Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

La sécurité des Linux Red Hat et Mandrake souffrira

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur La sécurité des Linux Red Hat et Mandrake souffrira

Red Hat et Mandrake annoncent la fin du support gratuit et illimité pour leurs anciennes distributions. Passé un an, leurs systèmes ne pourront plus bénéficier gratuitement des mises à jour automatiques et autres correctifs simples à installer. Cela pourrait avoir de graves conséquences pour la sécurité d’une majorité des Linux installés à travers le monde.


Le problème avec le Logiciel Libre, c’est que ca ne vieillit pas. Des dizaines de distributions de Linux antédiluviennes fonctionnent ainsi toujours parfaitement. On les retrouve au coeur de pare-feux, de passerelles ou de divers systèmes réseaux, et elles sont très souvent bâties autour d’une distribution Red Hat (y compris les produits Mandrake). Si ces installations sont rarement mises à jour, il était jusqu’à présent toujours possible de le faire en cas de nécessité en téléchargeant un package gratuit au format maison RPM. Et pour les administrateurs qui n’auraient pas même envie d’installer un package RPM (pourtant l’affaire d’une simple commande), Red Hat proposait aussi un service de mise à jour automatique par Internet, Up2date.

Mais pressés par une situation économique difficile (Mandrake flirte avec le dépôt de bilan), Red Hat et Mandrake viennent d’annoncer qu’ils n’assureront désormais les mises à jour gratuites de leurs distributions que pendant un an (dix huit mois pour le coeur des distributions Mandrake, tel le noyau et le serveur web Apache). Cela signifie qu’il n’y aura donc plus de système de mise à jour simple, gratuit et testé par l’éditeur, pour les distributions Mandrake et Red Hat vieilles de plus d’un an.

Linux reste libre

Bien sûr personne ne possède des droits exclusifs sur Linux. Les mises à jour du système d’exploitation restent donc toujours gratuites pour qui sait y faire, quelle que soit la distribution : il suffit de se procurer les divers correctifs sous la forme de code source et de recompiler les applications concernées. Mais tout le monde ne peut s’offrir ce luxe. Le développement de Linux a donné naissance à des milliers de nouveaux utilisateurs qui n’ont pas du tout envie, ou sont incapables, de recompiler une application afin de corriger une faille de sécurité. Sans compter que la compilation peut prendre du temps et exige de re-tester la version corrigée avant de la mettre en production.

Dans ces conditions, en l’absence de patch simple à installer, il est fort probable que les prochaines failles ne soient jamais corrigées sur les distributions de plus d’un an… c’est à dire la majorité du parc installé.

Ce serait bien sûr une catastrophe pour Linux. Des milliers de serveurs, ou des postes de travail, seraient alors laissés à l’abandon et livrés aux scanners de vulnérabilités qui, eux, sont régulièrement mis à jour !

De nouvelles opportunités pour le Logiciel Libre

Cependant, la réactivité de la communauté Open Source n’est plus à prouver. Une solution de mise à jour libre, indépendante des constructeurs, pourrait rapidement voir le jour. Elle pourrait s’appuyer sur des archives RPM créées par des passionnés, des clones de serveurs Up2date qui utiliseraient le protocole de Red Hat, ou encore tout simplement des serveurs d’archives .apt (le format de packages utilisé par Debian), qu’il serait possible d’utiliser sur les systèmes Red Hat et Mandrake grâce à l’éditeur Connectiva.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.