Sicherheitspatches für Programme - Wie läuft das?

[hg1978]

Hi, ich verstehe noch nicht so ganz wie das mit den Sicherheitsaktualisierungen bei Programmen geht. In der Erklärung des Sicherheitsteams steht:

das Umsteigen auf eine neue Upstream-Version keine gute Lösung ist und stattdessen die relevanten Änderungen zurückportiert werden sollten.

Wie geht das? Beispiel: Aktuelles Programm "X" hat Version 0815 - aber Debian hat Version 0813 im Stable. Jetzt kommt eine kritische Lücke, die in Version 0815a durch den Entwickler ausgebessert wird.

-> Wie kommt der Sicherheitspatch nun in die Version 0813 im Debian Stable?

Grüße & Danke

Georg

[eggy]

Jemand schaut sich den Code an und schaut, was relevant ist und was nicht.
Im Idealfall ist alles sauber commited, d.h. man hat ein Changelog, in dem genau drin steht, was jede geänderte Codezeile bzw. eine kleine, noch übersichtliche, Menge von Codezeilen tut.
Dann kann der Maintainer hingehen und sich einen Patch bauen, der nur die notwendigen Änderungen enthält, die die sicherheitsrelevant sind. Neue Features hingegen sind nicht enthalten.

Manchmal ist das Patcherstellen sehr einfach. Zum Beispiel wenn es "nur" ein falscher Offset in einer Funktion war, oder wenn eine Datei im falschen Modus geöffnet wurde. Die Auswirkungen des Patches also rein lokal sind, man im besten Fall wirklich nur "eine" Zeile anfassen muss. Und die Änderungen sich nicht mit neuen Features vermischen. Sehr viel schwieriger wird es, wenn nicht klar ist, wo die Reparatur anfängt und wo neue Sachen dazugekommen sind. Das also im schlimmsten Fall so verzahnt ist, dass man es kaum auseinander bekommt. Dann kostet es Zeit und setzt auch gutes Verständnis für die verwendete Programmiersprache, den Code und weiteres voraus. Das sind dann die Fälle, wo ein guter Draht zu "upstream" besonders viel Wert ist. Die Fehlermeldung selbst (CVE/DSA), "git log" und "git diff" sind aber oftmals ein guter Startpunkt und dann geht die Detektivarbeit los.

Erstmal rausfinden, was ist das Problem genau ist. Da helfen Fehlerbeschreibung und manchmal auch evtl vorhandener Exploitcode. Und dann die relevanten Stellen im Code finden, den Patch zusammenstellen, Debianchangelog anpassen, Probebauen, Testen, schauen, ob die Exploits noch funktionieren, schauen, ob was anderes dadurch kaputtgegangen ist, Ankündigung schreiben und letztendlich Upload des neuen Pakets.

Reicht das zur Erklärung? Sonst könnt man mal nach nen Paket suchen, bei dem das einigermaßen gut nachvollziehbar ist.

[hg1978]

Hi, im Grund verstanden - aber WER macht das dann? Heisst das, bei Debian zb gibt es einen Paketverantwortlichen für zb Firefox der dann im Quellcode vom ESR die Änderung vornimmt?

[eggy]

"apt-cache show paketname", bei Firefox steht da z.B. "Maintainer: Maintainers of Mozilla-related packages" sowie deren Emailadresse. Das sind die Leute, die sich um das entsprechende Paket kümmern. Manchmal ein einziger Mensch, manchmal ein Team von Leuten. Und außerdem gibts noch das Securityteam, die kümmern sich immer dann, wenn's grade brennt und der Maintainer nicht erreichbar ist, es nicht selbst machen kann oder will oder spezielle Hilfe braucht oder oder oder.

[eggy]

Wenn es Dich weiter im Detail interessiert: der "New Maintainers Guide" ist die Anleitung für Leute, die irgendwann mal Paketbetreuer werden wollen - oder einfach nur wissen wollen, wie das so grundsätzlich funktioniert.
https://www.debian.org/doc/manuals/main ... rt.de.html

[hikaru]

Hi, im Grund verstanden - aber WER macht das dann? Heisst das, bei Debian zb gibt es einen Paketverantwortlichen für zb Firefox der dann im Quellcode vom ESR die Änderung vornimmt?

Gerade zu Firefox muss gesagt werden, dass hier die Debian-Philosophie, innerhalb eines Releases nicht die Upstream-Version eines Programms zu verändern, nicht angewandt wird, denn die Änderungen in Firefox sind zu umfangreich um nur die Sicherheitsaktualisierungen zurückzuportieren.
Daher liefert Debian Stable die jeweils älteste noch von Mozilla unterstützte ESR-Version aus. Das war nicht immer so und es hat seinerzeit zu teils hitzigen Diskussionen geführt, bis Debian die aktuelle Praxis eingeführt hat.

[hg1978]

Vielen Dank, jetzt habe ich es verstanden. Zu jedem Paket gibt es in der Debian Community einen oder mehrere Programmverantwortliche.

[Sidespin]

Das Thema ist zwar schon älter, aber ich wollte generell wegen dieses Themas nur mal die Einschätzung von erfahrenen Nutzern erfahren.
Ich nutze Debian Stable am Desktop seit meinem Umstieg von Windows (etwa vor 2, 5 Jahren). Die Gründe dafür ist die sehr große Stabilität
und Zuverlässigkeit, aber auch die überall gelobte Sicherheit wegen derer Sicherheitspatches. Da konnte ich dann auch mit älteren Softwareständen
verschiedener Programme leben. Ich bin hier kein Profi, ich würde mich als interessierten Nutzer im gesetzten Alter bezeichnen.
Aber in letzter Zeit komme ich doch etwas ins Grübeln, da man immer öfter lesen kann, dass bei Debian Sicherheitspatches deutlich länger dauern
als bei anderen Distributionen. Aktuell das Beispiel Samba. https://tracker.debian.org/pkg/samba Hier sind bekannte Lücken vorhanden, die bei anderen
Distris schon gefixt sind, u.a. Ubuntu. Auch war ja Ende letzten Jahres das Thema Firefox und Thunderbird und noch andere.
Wie seht Ihr das als erfahrene, langjährige Nutzer? War das früher auch schon so? Muss man sich da, was Sicherheit angeht, Gedanken machen?
Oder würdet Ihr das als "halb so wild" einschätzen? Dass so etwas immer auch Zeit braucht, ist mir klar, aber warum sind andere da schneller?