Nos administrateurs système ont décidé de mettre la plupart de nos services web hors-ligne par mesure préventive, après qu’il ait été rendu publique sur des sites tiers qu’ils tournaient sous des versions obsolètes de Mageia, les rendant particulièrement vulnérables à de potentielles attaques.
La migration de ces services vers des serveurs Mageia 5 était prévue de longue date, mais malheureusement retardée par le manque de disponibilité de nos administrateurs système. La publicité inattendue augmentant potentiellement le risque d’attaques, ce sujet est naturellement revenu à la plus haute priorité. Les administrateurs systèmes ont donc décidé de mettre ces services hors-ligne afin de pouvoir travailler sur la migration et de mitiger les risques.
Il est à noter que notre système de constructions de paquets et d’images ISO tourne déjà sous Mageia 5, et qu’il n’y a donc (dans l’état actuel de nos connaissances) pas lieu de s’inquiéter de la sécurité de vos systèmes Mageia. Les risques potentiels seraient confinés à des services web du domaine mageia.org – nous auditons néanmoins tous les serveurs à la recherche de traces d’intrusion potentielle que l’infrastructure obsolète aurait pu faciliter.
Nous nous excusons pour ce désagrément et manquement sur la sécurité, et vous tiendrons informés de notre progrès sur la migration et la vérification des services.
État actuel :
- Page web (www): en ligne
- Blog: en ligne
- Identity: en ligne
- Bugzilla (bugs): en ligne
- Listes de discussion (ml): en ligne
- Wiki: en ligne
- Forums: hors ligne
- Index des miroirs et MIRRORLIST (mirrors): en ligne
- Git / Svn: en ligne
- Gitweb / Svnweb: en ligne
- Buildsystem (pkgsubmit): en ligne
- Mageia App DB (madb): en ligne
Se référer au billet anglophone pour les informations les plus récentes, la traduction pouvait avoir du retard.
Traduction du billet Web services shut down preventively publié sur le blog anglophone.
Pour en savoir plus l’article sur linuxfr:
https://linuxfr.org/users/coquelicot-bleu/journaux/pas-de-mises-a-jour-de-securite-depuis-5-ans-sur-l-infrastructure-mageia-est-ce-bien-raisonnable
Bonsoir Rémi, il faudrait quand même pas oublié que la plupart des contributeurs tout azimut de Magéia sont des bénévoles, alors avant de leur jeter la pierre, il faudrait que nous les utilisateurs, on se pose la question de savoir si on a tout fait notre possible, pour aider notre distrib préféré. Donc bon courage à vous tous et merci pour ce que vous faites.
le forum français MLO est toujours actif,
il faudrait remettre le lien.
https://www.mageialinux-online.org/mlo/
Bonjour Rémi, bonjour à tous
Comme annoncé dans le fil de discussion sur linuxfr, j’ai fait un don. Certes pas énorme et en fonction de mes moyens. Mais j’ai prévu d’en faire un second après la sortie de mageia 6.
Pour ma part, je maintiens ma position exprimée sur linuxfr, et en dépit du fait que j’ai trouvé l’association mageia plus que « légère » sur la maintenance de son infrastructure, je maintiens ma confiance pleine et entière à mageia que je recommande à chaque fois que je le peux.
Je maintiens ma confiance parce que j’ai découvert le logiciel libre fin 1998/ 1999 au travers de Mandrake/Mandriva/Mageia. Contrairement à certain qui change en permanence de distribution, et même si sur mon PC fixe, j’ai une Debian, j’ai toujours depuis cette période mise en œuvre cette distribution qui m’a toujours donné satisfaction en dépit des périodes un peu compliquées de mes premières installations où les cartes graphiques puis les pilotes wifi, me donnait du fil à retordre.
Comme je l’ai également dit, je ne suis qu’un « end user », je ne suis pas informaticien ni développeur. Je vous fait donc entièrement confiance pour régler le problème et assurer une distribution « propre ». Je regrette sur LinuxFr l’absence totale de solidarité qui devrait pourtant, de mon point de vue, opérer de manière plus « forte » car nous ne sommes pas entre boites commerciales concurrentes de logiciels propriétaires où l’objectif est de dézinguer l’autre en lui piquant ses parts de marché.
Cela m’attriste autant que la (très) mauvaise maintenance de l’infra mageia.
En tous cas, et en dépit de cela, et parce qu’il faut un peu d’humanité dans ce monde de « killer », sachez que je remercie toute l’équipe magéia de contributeurs, à quelques niveaux que ce soit, pour cette distribution dans laquelle « je me sens bien ».
Bon courage à tous et que de ce très grave incident (pour ne pas dire accident) il en ressorte une communauté plus soudée, plus forte avec une superbe mageia 6. Et je recommande à tous ceux qui ne peuvent participer « techniquement » à l’élaboration de notre distribution et/ou à la maintenance de l’infra de faire un don pour aider mageia à se restructurer autour de son projet.
Ce triste événement montre quel point une distribution communautaire peut être fragile.
Il est normalement dans des grosses infrastructures de prod de pouvoir migrer des plateforme, cela demande un temps fou: le temps d’installation n’étant que le point final. Il est nécessaire aussi de vérifier les effets de bords d’une telle migration, et bien sûr avoir les ressources humaines.
Oui, je l’admet, je ne suis qu’un utilisateur lambda de la distribution mageai, faisant ici ou là quelques rapport de bug. En conséquence, je ne me plains pas:
Certes, je ne mettrais pas mageia sur un serveur critique d’une grand entreprise , ne serait ce que pour le support apporté par les éditeurs, mais je recommande vive Mageia sur une station de travail .
Cet article de linuxfr montre un problème récurent sur ce site: chaque machine a un rôle différent, un serveur de mail n’a pas la même criticité qu’un PC où n’est utilisé que steam.
Dans le premier cas, il est sûr que ce problème pose problème, par là même, je dirais que mageia, c’est fini pour la niche « serveur », mais je ne suis pas sûr que ce soit la cible, je ne suis même pas sûr que mageia ait une cible particulière.
Par contre, la bonne intégration des outils mageia fait que un poste de travail, je ne changerais pas d’avis.
Quant aux propos du pseudo « Albert », que j’ai eu la malchance lire à plusieurs reprise sur le forum et ailleurs depuis quelques années, mais que je n’ai jamais rencontré en personne, je lui dirai que malgré toute mésentente ou désaccords n’est pas une excuse pour se montrer si vulgaire ou insultant.
Le fait d’être insultant dépends avant tout de l’interlocuteur, donc peu importe s’il estime ne pas l’avoir été, moi je me suis senti insulté par ses propos.