La page Ubuntu CVE Tracker contient plusieurs tables liées aux paquets du noyau, dont certaines indiquent DNE, d'autres pending
et la version à côté de chacune. Je voudrais savoir comment lire correctement chaque tableau. La version à côté de pending
fait-elle référence à la version du noyau pour laquelle le correctif est publié?
Contexte de la question : Je réponds principalement aux questions sur le site Ask Ubuntu. Dernièrement, un nouvel utilisateur sur le site a été convaincu que j'avais mal interprété le rapport CVE mentionné ci-dessus, au point de modifier ma réponse originale de manière très intrusive.
Pour être parfaitement franc, la page CVE est en effet déroutante pour une personne qui ne lit pas régulièrement les rapports CVE. Il serait donc agréable de savoir comment lire correctement ces rapports pour l'avenir et d'avoir une opinion tierce.
La version à côté de en attente fait-elle référence à la version du noyau pour laquelle le correctif est publié?
Oui - plus précisément, la version à côté de "en attente" fait référence à la version du package dans la lignée dans laquelle le correctif est inclus.
Il existe de nombreux emballages binaires des sources du noyau en amont pour différentes plates-formes matérielles et autres cas d'utilisation - "linux", "linux-mako", "linux-snapdragon", etc. - et il existe également de nombreuses lignées de versions - Ubuntu 12.04 LTS/14.04/etc- de tous ces paquets qui sont maintenus simultanément.
Il peut donc être nécessaire de corriger le bogue en amont dans plusieurs emballages des mêmes sources sur plusieurs lignées. En raison de la complexité, un processus de triage est utilisé pour effectuer les classifications pertinentes et suivre les travaux. Cette page rend compte de l'état de ce processus de triage pour ce bogue particulier.
Cela peut être retracé comme suit:
choisissez l'un des packages - "linux" - et l'une des lignées - "Ubuntu 12.04 LTS".
Le tableau indique que l'état du correctif pour ce package dans cette lignée est "en attente". La version du package qui contiendra le correctif dans cette lignée est "3.2.0-109.150".
pour confirmer, suivez le lien de lignée pour le package - https://launchpad.net/ubuntu/precise/+source/linux
faites défiler jusqu'à la section "Versions dans Ubuntu" de la page du paquetage de lignage et trouvez la version de correctif spécifique, qui a sa propre page: https://launchpad.net/ubuntu/+source/linux/3.2 .0-109.15
sur cette page est un journal des modifications. Dans ce journal des modifications, il est fait référence au CVE (CVE-2016-5696), au correctif particulier qui a été apporté et à la personne qui l'a créé.
La page CVE est source de confusion car elle est automatiquement publiée à partir d'un modèle de données complexe qui suit les interrelations entre les sources en amont et leurs emballages au sein et entre les lignées. Il suit un modèle optimisé pour l'autorité, pas nécessairement pour la lisibilité.
Les classifications, comme "DNE" ou "en attente" font référence au workflow de triage et de publication qu'Ubuntu suit. Les états sur cette page sont: