Auteur Sujet: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https  (Lu 1406 fois)

0 Membres et 1 Invité sur ce sujet

doctorrock

  • Client Orange Fibre
  • *
  • Messages: 334
  • Courbevoie 92
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #12 le: 23 janvier 2019 à 15:22:46 »
Ouai ya vraiment autant de pour que de contre en fait.
Donc si dans ta situation, tu juges plus d'un coté que de l'autre , ben tu pencheras vers ce coté là ^^

C'est en tout cas comme ça que je raisonne

butler_fr

  • Client Bbox adsl
  • Modérateur
  • *
  • Messages: 3 130
  • FTTH sur Marseille (13)
    • smokeping ffth orange sur marseille
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #13 le: 23 janvier 2019 à 16:32:11 »
http ca permet le cache local (via un proxy par exemple) sans modifier les sources ou CA sur les machines. Quand on a plein de machines ca  peut jouer sur la connexion Internet.

Activer https ne veut pas dire obligatoirement dropper http ;)
ni même de l'activer par défaut.

underground78

  • Expert
  • Client Free fibre
  • *
  • Messages: 5 599
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #14 le: 23 janvier 2019 à 18:52:00 »
On notera que le site a probablement été mis à jour très récemment pour y ajouter le texte suivant en introduction : "(This site represents the status quo as it was some time ago, particularly before CVE-2019-3462. It does not represent my personal opinion nor that of Debian/Ubuntu.)".

vivien

  • Administrateur
  • *
  • Messages: 30 925
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #15 le: 23 janvier 2019 à 19:05:39 »
Ah oui je n'avais encore jamais vu un message "It does not represent my personal opinion nor that of Debian/Ubuntu."

Cela donne bien ça en Français ? "Cela ne représente pas mon opinion personnelle, ni celle de Debian/Ubuntu."

underground78

  • Expert
  • Client Free fibre
  • *
  • Messages: 5 599
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #16 le: 23 janvier 2019 à 19:08:25 »
Oui, c'est bien ça.

vivien

  • Administrateur
  • *
  • Messages: 30 925
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #17 le: 23 janvier 2019 à 20:05:13 »
J'ai relancé ma demande de https sur https://bugs.launchpad.net/ubuntu/+bug/1464064

STRAT38

  • Invité

FloBaoti

  • Client Free adsl
  • *
  • Messages: 456
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #19 le: 23 janvier 2019 à 21:55:53 »
Sur Debian j'utilise ces dépots https depuis quelques mois :
https://cdn-aws.deb.debian.org/debian/
https://cdn-aws.deb.debian.org/debian-security/

vivien

  • Administrateur
  • *
  • Messages: 30 925
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #20 le: 01 février 2019 à 15:09:02 »
Je pense que cela va bouger, vu les nombreuses interventions argumentées demandant le passage au https par défaut sur https://bugs.launchpad.net/ubuntu/+bug/1464064

Extraits traduits :

La dépendance d'Ubuntu uniquement aux signatures PGP pour la sécurité des paquets et des téléchargements .iso met la communauté en danger.

Ces dernières années, plusieurs vulnérabilités APT ont créé des vulnérabilités d'exécution de code à distance pour les systèmes Ubuntu. Il est irresponsable de ne laisser aux opérateurs de système aucune option pour se protéger contre ces vulnérabilités.

Chaque version de LTS depuis 10.04 a été affectée par au moins une vulnérabilité RCE dans APT qui aurait été atténuée par les miroirs HTTPS.

https://usn.ubuntu.com/3863-1/ CVE-2019-3462
https://usn.ubuntu.com/3156-1/ CVE-2016-1252
https://usn.ubuntu.com/2353-1/ CVE-2014-6273
https://usn.ubuntu.com/2348-1/ CVE-2014-0487, CVE-2014-0488, CVE-2014-0489, CVE-2014-0490
https://usn.ubuntu.com/2246-1/ CVE-2014-0478
https://usn.ubuntu.com/1762-1/ CVE-2013-1051

De telles vulnérabilités sont graves car elles rendent difficile, voire impossible, l’amorçage sécurisé d’un système Ubuntu à partir d’une image de CD de version officielle.

Il est particulièrement flagrant que security.ubuntu.com ne soit pas disponible sur TLS, car de nombreux systèmes continuent de faire référence à http://security.ubuntu.com même lorsqu'ils utilisent un miroir principal distinct prenant en charge le protocole HTTPS.

En plus d'empêcher l'exécution de code à distance, HTTPS améliorerait également la confidentialité.

Etant donné que les PPA Launchpad ne sont disponibles que sur un HTTP non sécurisé, toute personne utilisant un PPA qui leur est associé divulguera leur identité sur le réseau chaque fois que la mise à jour est exécutée, ce qui peut durer plusieurs fois par jour.

Il est particulièrement inexcusable que ppa.launchpad.net ne livre pas de paquets via HTTPS car, même s'il possède un certificat HTTPS valide, il répond par un message 404 Introuvable au lieu de renvoyer du contenu PPA. [1]

Il existe de nombreux domaines de la communauté Internet où le consensus est passé de HTTP par défaut à HTTPS sécurisé par défaut. La politique du gouvernement américain exige désormais le protocole HTTPS pour tous les sites Web et services Web fédéraux américains, sans distinction entre les cas d'utilisation de navigateur et de non-navigateur. [2] Le W3C recommande désormais à la plate-forme Web de préférer activement le protocole HTTPS. [3] L'IAB recommande que tous les nouveaux protocoles utilisent le cryptage pour des raisons de confidentialité. [4] Ces dernières années, Google Chrome a décidé de traiter HTTPS comme système par défaut, marquant explicitement les connexions HTTP en texte brut comme non sécurisées via une icône d'avertissement plutôt qu'une présentation neutre. [5] L’IETF a déclaré dans la RFC 7258 que la surveillance généralisée est une attaque que la communauté Internet devrait traiter par le biais d’un cryptage et d’autres moyens. [6]

Il est temps que Ubuntu fasse de même.

vivien

  • Administrateur
  • *
  • Messages: 30 925
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #21 le: 23 février 2019 à 20:54:28 »
Fait exceptionnel, ce bug APT va entraîner de nouvelles ISO pour Ubunut 16.04 alors qu'il n'était plus prévu d'en sortir.

Ubuntu 16.04 est sortie en avril 2016 mais il est maintenu gratuitement pendant 5 ans (8 ans en payant)

Pendant ses deux premières années de vie, des nouvelles ISO sont réalisée tous les 6 moins, intégrant tous les correctifs publiés + un nouveau noyau / nouveau serveur x, pour prendre en charge les PC de dernière génération.
Normalement la dernière iso disponible et la .5 (Ubunu 16.04.5)

Une version .6 (Ubuntu 16.04.6) sera disponible début le 28 février 2019, intégrant tous les correctifs publiés, dont le correctif sur APT, ce qui permettra a de nouveaux ordinateurs installés avec Ubuntu 16.04 de ne pas avoir la vulnérabilité.


Pour Ubuntu 18.04, la version Ubuntu 18.04.2 sortie le 14 février 2019 corrige  le bug (et apport le kernel 4.18, cf Linux 4.18 : gain de performance sur certains serveurs

L'annonce traduite :
À la lumière de la vulnérabilité apt récemment découverte et corrigée, nous avons décidé de reconstruire toutes nos isos supportées qui pourraient être potentiellement affecté.
Nous n'avions pas prévu une autre libération d'Ubuntu 16.04 mais bon, que pouvez-vous faire? La sécurité est importante.

Nous avons préparé la première série d’images ISO xenial 16.04.6 prêtes pour l'étape "testing"
La sortie a été fixée au 28 février.

vivien

  • Administrateur
  • *
  • Messages: 30 925
    • Twitter LaFibre.info
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
« Réponse #22 le: 01 mars 2019 à 19:21:15 »
Ubuntu 16.04.6 est disponible.

C'est la dernier ISO pour la version 32bits d'Ubuntu ou Ubuntu server.

Si vous cherchez les fichiers .iso, il sont sur https://soft.lafibre.info/

 

Mobile View