[Debian Jessie] paquet Xscreensaver corrigé et disponible
Voilà, Xscreensaver a été corrigé et le nouveau paquet bien propret est maintenant disponible depuis ce matin
Après discussions et test dans la version «Unstable» de Debian (= Sid), le paquet de Xscreensaver, dûment débarrassé de son message d’alerte grossier et inutile, est disponible.
Pour en profiter, vérifiez tout de même que vous avez bien les lignes suivantes dans votre sources.list
:
# jessie-updates, previously known as 'volatile' deb http://http.debian.net/debian/ jessie-updates main
Ensuite, faites votre mise à jour, comme d’habitude : Pense-bête pour la mise à jour de Debian et dérivées.
Il ne s’agit donc pas d’une nouvelle version de Xscreensaver mais simplement d’une version corrigée par Debian.
Voici ce que vous verrez (entre autres) dans le terminal :
The following packages will be upgraded: xscreensaver xscreensaver-data 2 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 860 kB of archives. After unpacking 330 kB will be used. Do you want to continue? [Y/n/?] Get: 1 http://http.debian.net/debian/ jessie-updates/main xscreensaver-data amd64 5.30-1+deb8u2 [300 kB] Get: 2 http://http.debian.net/debian/ jessie-updates/main xscreensaver amd64 5.30-1+deb8u2 [561 kB]
Et si vous avez installé la version corrigée non officielle ?
Si, comme moi, vous avez déjà installé les paquets DEB non officiels, manuellement, pour anticiper la mise à jour, comme je l’ai indiqué dans [Debian Jessie] Xscreensaver : Supprimer l’alerte inutile, la mise à jour du système par APT vous fournira également l’installation des paquets officiels, xscreensaver_5.30-1+deb8u2
et un ou plusieurs autres paquets (xscreensaver-data, xscreensaver-data-extra, etc.), selon ce qui est déjà installé chez vous.
Il est donc inutile de supprimer les paquets non officiels si vous les avez installés. Regardez le terminal vers la fin de la mise à jour (ce sera sans doute en français chez vous) :
Preparing to unpack .../xscreensaver-data_5.30-1+deb8u2_amd64.deb ... Unpacking xscreensaver-data (5.30-1+deb8u2) over (5.30-1+deb8u1+kb1) ... Preparing to unpack .../xscreensaver_5.30-1+deb8u2_amd64.deb ... Unpacking xscreensaver (5.30-1+deb8u2) over (5.30-1+deb8u1+kb1) ...
La dernière ligne ci-dessus vous montre qu’APT est en train d’installer le paquet xscreensaver-data_5.30-1+deb8u2_amd64.deb
pour remplacer le programme dans sa version 5.30-1+deb8u1+kb1
, actuellement présente sur votre Debian.
Pourquoi tant de temps pour une petite correction ?
Quand les failles de sécurité Heartbleed ou Bash ont été découvertes, elles ont été très rapidement corrigées.
En revanche, il a fallu patienter presque 20 jours pour avoir une correction officielle de ce bug minuscule, tout bête à corriger et sans incidence sur la sécurité de nos ordinateurs, mais bien visible et très importun. Pourquoi donc ?
Comme l’explique Tormold dans son message, (qui s’occupe du paquet Xscreensaver pour Debian), Debian suit un protocole rigoureux :
Quand il ne s’agit pas d’une mise à jour de sécurité, la correction du bug doit d’abord être testée dans Sid (Debian Unstable), avant d’être acceptée dans Debian Stable, même si le bug n’affecte pas la version présente dans Sid. Pour en savoir plus : debian.org/releases/proposed-updates.
En revanche, Ubuntu n’a pas une démarche aussi rigoureuse et un paquet officiel corrigé a été mis à disposition très rapidement.
Il reste à voir si cet épisode décidera la communauté de Debian à modifier Xscreensaver et son nom lui-même pour ne plus avoir à subir l’ire de son auteur. Chacun peut donner son avis sans avoir besoin de faire partie des développeurs de Debian.