrew Bartlett travailler sur LTS, merci à eux !) ou en sponsorisant le projet et en permettant aux autres de faire le travail.

Ceci est une traduction de mon article My Debian LTS report for October 2014 contribuée par Weierstrass01.

Mes activités libres en septembre 2014

Voici le récapitulatif mensuel de toutes mes activités gravitant autour du logiciel libre. Si vous faites partie des personnes ayant fait un don pour soutenir mon travail (26,6 €, merci à tous !), c’est l’occasion de constater ce que je fais de votre argent. Sinon, c’est toujours quelques nouvelles intéressantes sur l’avancement de mes différents projets.

Django 1.7

Depuis que la version 1.7 de Django a été publiée début septembre dernier, j’ai mis à jour le paquet dans le dépôt experimental et continué de pousser pour son inclusion dans unstable. J’ai également envoyé quelques patchs supplémentaires concernant plusieurs dépendances inverses de compilation (python-django-bootstrap-form, horizon, lava-server), puis envoyé le paquet dans unstable. J’ai augmenté à ce moment la criticité de tous les rapports de bogue enregistrés pour des paquets qui ne compilaient alors plus avec Django 1.7.

Plus tard dans le mois, je me suis assuré de la migration du paquet vers testing, qui n’a requis qu’une suppression temporaire de mumble-django (cf. le rapport n°763087). Pas mal de paquets ont été mis à jour depuis (vous pourrez trouver les bogues restants par ici).

Support Debian à long terme

J’ai travaillé à garder Debian Squeeze sûre, cf. l’article qui y est dédié : Mon rapport Debian LTS pour septembre 2014.

Distro Tracker

Le rythme de développement de tracker.debian.org s’est ralenti légèrement ce mois-ci, avec seulement 30 nouveaux commits dans le dépôt, fermant 6 rapports de bogue. Certaines des modifications méritent néanmoins d’être citées : les nouvelles contiennent maintenant de vrais hyperliens vers les rapports de bogue, CVE et URL (en voici un exemple). J’ai également corrigé un problème important concernant la manière dont les utilisateurs étaient identifiés lorsqu’ils utilisaient leurs identifiants de compte Alioth pour s’authentifier via sso.debian.org.

Côté développement, nous sommes maintenant capables de calculer la couverture du code testé par la suite de tests, ce qui est plutôt utile pour identifier les pans de code manquant clairement de tests (cf. bin/gen-coverage.sh dans le dépôt).

Empaquetage divers

Publican. J’ai suivi l’empaquetage des nouvelles versions amont de Publican et, la période de gel approchant, j’ai décidé de m’en occuper. Ça n’a malheureusement pas été aussi simple qu’escompté, car j’ai découvert de nombreux problèmes que j’ai remontés à l’amont (identifiant public invalide, échec de la compilation PDF pour cause de fonction noNumberLines non-disponible, la compilation du manuel requiert une connexion réseau). La plupart de ces derniers ont été corrigés en amont dans l’intervalle, mais le dernier semble provenir de la manière dont nous gérons nos catalogues Docbook XML au sein de Debian. J’ai en conséquence créé le rapport de bogue n°763598 (docbook-xml: xmllint échoue à identifier une copie locale du fichier des entités Docbook), qui reste sans réponse de la part du mainteneur.

Parrainage de paquet. J’ai « sponsorisé » les nouveaux envois de dolibarr (correction d’un bug critique pour la publication), tcpdf (correction d’un bug critique pour la publication), tryton-server (mise à jour de sécurité) et django-ratelimit.

GNOME 3.14. Avec l’arrivée de GNOME 3.14 dans unstable, je me suis occupé de la mise à jour de gnome-shell-timer et j’ai également créé quelques tickets pour des extensions que j’utilise : https://github.com/projecthamster/shell-extension/issues/79 et https://github.com/olebowle/gnome-shell-timer/issues/25.

git-buildpackage. J’ai rapporté de nombreux bogues de git-buildpackage m’ayant affecté depuis que j’ai commencé à utiliser cet outil : n°761160 (gbp pq export/switch devrait être plus intelligent), n°761161 (gbp pq import/export devraient préserver les noms de fichier des patchs), n°761641 (gbp import-orig devrait être moins fragile et plus idempotent).

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in September 2014 contribuée par Weierstrass01.

Mon rapport Debian LTS de septembre 2014

Grâce au soutien de nombreuses sociétés, j’ai été payé pour travailler (au moins) 11h sur Debian LTS ce mois-ci.

J’ai commencé par opérer un tri important dans le systèm de suivi des alertes sécurité (si vous souhaitez aider, les instructions se trouvent ici), car j’ai remarqué que la liste dla-needed.txt (qui contient la liste des paquets nécessitant une mise à jour de sécurité pour Debian Squeeze LTS) ne contenait pas un certain nombre de paquets qui pourtant avaient des vulnérabilités connues dans oldstable.

J’ai poussé in fine 23 commits dans le dépôt subversion de suivi des alertes sécurité. Je n’en présenterai pas le détail tout le temps mais, pour une fois, il est intéressant que vous puissiez vous faire une idée du travail que cela représente :

  • J’ai passé en revue les patchs des vulnérabilités CVE-2014-0231, CVE-2014-0226, CVE-2014-0118 et CVE-2013-5704, et j’ai confirmé que toutes affectaient la version d’apache2 présente dans Squeeze. J’ai ajouté par la suite apache2 au fichier dla-needed.txt.
  • J’ai passé en revue la vulnérabilité CVE-2014-6610 concernant asterisk et j’ai marqué la version présente dans Squeeze comme non affectée, dans la mesure où le fichier présentant la faille n’existe pas dans cette version (ce qui a nécessité d’inspecter d’autres fichiers à la recherche de cette fonctionnalité particulière, qui aurait pu y être déplacée à la faveur d’une réorganisation des fichiers ou de modifications internes similaires).
  • J’ai passé en revue la vulnérabilité CVE-2014-3596 (Apache Axis) et j’ai corrigé l’entrée mentionnant sa correction dans unstable. J’ai confirmé qu’elle affectait la version présente dans Squeeze, et l’ai ajouté au fichier dla-needed.txt.
  • Même chose pour la vulnérabilité CVE-2012-6153 affectant commons-httpclient.
  • J’ai passé en revue la vulnérabilité CVE-2012-5351 et ajouté un lien vers le ticket amont.
  • J’ai passé en revue les vulnérabilités CVE-2014-4946 et CVE-2014-4945 concernant php-horde-imp/horde3, ajouté des liens vers les patchs amont et marqué les versions présentes dans Squeeze comme non affectées, dans la mesure où ces failles proviennent de fichiers javascript absents de ces versions.
  • J’ai passé en revue la vulnérabilité CVE-2012-3155 affectant glassfish et fus vraiment ennuyé par le manque d’informations la concernant. J’ai donc commencé une discussion sur la liste debian-lts pour voir si ce paquet ne devait pas être marqué comme non supporté pour les mises à jour de sécurité. Il semble que nous n’allons marquer qu’un seul binaire comme non supporté… celui contenant le serveur d’applications touché par les vulnérabilités, le reste étant toujours requis pour compiler de nombreux paquets java.
  • J’ai passé en revue de nombreuses vulnérabilités CVE affectant dbus, drupal6, eglibc, kde4libs, libplack-perl, mysql-5.1, ppp, squid et fckeditor, et ajouté ces paquets au fichier dla-needed.txt.
  • J’ai passé en revue les vulnérabilités CVE-2011-5244 et CVE-2011-0433 affectant evince et suis parvenu à la conclusion que ces dernières avaient déjà été corrigées dans la version 2.30.3-2+squeeze1. Je les ai donc marquées comme corrigées.
  • J’ai supprimé graphicsmagick de la liste de dla-needed.txt car la seule vulnérabilité CVE l’affectant a été marquée comme no-dsa (ce qui signifie que nous estimons qu’une mise à jour de sécurité n’est pas requise, habituellement parce que le problème est mineur et/ou que sa correction aurait plus de chances d’introduire des régressions que d’aider).
  • J’ai créé quelques rapports de bogues lorsque ceux-ci étaient manquants : n°762789 concernant ppp, n°762444 concernant axis.
  • J’ai marqué un grand nombre de vulnérabilités CVE affectant qemu-kvm et xen comme « en fin de vie » dans Squeeze, puisque ces paquets ne sont actuellement plus supportés dans Debian LTS.
  • J’ai passé en revue la vulnérabilité CVE-2012-3541 et, dans la mesure où le rapport entier n’est pas très clair, j’ai envoyé un email à l’auteur amont. Cette discussion m’a conduit à marquer ce bogue comme no-dsa, car l’impact semble être limité à une divulgation d’informations uniquement. J’ai invité l’auteur amont à continuer cette discussion directement dans le ticket du bugzilla de RedHat.

Et lorsque je dis « passé en revue », c’est un raccourci derrière lequel le processus suivant se cache :

  • Recherche d’une explication claire de la vulnérabilité, d’une liste des versions affectées, et des patchs pour les versions que nous avons dans Debian, aux endroits suivants:
    • La page Debian de suivi des vulnérabilités CVE.
    • L’entrée associée dans le système de suivi des bogues Debian (s’il y en a un).
    • La description de la vulnérabilité CVE sur cve.mitre.org, et les pages qui y sont référencées.
    • L’entrée du bugzilla de RedHat pour la vulnérabilité CVE (ce qui implique souvent le téléchargement du RPM source depuis CentOS, afin d’extraire le patch qu’ils ont utilisé).
    • Le dépôt git amont et parfois certaines pages dédiées à la sécurité sur le site web amont.
  • Lorsque cela n’a pas été suffisant pour les versions que nous avons dans Debian (et c’est malheureusement souvent le cas), cela passe par le téléchargement du paquet source Debian et la recherche dans les sources des anciennes versions du code problématique (en partant de l’hypothèse qu’on peut l’identifier depuis le patch dont on dispose pour les versions plus récentes).

Le tri des vulnérabilités CVE représente presque la moitié du processus en général : une fois que vous savez que vous êtes affectés et que vous disposez d’un patch, le chemin vers la publication d’une mise à jour est relativement simple (parfois cela requiert quand même un travail de rétroportage du patch).

Lorsque j’en ai eu fini avec la première passe de triage, j’avais déjà dépassé les 11 heures payées mais je me suis occupé de préparer la mise à jour de sécurité pour python-django. Thorsten Alteholz avait commencé le travail mais s’est retrouvé bloqué à l’étape du rétroportage des patchs. Comme je suis co-mainteneur du paquet, j’ai pris le relai et fini le travail, pour le publier sous la référence DLA-65-1.

Ceci est une traduction de mon article My Debian LTS report for September contribuée par Weierstrass01.