Destination Debian

Infos à la source, maîtrisez votre distribution Debian/Ubuntu

Home Archives for LTS

Mon rapport Debian LTS de septembre 2014

Posted on Written by

Grâce au soutien de nombreuses sociétés, j’ai été payé pour travailler (au moins) 11h sur Debian LTS ce mois-ci.

J’ai commencé par opérer un tri important dans le systèm de suivi des alertes sécurité (si vous souhaitez aider, les instructions se trouvent ici), car j’ai remarqué que la liste dla-needed.txt (qui contient la liste des paquets nécessitant une mise à jour de sécurité pour Debian Squeeze LTS) ne contenait pas un certain nombre de paquets qui pourtant avaient des vulnérabilités connues dans oldstable.

J’ai poussé in fine 23 commits dans le dépôt subversion de suivi des alertes sécurité. Je n’en présenterai pas le détail tout le temps mais, pour une fois, il est intéressant que vous puissiez vous faire une idée du travail que cela représente :

  • J’ai passé en revue les patchs des vulnérabilités CVE-2014-0231, CVE-2014-0226, CVE-2014-0118 et CVE-2013-5704, et j’ai confirmé que toutes affectaient la version d’apache2 présente dans Squeeze. J’ai ajouté par la suite apache2 au fichier dla-needed.txt.
  • J’ai passé en revue la vulnérabilité CVE-2014-6610 concernant asterisk et j’ai marqué la version présente dans Squeeze comme non affectée, dans la mesure où le fichier présentant la faille n’existe pas dans cette version (ce qui a nécessité d’inspecter d’autres fichiers à la recherche de cette fonctionnalité particulière, qui aurait pu y être déplacée à la faveur d’une réorganisation des fichiers ou de modifications internes similaires).
  • J’ai passé en revue la vulnérabilité CVE-2014-3596 (Apache Axis) et j’ai corrigé l’entrée mentionnant sa correction dans unstable. J’ai confirmé qu’elle affectait la version présente dans Squeeze, et l’ai ajouté au fichier dla-needed.txt.
  • Même chose pour la vulnérabilité CVE-2012-6153 affectant commons-httpclient.
  • J’ai passé en revue la vulnérabilité CVE-2012-5351 et ajouté un lien vers le ticket amont.
  • J’ai passé en revue les vulnérabilités CVE-2014-4946 et CVE-2014-4945 concernant php-horde-imp/horde3, ajouté des liens vers les patchs amont et marqué les versions présentes dans Squeeze comme non affectées, dans la mesure où ces failles proviennent de fichiers javascript absents de ces versions.
  • J’ai passé en revue la vulnérabilité CVE-2012-3155 affectant glassfish et fus vraiment ennuyé par le manque d’informations la concernant. J’ai donc commencé une discussion sur la liste debian-lts pour voir si ce paquet ne devait pas être marqué comme non supporté pour les mises à jour de sécurité. Il semble que nous n’allons marquer qu’un seul binaire comme non supporté… celui contenant le serveur d’applications touché par les vulnérabilités, le reste étant toujours requis pour compiler de nombreux paquets java.
  • J’ai passé en revue de nombreuses vulnérabilités CVE affectant dbus, drupal6, eglibc, kde4libs, libplack-perl, mysql-5.1, ppp, squid et fckeditor, et ajouté ces paquets au fichier dla-needed.txt.
  • J’ai passé en revue les vulnérabilités CVE-2011-5244 et CVE-2011-0433 affectant evince et suis parvenu à la conclusion que ces dernières avaient déjà été corrigées dans la version 2.30.3-2+squeeze1. Je les ai donc marquées comme corrigées.
  • J’ai supprimé graphicsmagick de la liste de dla-needed.txt car la seule vulnérabilité CVE l’affectant a été marquée comme no-dsa (ce qui signifie que nous estimons qu’une mise à jour de sécurité n’est pas requise, habituellement parce que le problème est mineur et/ou que sa correction aurait plus de chances d’introduire des régressions que d’aider).
  • J’ai créé quelques rapports de bogues lorsque ceux-ci étaient manquants : n°762789 concernant ppp, n°762444 concernant axis.
  • J’ai marqué un grand nombre de vulnérabilités CVE affectant qemu-kvm et xen comme « en fin de vie » dans Squeeze, puisque ces paquets ne sont actuellement plus supportés dans Debian LTS.
  • J’ai passé en revue la vulnérabilité CVE-2012-3541 et, dans la mesure où le rapport entier n’est pas très clair, j’ai envoyé un email à l’auteur amont. Cette discussion m’a conduit à marquer ce bogue comme no-dsa, car l’impact semble être limité à une divulgation d’informations uniquement. J’ai invité l’auteur amont à continuer cette discussion directement dans le ticket du bugzilla de RedHat.

Et lorsque je dis « passé en revue », c’est un raccourci derrière lequel le processus suivant se cache :

  • Recherche d’une explication claire de la vulnérabilité, d’une liste des versions affectées, et des patchs pour les versions que nous avons dans Debian, aux endroits suivants:
    • La page Debian de suivi des vulnérabilités CVE.
    • L’entrée associée dans le système de suivi des bogues Debian (s’il y en a un).
    • La description de la vulnérabilité CVE sur cve.mitre.org, et les pages qui y sont référencées.
    • L’entrée du bugzilla de RedHat pour la vulnérabilité CVE (ce qui implique souvent le téléchargement du RPM source depuis CentOS, afin d’extraire le patch qu’ils ont utilisé).
    • Le dépôt git amont et parfois certaines pages dédiées à la sécurité sur le site web amont.
  • Lorsque cela n’a pas été suffisant pour les versions que nous avons dans Debian (et c’est malheureusement souvent le cas), cela passe par le téléchargement du paquet source Debian et la recherche dans les sources des anciennes versions du code problématique (en partant de l’hypothèse qu’on peut l’identifier depuis le patch dont on dispose pour les versions plus récentes).

Le tri des vulnérabilités CVE représente presque la moitié du processus en général : une fois que vous savez que vous êtes affectés et que vous disposez d’un patch, le chemin vers la publication d’une mise à jour est relativement simple (parfois cela requiert quand même un travail de rétroportage du patch).

Lorsque j’en ai eu fini avec la première passe de triage, j’avais déjà dépassé les 11 heures payées mais je me suis occupé de préparer la mise à jour de sécurité pour python-django. Thorsten Alteholz avait commencé le travail mais s’est retrouvé bloqué à l’étape du rétroportage des patchs. Comme je suis co-mainteneur du paquet, j’ai pris le relai et fini le travail, pour le publier sous la référence DLA-65-1.

Ceci est une traduction de mon article My Debian LTS report for September contribuée par Weierstrass01.

Mes activités libres en juillet 2014

Posted on Written by

Voici le récapitulatif mensuel de toutes mes activités gravitant autour du logiciel libre. Si vous faites partie des personnes ayant fait un don pour soutenir mon travail (548,59 €, merci à tous !), c’est l’occasion de constater ce que je fais de votre argent. Sinon, c’est toujours quelques nouvelles intéressantes sur l’avancement de mes différents projets.

Distro Tracker

Maintenant que tracker.debian.org est en ligne, les gens créent des rapports de bogues (sur le nouveau pseudo-paquet tracker.debian.org que j’ai demandé) plus vite que je n’ai le temps de les corriger.
J’ai encore passé de très, très nombreuses heures sur ce projet, passant en revue les patchs soumis (merci à Christophe Siraut, Joseph Herlant, Dimitri John Ledkov, Vincent Bernat, James McCoy et Andrew Starr-Bochicchio qui ont tous soumis des patchs !), corrigeant des bogues, m’assurant que le code fonctionne avec Django 1.7, et commençant à faire de même avec Python 3.

J’ai ajouté un tox.ini de sorte à facilement lancer la suite de tests dans les 4 environnements supportés (créés par tox en tant que virtualenv avec des combinaisons de Django 1.6/1.7 et Python 2.7/3.4).

Le dépôt Git a vu passer au cours de ce mois 73 commits, nous avons corrigé 16 bogues et autres problèmes qui ont été remontés via le canal #debian-qa sur IRC. Avec l’aide d’Enrico Zini et Martin Zobel, nous avons activé la possibilité de se connecter via sso.debian.org (le portail d’identification unique (Single Sign-On) de Debian), de telle sorte que les développeurs n’aient même pas à créer réellement un compte.

Comme à l’accoutumée, toute aide supplémentaire est la bienvenue et je répondrai avec plaisir à vos questions et passerai en revue vos patchs.

Travaux d’empaquetage divers

Publican. J’ai poussé une nouvelle version amont de Publican et abandonné une dépendance à la compilation inutile, qui était affectée par un bogue critique pour la publication difficile à corriger. (Pour les curieux, il s’agit du n°749357. J’ai essayé d’investiguer mais un travail conséquent est nécessaire pour assurer la compatibilité avec make 4.x).

GNOME 3.12. Avec gnome-shell 3.12 qui est arrivé dans unstable, j’ai du mettre à jour gnome-shell-timer (et créer un ticket côté amont dans le même mouvement), une extension GNOME Shell permettant de déclencher des comptes à rebours.

Django 1.7. J’ai empaqueté la version candidate 1 de la 1.7 de python-django dans experimental (j’ai trouvé un petit bogue, soumis un ticket avec un patch qui a été rapidement intégré) et créé 85 rapports de bogue en référence à toutes les dépendances inverses ; ce afin de demander à tous les mainteneurs concernés de tester leurs paquets avec Django 1.7 (que nous souhaitons pousser avant la période de gel, bien évidemment). Nous avons identifié une étape problématique dans le processus de mise à jour concernant les paquets utilisant South. J’ai essayé d’en discuter avec l’amont mais, après une investigation plus poussée, il s’est avéré qu’aucun des paquets n’était affecté. Le problème peut néanmoins toucher les administrateurs d’applications Django non-empaquetés.

Divers. J’ai créé quelques rapports de bogue (n°754282 concernant git-import-orig –uscan, n°756319 concernant wnpp pour voir si quelqu’un se portait volontaire pour empaqueter loomio), j’ai passé en revue un paquet mis à jour pour django-ratelimit dans le n°755611, j’ai poussé une nouvelle version amont de mairix en tant que non-mainteneur (et sans notification préalable) afin de mettre à jour le paquet et le mettre aux normes d’empaquetage modernes (Mako n’a rien poussé en quatre années, j’ai juste fait ce que j’aurais fait si le paquet était mien).

Travaux sur Kali qui ont résulté en contributions Debian

Kali souhaite passer d’une base stable à une base testing, j’ai donc essayé de paramétrer britney afin de gérer un nouveau dépôt kali-rolling et ai rencontré certains problèmes que j’ai remontés à l’équipe debian-release. Niels Thykier a été d’une aide précieuse et a même réussi à améliorer britney grâce au problème très spécifique que le paramétrage Kali a déclenché.

Comme nous utilisons reprepro, j’ai écrit quelques scripts Python afin de transformer le fichier HeidiResult en un jeu de commandes reprepro, tandis que je demandais au même moment via le n°756399 un support propre des fichiers heidi dans reprepro.
Tandis que j’analysais les messages de britney, j’ai également remarqué que les miroirs Kali contenaient de nombreux paquets sources qui sont inutiles, dans la mesure où ils ne concernent que des architectures que nous ne supportons pas (et j’ai créé le rapport de bogue n°756523 pour reprepro).
En essayant de compiler une image live de kali-rolling, j’ai noté que libdb5.1 et db5.1-util étaient toujours référencés comme standards et prioritaires, alors que du côté de Debian le passage à db5.3 avait déjà été réalisé, et qu’ils devaient donc être considérés comme optionnels (j’ai créé en conséquence le n°756623 vis-à-vis de ftp.debian.org).

Lors des tests de montée de version de kali (basée sur Wheezy) à kali-rolling (basée sur Jessie), j’ai remarqué des problèmes affectant également Jessie. J’ai créé le rapport n°756629 vis-à-vis de libfile-fcntllock-perl (accompagné d’un patch), ainsi que le n°756618 vis-à-vis de texlive-base (pour des en-têtes « Replaces » manquants).
J’ai également sollicité Colin Watson par rapport au n°734946 car une demande de mot de passe m’a inopinément été faite durant la montée de version (qui fut déclenchée via la copie par schroot de mon fichier /etc/passwd d’unstable dans le chroot de kali, et le paquet a détecté une différence dans le shell de tous mes utilisateurs système).

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in July 2014 contribuée par Weierstrass01.

Spotify migre 5000 serveurs de Debian à Ubuntu

Posted on Written by

Ou une raison de plus prouvant qu’il est important que Debian LTS soit un succès. L’année dernière nous avions eu la nouvelle que Dreamhost passait à Ubuntu parce qu’ils pouvaient maintenir une version stable de Ubuntu plus longtemps que la version stable de Debian (et ceci bien que Ubuntu n’assure que le support des logiciels dans la section principale, ce qui exclue un grand nombre de logiciels populaires).

Spotify Logo

Il y a quelques jours, nous apprenions que Spotify avait pris une décision similaire:

Il y a quelques temps, nous avons décidé de migrer vers Ubuntu pour nos serveurs de backend. Les principales raisons de ce changement étaient le cycle de publication prévisible et le support à long terme (cette décision prédate l’annonce que Debian s’engageait également à offrir un support à long terme). Avec la sortie de Ubuntu 14.04 LTS nous sommes maintenant en train de migrer nos ~5000 serveurs vers cette distribution.

Il s’agit d’un preuve supplémentaire, s’il en était besoin, que nous devons fournir un support à long terme des versions stables de Debian si nous voulons rester un choix pertinent dans les grands déploiements.

Mais la tâche est ingrate et il est difficile de trouver des volontaires pour l’assumer. C’est pourquoi je suis persuadé que la meilleure des solutions est de convaincre les entreprises de contribuer financièrement à Debian LTS.

Nous avons déjà convaincu une poignée de sociétés et juillet est le premier mois où des contributeurs payés ont rejoint l’effort Debian LTS pour une participation modeste de 21 heures de travail (suivez Thorsten Alteholz et Holger Levsen sur debian-lts et debian-lts-announce). Mais nous devons encore multiplier ce chiffre par 5 ou 6 au moins pour assurer un travail correct de maintenance de Debian 6.

C’est pourquoi je vous invite à télécharger le formulaire de souscription et à avoir une discussion avec votre encadrement. C’est le moment de convaincre votre entreprise de rejoindre cette initiative. N’hésitez pas à prendre contact si vous avez des questions ou si vous préférez que je contacte un représentant de votre entreprise. Merci !

Mes activités libre en juin 2014

Posted on Written by

Voici le récapitulatif mensuel de toutes mes activités gravitant autour du logiciel libre. Si vous faites partie des personnes ayant fait un don pour soutenir mon travail (168,17 €, merci à tous !), c’est l’occasion de constater ce que je fais de votre argent. Sinon, c’est toujours quelques nouvelles intéressantes sur l’avancement de mes différents projets.

Debian LTS

Après avoir mis en place l’infrastructure permettant aux entreprises de contribuer financièrement à Debian LTS, j’ai passé pas mal de temps à ébaucher l’annonce du lancement de Debian LTS (sur une suggestion de Moritz Mühlenhoff, qui m’a fait remarquer qu’aucune communication n’avait encore été faite en ce sens).

Je suis plutôt content des résultats, car nous avons réussi à faire mention d’une offre commerciale sans déclencher une levée de boucliers de la part de la communauté. Cette offre est (à mon sens, ce qui est nécessairement subjectif) clairement dans l’intérêt de Debian, mais dans la mesure où l’argent ne lui revient pas nous avons pris des précautions supplémentaires : lorsque j’étais en contact avec les chargés de presse, j’ai systématiquement inclus le Chef de projet Debian dans la discussion et ses retours ont été d’une grande aide dans l’amélioration de l’annonce. Il a également officiellement approuvé le communiqué de presse, afin de conforter les chargés de presse dans leur décision de publier le communiqué.

Lucas m’a également poussé à demander le retour de la communauté vis-à-vis de cette ébauche de communiqué, ce que j’ai fait. La discussion a été constructive et le brouillon n’en a été qu’encore plus abouti.

La nouvelle a été largement relayée, le revers de la médaille étant que l’appel à contribuer n’a quasiment pas retenu l’attention de la presse. Même Linux Weekly News a fait l’impasse !

Du côté de Freexian, nous venons juste de passer la barre des 10% d’un « équivalent temps plein » (financé par 6 entreprises), et nous sommes en contact avec plusieurs autres sociétés. Nous sommes toutefois encore loin de notre but et nous devons rechercher activement d’autres soutiens. Connaissez-vous des entreprises qui font encore tourner des serveurs sous Debian 6 ? Si oui, je vous serai gré de m’en faire savoir un peu plus (nom + url + contact si possible) en m’écrivant à deblts@freexian.com, de sorte à ce que je puisse prendre contact et les inviter à participer au projet.

Distro Tracker

Dans la continuation du concours Debian France, j’ai continué à travailler avec Joseph Herlant et Christophe Siraut sur de multiples améliorations de distro tracker. Ce afin de préparer son déploiement sur tracker.debian.org (que je viens tout juste d’annoncer \o/).

Debian France

Le concours Debian France étant fini, j’ai expédié les récompenses. Cinq livres ont donc été envoyés à :

Travaux Debian divers

J’ai déclaré sql-ledger orphelin et réalisé un dernier envoi (d’une nouvelle version amon) pour changer son mainteneur en Debian QA.

Après avoir été ennuyé plusieurs fois par dch estropiant mon nom dans les journaux de modification, j’ai soumis le rapport n°750855, qui a été rapidement corrigé.

J’ai désactivé un patch défectueux de quilt, afin de corriger un bogue critique pour la publication : n°751109

J’ai soumis le rapport n°751771 lorsque j’ai découvert une dépendance incorrecte vers ruby-uglifier, tandis que je travaillais à l’empaquetage pour Kali Linux.

J’ai testé de nouvelles versions de ruby-libv8 sur armel/armhf à la demande de l’auteur amont. Je lui ai remonté des erreurs de compilation (cf. le ticket github).

Merci

Rendez-vous au mois prochain pour un nouveau résumé de mes activités !

Ceci est une traduction de mon article My Free Software Activities in June 2014 contribuée par Weierstrass01.

Flux Mon blog anglophone sur le libre

Mots-clés

3.0 (quilt) Annonce aptitude Cahier Admin conffile Contribuer DebConf Debian Debian France Debian Live Distro Tracker dpkg dpkg-source Eyrolles Freexian GNOME GSOC HOWTO Informatique Kali Linux Libre Livres LTS Moi multiarch nautilus-dropbox nettoyage Packaging Politique Presse Pro Programmation PTS publican python-django Release Rolling Référence Résumé d'activité synaptic Testing Tryton Ubuntu unstable wordpress

Articles récents