Chapitre 5. Installation de correctif

5.1. Mécanismes de correction

Les correctifs de bogues et de sécurité JBoss sont disponibles sous deux formes.
  • Mises à jour planifiées: faisant partie d'une mise à jour micro, mineure, ou majeure d'un produit existant.
  • Mises à jour non synchronisées: correctif exceptionnel délivré en dehors du cycle de mise à jour normal d'un produit existant.
La décision de savoir si un patch doit sortir dans le cadre d'une mise à jour planifiée ou un s'il doit s'agir d'un One-Off hors cycle dépend de la sévérité de la faille. Les défauts de faible impact sont généralement reportés, et sont résolus dans la prochaine version mineure des produits concernés. Les défauts d'impact modéré ou supérieur sont généralement traités par ordre d'importance sous forme de mise à jour de produit lors d'une sortie asynchrone et contiennent seulement une résolution du problème particulier.
La sévérité d'un défaut de sécurité est basée sur l'évaluation du bogue par l'équipe Security Response Team de Red hat, en combinaison à un certain nombre de facteurs consistants :
  • Est-ce que le défaut peut être exploité facilement ?
  • Quel sorte de dégât peut avoir lieu en cas d'exploitation du défaut ?
  • Y a t-il d'autres facteurs typiques impliqués qui pourraient diminuer la force de l'impact du défaut (comme les pare-feux, Security-Enhanced Linux, des directives de compilateurs, etc)?
Red Hat maintient une liste de distribution pour notifier les abonnés à propos des défauts liés à la sécurité. Voir Section 5.2, « Abonnez-vous aux Listes de diffusion de correctifs (Patch Mailing Lists) »
Pour obtenir plus d'informations sur la façon dont Red Hat évalue les défauts de JBoss Security, veuillez cliquer sur le lien suivant : http://securityblog.redhat.com/2012/09/19/how-red-hat-rates-jboss-security-flaws/
Report a bug