On voyait déjà poindre le spectre du bug OpenSSL dans les discussions. Pourquoi diable ce patch pour le remote exec n'avait-il pas été backporté chez Debian qui utilise Exim 4.69 en stable, et RedHat qui propose Exim 4.43 ? La raison en est assez simple : le problème n'avait pas été identifié comme une faille de sécurité. C'est évidemment chose faite à présent chez l'un comme chez l'autre.

En ce qui concerne la deuxième faille, la nouveauté en quelque sorte, à savoir le local root, on semble vouloir prendre son temps chez Debian, pour identifier les implications du correctif proposé nous explique-t-on.

Alors oui, ça fait cogiter. Mais ce n'est pas sans rappeler la polémique autour des correctifs noyau. Certains d'entre elles n'étant pas qualifiées de mises à jour de sécurité bien qu'ayant des impacts de sécurité que d'aucuns jugent évidents. Exploits à l'appui[1]. Or il est clair que dans un mode de maintenance essentiellement axé sur le backport des correctifs de sécurité sur des versions anciennes mais stables, si les développeurs n'indiquent pas qu'une mise à jour corrige une faille de sécurité, elle a de bonnes chances de ne pas être appliquée. Et c'est typiquement ce qui vient de se passer...

Dans le cas présent, il n'y a pas vraiment de pierre à jeter d'un côté ou de l'autre, mais cela devrait faire réfléchir quelques-uns sur les implications de leurs positions en ce qui concerne les mises à jour de sécurité. Car ici, des gens se sont fait compromettre, via une faille passée sous le radar ayant trouvé son complément idéal, sur un logiciel carrément répandu. Vague qui n'a pas manqué de s'accélérer dès la sortie des premiers exploits publics, mais avec moins de succès... Heureusement...

Notes

[1] Mention spéciale pour le CVE combo posté récemment, même s'il n'illustre pas vraiment le propos...