La Fibre

Télécom => Logiciels et systèmes d'exploitation => Linux Linux => Discussion démarrée par: vivien le 01 décembre 2018 à 13:57:41

Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 01 décembre 2018 à 13:57:41
Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https

Pourquoi passer en https ?
Cela peut être nécessaire sur certaines connexions WiFi non neutres qui bloquent ou brident les transferts http.


Ces deux commandes vont passer toutes les lignes installées par défaut en https : (je suppose que votre miroir est celui par défaut pour la France: fr.archive.ubuntu.com)
sudo sed -i -e "s/http:\/\/fr.archive.ubuntu.com/https:\/\/fr.archive.ubuntu.com/g" /etc/apt/sources.list
sudo sed -i -e "s/http:\/\/security.ubuntu.com/https:\/\/fr.archive.ubuntu.com/g" /etc/apt/sources.list


Exemple concret :

J'ai ré-essayé plusieurs fois de faire le téléchargement, mais en http, ce fichier a systématiquement une somme de contrôle de hachage incohérente :
(https://lafibre.info/testdebit/ubuntu/201811_ubuntu_depots_https_1.png)

Une fois passé en https, tout se passe bien :
(https://lafibre.info/testdebit/ubuntu/201811_ubuntu_depots_https_2.png)

Le fichier linux-firmware_1.157.21_all.deb étant systématiquement en échec

J'ai copié le fichier sur mon serveur pour pouvoir reproduire le problème, même quand le fichier ne sera plus sur le miroir Ubuntu.

- http://ipv4.lafibre.info/test/linux-firmware_1.157.21_all.deb => systématiquement en échec vers la fin après plus de 40 Mo téléchargé
- http://46.227.16.8/test/linux-firmware_1.157.21_all.deb => systématiquement en échec vers la fin après plus de 40 Mo téléchargé
- https://ipv4.lafibre.info/test/linux-firmware_1.157.21_all.deb => OK
Et la somme de contrôle - https://ipv4.lafibre.info/test/sha256sum.txt

Le pb est reproductible en téléchargeant le fichier via Firefox.

La coupure (le fichier n'est pas téléchargé en entier) n'interviens pas toujours au même moment : 42 877 Kio, 46 313 Kio, 46 640 Kio,...
Quand le fichier et complet, c'est 48 628 Kio
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 01 décembre 2018 à 13:58:13
Voici un autre exemple, en WiFi, à l'aéroport de Marrakech-Ménara au Maroc :
(https://lafibre.info/testdebit/ubuntu/201811_ubuntu_depots_https_3.png)

Quand je charge la page http://fr.archive.ubuntu.com/ avec Firefox, je comprends le problème :
(https://lafibre.info/testdebit/ubuntu/201811_ubuntu_depots_https_4.png)

En https, tout est ok :

(https://lafibre.info/testdebit/ubuntu/201811_ubuntu_depots_https_5.png)
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 01 décembre 2018 à 13:58:26
Voici pour information la page de connexion du Wi-FI de l'aéroport de Marrakech-Ménara :
(https://lafibre.info/testdebit/ubuntu/201811_ubuntu_depots_https_6.png)

L'IPv4 obtenue (pas d'IPv6)
(https://lafibre.info/testdebit/ubuntu/201811_ubuntu_depots_https_7.png)

Conditions générales d'utilisation du service hotspots publics office national des aéroports (ONDA) :
(cliquez sur la miniature ci-dessous - le document est au format PDF)
(https://lafibre.info/images/international/201512_maroc_cgu_hotspot_wifi_aeroport.png) (https://lafibre.info/images/international/201512_maroc_cgu_hotspot_wifi_aeroport.pdf)

Capture wireshark du trafic WiFi : (cliquer sur la miniature ci-dessous, Wireshark est nécessaire pour lire le fichier)
(https://lafibre.info/images/wireshark/logo_wireshark.png) (https://lafibre.info/images/wireshark/201810_ecoute_wifi_maroc_aeroport.pcapng.gz)
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 01 décembre 2018 à 14:32:46
Les discussions (en angais) sur le fait de proposer systématiquement du https : https://bugs.launchpad.net/ubuntu/+bug/1464064

J'ai observé des problèmes (échec de mise à jour Ubuntu) sur un point d’accès géré par https://www.arubanetworks.com/fr/
Le pb est reproductible en téléchargeant le fichier via Firefox.

Si vous savez ce qui gêne Arubanetworks dans un fichier tel que http://ipv4.lafibre.info/test/linux-firmware_1.157.21_all.deb je suis intéressé.

Ubuntu 18.04 et supérieurs supportent le https, y compris pour faire une mise à jour vers une nouvelle version d'Ubuntu :
(https://lafibre.info/testdebit/ubuntu/201904_mise_a_jour_distribution_support_https.png)

Le bug corrigé : https://bugs.launchpad.net/ubuntu/+source/update-manager/+bug/1823410
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 23 janvier 2019 à 13:04:38
Une nouvelle faille dans APT : Remote Code Execution in apt/apt-get
=> https://justi.cz/security/2019/01/22/apt-rce.html (rédigé en anglais par Max Justicz)

"apt, à partir de la version 0.8.15, décode les URL cibles des redirections, mais ne les vérifie pas pour les nouvelles lignes, permettant aux attaquants MiTM (ou miroirs de dépôts) d'injecter des en-têtes arbitraires dans le résultat retourné au processus principal. Si l'URL incorpore des hachages du fichier supposé, elle peut donc être utilisée pour désactiver toute validation du fichier téléchargé, car les faux hachages seront pré-placés devant les bons hachages."

Preuve de concept :
https://lafibre.info/videos/linux/201901_debian_apt_poc_max_justicz.mp4


Utiliser https permet de réduire certains risques lié a cette faille tout comme celle découverte par Jann Horn en 2016 et qui a le même impact.

Je pense comme Max Justicz que cela vaut la peine de mettre les dépots Debian / Ubuntu par défaut en https tout en laissant la possibilité de permettre aux utilisateurs de rétrograder leur sécurité en passant en http s'ils le souhaitent (l'utilisation de https rend plus facile la mise en cache du contenu).

Le correctif est disponible :

Ubuntu 18.04 LTS :
(https://lafibre.info/testdebit/ubuntu/201901_debian_apt_faille.png)

Ubuntu 18.10 :

(https://lafibre.info/testdebit/ubuntu/201901_debian_apt_faille_2.png)
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: butler_fr le 23 janvier 2019 à 13:41:10
et on applaudit debian pour la non disponibilité des dépots en https

curl https://ftp.fr.debian.org/debian/
curl: (7) Failed to connect to ftp.fr.debian.org port 443: Connexion refusée

curl https://ftp.debian.org
curl: (60) SSL certificate problem: self signed certificate in certificate chain
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 23 janvier 2019 à 13:58:08
Les gens sont parfois vraiment passionnés par le débit http / https pour les dépôts de mises à jour. Il existe des sites Web à usage unique qui expliquent pourquoi l'utilisation de https est inutile dans le contexte d'APT :  "Si les manifestes des packages sont signés, pourquoi se soucier d'utiliser https ?"

Pour moi, c'est comme la double authentification rajouter plusieurs couches de sécurité permet de limiter les dégâts en cas de faille

Dans de nombreuses attaques informatique, il ne suffit pas d'une vulnérabilité zero-day, mais il en faut plusieurs pour que cela soit exploitable.

Bref, https augmente un peu la complexifié mais à cout nul ou presque, donc pourquoi s'en priver ?

La réponse de Canonical vu que j'avais posé la question :
Question posée à Canonical en marge d'un échange sur push mirroring : Is-it possible to reference on https://launchpad.net/ubuntu/+mirror/bouygues-telecom hosting Ubuntu mirror in http secure (https in addition of http and rsync)

Would it be possible to remove ftp, which is an obsolete protocol, and to add the possibility to the mirrors that wish to propose https in addition to http?

Note that Debian will no longer offer FTP from 1 November 2017: https://www.debian.org/News/2017/20170425.en.html the FTP protocol is inefficient and requires adding awkward kludges to firewalls and load-balancing daemons.

La  réponse : So, short answer, there's no reason you can't drop FTP, as far as I know it's not a requirement for even a country mirror.  In terms of adding HTTPS, there's quite a bit of complexity there and it's something we've been discussing but haven't reach a point where there's a good path going forward.  We'd have to manage the SSL certificate for you, for example, if you wanted to support HTTPS on the fr.archive.ubuntu.com virtual host, among other things.  It is something we're actively working on supporting and have a strong interest in doing, though I can't give you a timeline for it.

Traduction rapide de la réponse : Donc, pour répondre rapidement, il n'y a aucune raison pour laquelle vous ne pouvez pas abandonner le FTP, pour autant que je sache que ce n'est même pas une obligation pour un miroir de pays. Pour ce qui est de l'ajout du protocole HTTPS, cela entraîne beaucoup de complexité et c'est quelque chose dont nous avons discuté, mais qui n'est pas prêt. Nous devrons gérer le certificat SSL pour vous, par exemple, si vous souhaitez prendre en charge HTTPS sur l'hôte virtuel fr.archive.ubuntu.com, entre autres choses. C'est quelque chose que nous travaillons activement à soutenir et qui nous intéresse vivement, même si je ne peux pas vous donner un échéancier.



Il me semble plus simple de continuer sur le bug https://bugs.launchpad.net/ubuntu/+bug/1464064 ( Ubuntu apt repos are not available via HTTPS )
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: butler_fr le 23 janvier 2019 à 14:13:14
j'ai vraiment du mal à comprendre leur position.

le surcout de TLS est pas négligeable mais presque de nos jours.
Une pauvre petite VM haproxy avec offload ssl peut gérer un trafic considérable en entrée d'une plateforme web.

Pour les certificats
un coup de let's encrypt et c'est fini...
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 23 janvier 2019 à 14:20:08
Tu as tous les arguments sur un site dédié à la cause du http pour les mises à jour : https://whydoesaptnotusehttps.com/

A noter que ce n'est pas le site d'un inconnu : c'est un site de Chris Lamb, le Chef du Projet Debian (DPL Debian Project Leader).
C'est donc est le représentant officiel du projet Debian et pour lui, https, c'est non, non, non et non.
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: doctorrock le 23 janvier 2019 à 14:58:47
Il a des arguments, et pour moi ils sont valides.
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 23 janvier 2019 à 15:03:34
J'ai deux arguments à rajouter pour l'utilisation d'https :

- https permet proposer un autre protocole, pour ceux qui ont des limitations sur le port 80, à cause d'un proxy qu'ils ne contrôlent pas. (cf les exemples au début de ce sujet)

- https permet de cacher la version du système d’exploitation que vous utilisez (visiblement directement dans le user-agent) si une personne écoute le trafic émis :

Comment connaître la version d'Ubuntu via le user Agent ?

Sur un total de 14 676 485 lignes de log (2,5 Gio) dont 14 443 900 pour APT-HTTP/1.3 et 36 115 pour Apt-Cacher

Début de l'user-agent des requêtes des utilitaires d’installation des paquets (apt, aptitude, logithèque) :
warty => Ubuntu 4.10
hoary => Ubuntu 5.04 => "Ubuntu APT-HTTP/1.3""
breezy => Ubuntu 5.10 => "Ubuntu APT-HTTP/1.3""
dapper => Ubuntu 6.06 LTS => "Ubuntu APT-HTTP/1.3""
edgy => Ubuntu 6.10 => "Ubuntu APT-HTTP/1.3""
feisty => Ubuntu 7.04 => "Ubuntu APT-HTTP/1.3 (0.6.46.4ubuntu"
gutsy => Ubuntu 7.10 => "Ubuntu APT-HTTP/1.3 (0.7.6ubuntu"
hardy => Ubuntu 8.04 LTS => "Ubuntu APT-HTTP/1.3 (0.7.9ubuntu" (987 lignes)
intrepid => Ubuntu 8.10 => "Ubuntu APT-HTTP/1.3 (0.7.14ubuntu"
jaunty => Ubuntu 9.04 => "Ubuntu APT-HTTP/1.3 (0.7.20.2ubuntu"
karmic => Ubuntu 9.10  => "Ubuntu APT-HTTP/1.3 (0.7.23.1ubuntu"
lucid => Ubuntu 10.04 LTS => "Ubuntu APT-HTTP/1.3 (0.7.25.3ubuntu" (1323 lignes)
maverick => Ubuntu 10.10 => "Debian APT-HTTP/1.3 (0.8.3ubuntu"
natty => Ubuntu 11.04 => "Debian APT-HTTP/1.3 (0.8.13.2ubuntu" (45 285 lignes)
oneiric => Ubuntu 11.10 => "Debian APT-HTTP/1.3 (0.8.16~exp5ubuntu" (544 lignes)
precise => Ubuntu 12.04 LTS => "Debian APT-HTTP/1.3 (0.8.16~exp12ubuntu"  (333 059 lignes soit 2,31%)
quantal => Ubuntu 12.10 => "Debian APT-HTTP/1.3 (0.9.7.5ubuntu" (45 248 lignes)
raring => Ubuntu 13.04 => "Debian APT-HTTP/1.3 (0.9.7.7ubuntu" (51 476 lignes)
saucy => Ubuntu 13.10 => "Debian APT-HTTP/1.3 (0.9.9.1~ubuntu" (284 554 lignes)
trusty => Ubuntu 14.04 LTS : 2 user-agent
=> "Debian APT-HTTP/1.3 (0.9.15.4ubuntu" (1 222 lignes)
=> "Debian APT-HTTP/1.3 (1.0.1ubuntu" (11 696 413 lignes soit 80,98%)
utopic => Ubuntu 14.10 => "Debian APT-HTTP/1.3 (1.0.9.2ubuntu" (116 827 lignes soit 0,81%)
vivid => Ubuntu 15.04
=> "Debian APT-HTTP/1.3 (1.0.9.3ubuntu" (64 lignes)
=> "Debian APT-HTTP/1.3 (1.0.9.7ubuntu" (334 448 lignes soit 2,32% alors que plus supporté)
wily => Ubuntu 15.10
=> "Debian APT-HTTP/1.3 (1.0.9.9ubuntu" (1968 lignes)
=> "Debian APT-HTTP/1.3 (1.0.9.10ubuntu" (276 lignes)
=> "Debian APT-HTTP/1.3 (1.0.10.2ubuntu" (1 394 622 lignes soit 9,66%)
xenial => Ubuntu 16.04 LTS pas de "ubuntu" pour les versions de dev
=> "Debian APT-HTTP/1.3 (1.1" (13 157 lignes)
=> "Debian APT-HTTP/1.3 (1.2" (120 106 lignes soit 0,83%)
yakkety => Ubuntu 16.10
=> "Debian APT-HTTP/1.3 (1.3"
zesty => Ubuntu 17.04
=> "Debian APT-HTTP/1.3 (1.4"
artful => Ubuntu 17.10
=> "Debian APT-HTTP/1.3 (1.5"
bionic => Ubuntu 18.04 LTS
=> "Debian APT-HTTP/1.3 (1.6"

Tout ce trafic est normalement en http 1.1 (quand il n'est pas intercepté par un proxy)

User-agent de Apt-Cacher-Server (https://doc.ubuntu-fr.org/apt-cacher)

(Utilitaire pour créer un serveur miroir Ubuntu)

(https://lafibre.info/testdebit/ubuntu/201602_ubuntu_apt_cacher_server.png)

precise => Ubuntu 12.04 => "Debian Apt-Cacher-NG/0.7.2" (0 ligne)
trusty => Ubuntu 14.04 => "Debian Apt-Cacher-NG/0.7.26" (31890 lignes)
vivid => Ubuntu 15.04 => "Debian Apt-Cacher-NG/0.8.0" (273 lignes)
wily => Ubuntu 15.10 => "Debian Apt-Cacher-NG/0.8.5" (3952 lignes)
xenial => Ubuntu 16.04 => "Debian Apt-Cacher-NG/0.8.9" ou "Debian Apt-Cacher-NG/0.9.1"
zesty => Ubuntu 17.04 => "Debian Apt-Cacher-NG/2"
artful => Ubutu 17.10 => "Debian Apt-Cacher-NG/3"
bionic => Ubuntu 18.04 =>

Debian squeeze => Debian 6 => "Debian Apt-Cacher-NG/0.5.1" (0 ligne)
Debian wheezy =>Debian 7 => "Debian Apt-Cacher-NG/0.7.11" (0 ligne)
Debian jessie => Debian 8 => "Debian Apt-Cacher-NG/0.8.0" (273 lignes)
Debian stretch => Debian 9 => "Debian Apt-Cacher-NG/0.8.9" ou "Debian Apt-Cacher-NG/2"
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: kgersen le 23 janvier 2019 à 15:14:29
http ca permet le cache local (via un proxy par exemple) sans modifier les sources ou CA sur les machines. Quand on a plein de machines ca  peut jouer sur la connexion Internet.
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: doctorrock le 23 janvier 2019 à 15:22:46
Ouai ya vraiment autant de pour que de contre en fait.
Donc si dans ta situation, tu juges plus d'un coté que de l'autre , ben tu pencheras vers ce coté là ^^

C'est en tout cas comme ça que je raisonne
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: butler_fr le 23 janvier 2019 à 16:32:11
http ca permet le cache local (via un proxy par exemple) sans modifier les sources ou CA sur les machines. Quand on a plein de machines ca  peut jouer sur la connexion Internet.

Activer https ne veut pas dire obligatoirement dropper http ;)
ni même de l'activer par défaut.
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: underground78 le 23 janvier 2019 à 18:52:00
On notera que le site a probablement été mis à jour très récemment pour y ajouter le texte suivant en introduction : "(This site represents the status quo as it was some time ago, particularly before CVE-2019-3462. It does not represent my personal opinion nor that of Debian/Ubuntu.)".
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 23 janvier 2019 à 19:05:39
Ah oui je n'avais encore jamais vu un message "It does not represent my personal opinion nor that of Debian/Ubuntu."

Cela donne bien ça en Français ? "Cela ne représente pas mon opinion personnelle, ni celle de Debian/Ubuntu."
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: underground78 le 23 janvier 2019 à 19:08:25
Oui, c'est bien ça.
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 23 janvier 2019 à 20:05:13
J'ai relancé ma demande de https sur https://bugs.launchpad.net/ubuntu/+bug/1464064
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: STRAT38 le 23 janvier 2019 à 20:31:32
voir https://bugs.launchpad.net/launchpad/+bug/1255120
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: FloBaoti le 23 janvier 2019 à 21:55:53
Sur Debian j'utilise ces dépots https depuis quelques mois :
https://cdn-aws.deb.debian.org/debian/
https://cdn-aws.deb.debian.org/debian-security/
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 01 février 2019 à 15:09:02
Je pense que cela va bouger, vu les nombreuses interventions argumentées demandant le passage au https par défaut sur https://bugs.launchpad.net/ubuntu/+bug/1464064

Extraits traduits :

La dépendance d'Ubuntu uniquement aux signatures PGP pour la sécurité des paquets et des téléchargements .iso met la communauté en danger.

Ces dernières années, plusieurs vulnérabilités APT ont créé des vulnérabilités d'exécution de code à distance pour les systèmes Ubuntu. Il est irresponsable de ne laisser aux opérateurs de système aucune option pour se protéger contre ces vulnérabilités.

Chaque version de LTS depuis 10.04 a été affectée par au moins une vulnérabilité RCE dans APT qui aurait été atténuée par les miroirs HTTPS.

https://usn.ubuntu.com/3863-1/ CVE-2019-3462
https://usn.ubuntu.com/3156-1/ CVE-2016-1252
https://usn.ubuntu.com/2353-1/ CVE-2014-6273
https://usn.ubuntu.com/2348-1/ CVE-2014-0487, CVE-2014-0488, CVE-2014-0489, CVE-2014-0490
https://usn.ubuntu.com/2246-1/ CVE-2014-0478
https://usn.ubuntu.com/1762-1/ CVE-2013-1051

De telles vulnérabilités sont graves car elles rendent difficile, voire impossible, l’amorçage sécurisé d’un système Ubuntu à partir d’une image de CD de version officielle.

Il est particulièrement flagrant que security.ubuntu.com ne soit pas disponible sur TLS, car de nombreux systèmes continuent de faire référence à http://security.ubuntu.com même lorsqu'ils utilisent un miroir principal distinct prenant en charge le protocole HTTPS.

En plus d'empêcher l'exécution de code à distance, HTTPS améliorerait également la confidentialité.

Etant donné que les PPA Launchpad ne sont disponibles que sur un HTTP non sécurisé, toute personne utilisant un PPA qui leur est associé divulguera leur identité sur le réseau chaque fois que la mise à jour est exécutée, ce qui peut durer plusieurs fois par jour.

Il est particulièrement inexcusable que ppa.launchpad.net ne livre pas de paquets via HTTPS car, même s'il possède un certificat HTTPS valide, il répond par un message 404 Introuvable au lieu de renvoyer du contenu PPA. [1]

Il existe de nombreux domaines de la communauté Internet où le consensus est passé de HTTP par défaut à HTTPS sécurisé par défaut. La politique du gouvernement américain exige désormais le protocole HTTPS pour tous les sites Web et services Web fédéraux américains, sans distinction entre les cas d'utilisation de navigateur et de non-navigateur. [2] Le W3C recommande désormais à la plate-forme Web de préférer activement le protocole HTTPS. [3] L'IAB recommande que tous les nouveaux protocoles utilisent le cryptage pour des raisons de confidentialité. [4] Ces dernières années, Google Chrome a décidé de traiter HTTPS comme système par défaut, marquant explicitement les connexions HTTP en texte brut comme non sécurisées via une icône d'avertissement plutôt qu'une présentation neutre. [5] L’IETF a déclaré dans la RFC 7258 que la surveillance généralisée est une attaque que la communauté Internet devrait traiter par le biais d’un cryptage et d’autres moyens. [6]

Il est temps que Ubuntu fasse de même.
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 23 février 2019 à 20:54:28
Fait exceptionnel, ce bug APT va entraîner de nouvelles ISO pour Ubunut 16.04 alors qu'il n'était plus prévu d'en sortir.

Ubuntu 16.04 est sortie en avril 2016 mais il est maintenu gratuitement pendant 5 ans (8 ans en payant)

Pendant ses deux premières années de vie, des nouvelles ISO sont réalisée tous les 6 moins, intégrant tous les correctifs publiés + un nouveau noyau / nouveau serveur x, pour prendre en charge les PC de dernière génération.
Normalement la dernière iso disponible et la .5 (Ubunu 16.04.5)

Une version .6 (Ubuntu 16.04.6) sera disponible début le 28 février 2019, intégrant tous les correctifs publiés, dont le correctif sur APT, ce qui permettra a de nouveaux ordinateurs installés avec Ubuntu 16.04 de ne pas avoir la vulnérabilité.


Pour Ubuntu 18.04, la version Ubuntu 18.04.2 sortie le 14 février 2019 corrige  le bug (et apport le kernel 4.18, cf Linux 4.18 : gain de performance sur certains serveurs (https://lafibre.info/serveur-linux/linux-4-18/)

L'annonce traduite :
À la lumière de la vulnérabilité apt récemment découverte et corrigée, nous avons décidé de reconstruire toutes nos isos supportées qui pourraient être potentiellement affecté.
Nous n'avions pas prévu une autre libération d'Ubuntu 16.04 mais bon, que pouvez-vous faire? La sécurité est importante.

Nous avons préparé la première série d’images ISO xenial 16.04.6 prêtes pour l'étape "testing"
La sortie a été fixée au 28 février.
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 01 mars 2019 à 19:21:15
Ubuntu 16.04.6 est disponible.

C'est la dernier ISO pour la version 32bits d'Ubuntu ou Ubuntu server.

Si vous cherchez les fichiers .iso, il sont sur https://soft.lafibre.info/
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 10 octobre 2020 à 19:01:24
Je reviens sur ce sujet ancien.

Il a fallu batailler, cf ma première demande pour avoir du https :

Question posée à Canonical en marge d'un échange sur push mirroring : Is-it possible to reference on https://launchpad.net/ubuntu/+mirror/bouygues-telecom hosting Ubuntu mirror in http secure (https in addition of http and rsync)

Would it be possible to remove ftp, which is an obsolete protocol, and to add the possibility to the mirrors that wish to propose https in addition to http?

Note that Debian will no longer offer FTP from 1 November 2017: https://www.debian.org/News/2017/20170425.en.html the FTP protocol is inefficient and requires adding awkward kludges to firewalls and load-balancing daemons.

La  réponse : So, short answer, there's no reason you can't drop FTP, as far as I know it's not a requirement for even a country mirror.  In terms of adding HTTPS, there's quite a bit of complexity there and it's something we've been discussing but haven't reach a point where there's a good path going forward.  We'd have to manage the SSL certificate for you, for example, if you wanted to support HTTPS on the fr.archive.ubuntu.com virtual host, among other things.  It is something we're actively working on supporting and have a strong interest in doing, though I can't give you a timeline for it.

Traduction rapide de la réponse : Donc, pour répondre rapidement, il n'y a aucune raison pour laquelle vous ne pouvez pas abandonner le FTP, pour autant que je sache que ce n'est même pas une obligation pour un miroir de pays. Pour ce qui est de l'ajout du protocole HTTPS, cela entraîne beaucoup de complexité et c'est quelque chose dont nous avons discuté, mais qui n'est pas prêt. Nous devrons gérer le certificat SSL pour vous, par exemple, si vous souhaitez prendre en charge HTTPS sur l'hôte virtuel fr.archive.ubuntu.com, entre autres choses. C'est quelque chose que nous travaillons activement à soutenir et qui nous intéresse vivement, même si je ne peux pas vous donner un échéancier.

Celle de février 2020 était la bonne : https://bugs.launchpad.net/ubuntu/+bug/1464064/comments/34

HTTPS a été proposé sur l'interface d'enregistrement des miroirs en mars 2020 (mais au début, cela a provoqué des bugs, le miroir était supprimé quand on le rendait disponible en https)

Aujourd'hui FTP est toujours supporté, comme HTTP, mais il y a une hiérarchie :
- Si un serveur propose FTP, HTTP et HTTPS, seul HTTPS sera proposé dans l'interface pour sélectionner son miroir. HTTP et FTP ne sont plus proposés.
- Si un serveur propose FTP et HTTP, seul HTTP sera proposé dans l'interface pour sélectionner son miroir. FTP n'est plus proposé.

Le serveur que je gère, https://ubuntu.lafibre.info/ qui est également utilisé par défaut pour la France, mais en http (il n'y a pas d'utilisation du https par défaut).
(https://lafibre.info/testdebit/ubuntu/202010_miroir_ubuntu_https_1.png)
Il est hébergé par Bouygues Telecom et disponible en IPv4 et IPv6.
Des statistiques sont disponibles sur son utilisation, mises à jour toutes les 5 minutes : https://ubuntu.lafibre.info/stats/stats_server.html




J'ai essayé de contacter tous ceux qui maintenant un miroir Ubuntu en France et j'ai réussi à en faire passer certains en https.

Le serveur Université de Picardie : https://ftp.u-picardie.fr/ (disponible en IPv4 et IPv6)
(https://lafibre.info/testdebit/ubuntu/202010_miroir_ubuntu_https_2.png)

Le serveur Ikoula : https://mirror.ubuntu.ikoula.com/ (disponible en IPv4 et IPv6)
(https://lafibre.info/testdebit/ubuntu/202010_miroir_ubuntu_https_3.png)

La liste de différents serveurs miroirs Français et la bande passante associée :
(https://lafibre.info/testdebit/ubuntu/202010_miroir_ubuntu_https_4.png)


A noter que de plus en plus de PC sont proposés avec Ubuntu pré-chargé.

Chez Lenovo, voici les modèles concernés :
- ThinkPad T14 (Intel et AMD)
- ThinkPad T14s (Intel et AMD)
- ThinkPad T15p
- ThinkPad T15
- ThinkPad X13 (Intel et AMD)
- ThinkPad X13 Yoga
- ThinkPad X1 Extreme Gen 3
- ThinkPad X1 Carbon Gen 8
- ThinkPad X1 Yoga Gen 5
- ThinkPad L14
- ThinkPad L15
- ThinkPad P15s
- ThinkPad P15v
- ThinkPad P15
- ThinkPad P17
- ThinkPad P14s
- ThinkPad P1 Gen 3
- ThinkStation P340
- ThinkStation P340 Tiny
- ThinkStation P520c
- ThinkStation P520
- ThinkStation P720
- ThinkStation P920
- ThinkStation P620
(https://lafibre.info/testdebit/ubuntu/202010_lenovo_p920_thinkstatione_ubuntu.jpg)
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: joel19 le 11 octobre 2020 à 10:14:07


A noter que de plus en plus de PC sont proposés avec Ubuntu pré-chargé.

Chez Lenovo, voici les modèles concernés :
- ThinkPad T14 (Intel et AMD)
- ThinkPad T14s (Intel et AMD)
- ThinkPad T15p
- ThinkPad T15
- ThinkPad X13 (Intel et AMD)
- ThinkPad X13 Yoga
- ThinkPad X1 Extreme Gen 3
- ThinkPad X1 Carbon Gen 8
- ThinkPad X1 Yoga Gen 5
- ThinkPad L14
- ThinkPad L15
- ThinkPad P15s
- ThinkPad P15v
- ThinkPad P15
- ThinkPad P17
- ThinkPad P14s
- ThinkPad P1 Gen 3
- ThinkStation P340
- ThinkStation P340 Tiny
- ThinkStation P520c
- ThinkStation P520
- ThinkStation P720
- ThinkStation P920
- ThinkStation P620


Je suis aller voir chez Lenovo, 4 au hasard, c'est du Windows 10 famille ou pro, aucun Linux n'est proposé même en config.

Système d'exploitation Lenovo recommande Windows 10 Professionnel pour les entreprises


https://www.lenovo.com/fr/fr/laptops/thinkpad/x-series/ThinkPad-X13-Yoga/p/22TPX13X3Y1 (https://www.lenovo.com/fr/fr/laptops/thinkpad/x-series/ThinkPad-X13-Yoga/p/22TPX13X3Y1)

https://www.lenovo.com/fr/fr/laptops/thinkpad/t-series/ThinkPad-T14s-AMD-G1/p/22TPT144SA2 (https://www.lenovo.com/fr/fr/laptops/thinkpad/t-series/ThinkPad-T14s-AMD-G1/p/22TPT144SA2)

https://www.lenovo.com/fr/fr/laptops/thinkpad/t-series/ThinkPad-T14-G1/p/22TPT14T4N1 (https://www.lenovo.com/fr/fr/laptops/thinkpad/t-series/ThinkPad-T14-G1/p/22TPT14T4N1)

https://www.lenovo.com/fr/fr/laptops/thinkpad/thinkpad-x1/X1-Yoga-Gen-5/p/20UBCTO1WWFRFR1/customize? (https://www.lenovo.com/fr/fr/laptops/thinkpad/thinkpad-x1/X1-Yoga-Gen-5/p/20UBCTO1WWFRFR1/customize?)
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: vivien le 11 octobre 2020 à 10:47:15
C'est l'annonce, cela sera proposé d'ici la fin de l'année.
Titre: Tutoriel pour mettre les dépôts logiciels d'Ubuntu en https
Posté par: joel19 le 11 octobre 2020 à 15:56:10
C'est l'annonce, cela sera proposé d'ici la fin de l'année.

Dans ce cas, on le précise.