Debian a décidé de reporter la version 12.6
Après la découverte de la porte dérobée de Linux XZ Tarball, les développeurs de Debian ont décidé de suspendre la version 12.6 pour une analyse approfondie des effets CVE.
Sans aucun doute, l'infiltration délibérée d'archives XZ amont dérobées dans le dépôt Debian sid il y a quelques jours, permettant un accès SSH à distance sans authentification, a déclenché une véritable tempête dans la communauté Linux.
Cette vulnérabilité de sécurité, CVE-2024-3094, n’a pas seulement affecté le côté Debian. Cela a également impacté plusieurs autres distributions Linux, notamment certaines versions de Fedora, Arch, openSUSE Tumbleweed, Kali, etc.
À la lumière de cela, le projet Debian a annoncé un retard dans la sortie de sa prochaine version 12.6, initialement prévue pour le 6 avril. Cette décision intervient alors que l'équipe entreprend une enquête approfondie impliquant l'évaluation de son impact potentiel sur l'archive Debian, une collection complète d'informations Debian. progiciels.
Bien qu’il n’existe actuellement aucune preuve suggérant qu’une version stable de Debian soit affectée par ce problème, il est crucial de s’assurer que la vulnérabilité n’affecte pas le vaste écosystème d’applications et de services de la distribution.
Il n’est pas surprenant que Debian, connue pour donner la priorité à la sécurité et à la stabilité, ne laisse rien au hasard – un engagement qui en fait un choix préférable pour un système d’exploitation serveur fiable.
Ainsi, la sortie de la sixième mise à jour de la série « Bookworm » 12 sera reportée jusqu'à ce que les développeurs vérifient minutieusement chaque détail de CVE-2024-3094 pour garantir que tous les risques possibles pour les utilisateurs sont entièrement pris en compte. Actuellement, le projet Debian n'a pas fixé de nouvelle date pour la version 12.6.
Cette approche correspond bien à leur pratique habituelle consistant à publier des mises à jour uniquement lorsqu’elles sont entièrement prêtes.
Pendant ce temps, Lasse Collin, l'un des deux principaux développeurs de XZ, a publié des informations soulignant que Jia Tan a créé et signé tous les packages dérobés. Pour l’heure, les raisons de ses actes restent totalement floues.
Comme toujours, nous surveillons de près la situation et vous tiendrons au courant dès que quelque chose change.