mir ist folgendes Paket aufgefallen:
https://security-tracker.debian.org/tra ... -2018-6535
Code: Alles auswählen
stretch, 2.6.0-2, vulnerable
buster, sid, 2.9.1-1, fixed
Wie geht ihr mit solchen Paketen um?
Verständnis Debian Paketsystem Sicherheitslücken
Verständnis Debian Paketsystem Sicherheitslücken
Hallo,
mir ist folgendes Paket aufgefallen:
https://security-tracker.debian.org/tra ... -2018-6535
Kommt sowas häufiger bei Debian vor, dass Sicherheitslücken in stretch nicht behoben werden?
Wie geht ihr mit solchen Paketen um?
mir ist folgendes Paket aufgefallen:
https://security-tracker.debian.org/tra ... -2018-6535
Wie geht ihr mit solchen Paketen um?
-
whisper
- Beiträge: 3383
- Registriert: 23.09.2002 14:32:21
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Verständnis Debian Paketsystem Sicherheitslücken
Für Stretch und Jessie sind sie als Minor klassifiziert.
Scheint auch sinnvoll, da incinga (Nagios) in Produktiv Umgebungen sicherlich gar nicht für das Internet erreichbar sind, sondern nur innerhalb der eigenen lokalen, DMZ, Intranet oder wie es nun in der Firma gehandhabt wird. Also ist remote sowieso unmöglich.
Das No-DSA bedeutet wohl, aufgrund von zu wenig Man-Power wird man es dort nicht mehr fixen.
Scheint auch sinnvoll, da incinga (Nagios) in Produktiv Umgebungen sicherlich gar nicht für das Internet erreichbar sind, sondern nur innerhalb der eigenen lokalen, DMZ, Intranet oder wie es nun in der Firma gehandhabt wird. Also ist remote sowieso unmöglich.
Das No-DSA bedeutet wohl, aufgrund von zu wenig Man-Power wird man es dort nicht mehr fixen.
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 
Re: Verständnis Debian Paketsystem Sicherheitslücken
Auf diese Frage strikt geantwortet: Nein.user18 hat geschrieben:27.08.2018 13:45:56Kommt sowas häufiger bei Debian vor, dass Sicherheitslücken in stretch nicht behoben werden?
Aber Du wolltest wohl auch eigentlich folgende Frage stellen. Kommt es bei Debian (öfters) vor, dass Sicherheitsupdates zunächst in Testing und erst später im Stable Release gefixt werden? Die Antwort hier ist dann sehr wohl Ja.
Dies hängt einfach damit zusammen, dass Fixes eigentlich immer erst in den aktuellen Upstream Entwicklungsversionen getätigt werden. Aus diesen Fixes werden dann auch die nötigen Patches für schon veröffentlichte Versionen erstellt. Und dadurch lässt sich gut erkennen ob mit den Änderungen nicht auch ungewollte Regressionen eingeführt werden.
In der Regel kümmert sich der Paketmaintainer mit um die nötigen Vorbereitungen für ein Security behaftetes Update im Stable Release, das ist auch der überwiegende Anteil. Es ist aber auch möglich, dass das Security Team komplett selbständig arbeitet, aber eigentlich nie ohne den Maintainer zumindest zu bitten die Fixes einzuarbeiten der sein Paket eigentlich auch am besten kennt.
Re: Verständnis Debian Paketsystem Sicherheitslücken
Wenn du dir den Patch ansiehst wurde das gelöst indem das Konfigurationsdateiformat geändert wurde. Wird eine alte config vorgefunden wird on the fly konvertiert.
Das ist nichts ganz kleines, was ein Debian Maintainer mal kurz fixen kann. Icinga selbst hat das lediglich in den Versionen 2.9.X und 2.8.X gefixt. In Stretch ist aber die Version 2.6.X
Im allgemeinen ein großes Problem mit neuer Software: Die geben keine Supportzeiträume mehr an. Ob die irgend welche ältere Versionen noch warten ist irgendwie eher Glückssache. Aber die neueren sind inkompatibel.
Das ist nichts ganz kleines, was ein Debian Maintainer mal kurz fixen kann. Icinga selbst hat das lediglich in den Versionen 2.9.X und 2.8.X gefixt. In Stretch ist aber die Version 2.6.X
Im allgemeinen ein großes Problem mit neuer Software: Die geben keine Supportzeiträume mehr an. Ob die irgend welche ältere Versionen noch warten ist irgendwie eher Glückssache. Aber die neueren sind inkompatibel.
rot: Moderator wanne spricht, default: User wanne spricht.