Apache2 auf Debian Sarge

Dade · Beitrag von **Dade** » 10.04.2006 12:26:23

Hallo,

ich bin neu auf Debian, habe aber schon etwas Linux Erfahrung. Nun möchte ich gerne APT als Paketmanager verwenden, vor allem wegen Security updates.

folgendes Problem habe ich: ich möchte gerne die aktuelle Apache-mpm-worker 2.0.55 Version installieren, APT bietet mir unter stable aber leider nur 2.0.54-5 an.

Jetzt meine Grundsatzfrage:

1. ist die Apache Version 2.0.54-5 gleichwertig mit der aktuellen offiziellen Apache 2.0.55 Version?

2. wenn ich an der Debian Paketversion nicht sehen kann, ob meine Software die neuesten Patche beinhaltet, wo kann ich das dann sehen und mit der offiziellen Version vergleichen?

3. oder ist es sogar ratsam, dass ich solche kritischen Pakete aus dem unstable oder testing Zweig nehme?

Gruß,
Tom

mistersixt · Beitrag von **mistersixt** » 10.04.2006 13:16:07

Die Leute vom Security-Team bei Debian arbeiten Patches in bestehende Versionen ein. Also solltest Du lieber nicht die Pakete aus Testing oder Unstable nehmen, sondern diesen Eintrag in die /etc/apt/sources.list haben:

Code: Alles auswählen

deb http://security.debian.org/ sarge/updates main contrib non-free

Ganz selten kommt es auch vor, dass quasi ganz neue Versionen ins Stable einfliessen, weil sich der Code mittlerweile so stark geändert hat, dass sich ein Patch nicht mehr einbauen lässt. Das war beispielsweise mal bei Firefox der Fall, wo man Sicherheitspatches nicht mehr in die Version 1.0.2 bekommen hatte und man daher direkt auf 1.0.7 wechselte.

Generell siehst Du hier Informationen über Security-Updates, den Inhalt der Updates und den Source-Code dazu hier:

http://www.debian.org/security/

Gruss, mistersixt.

PS: Willkommen im Debian Forum

!

Dade · Beitrag von **Dade** » 10.04.2006 14:16:08

mistersixt hat geschrieben:Die Leute vom Security-Team bei Debian arbeiten Patches in bestehende Versionen ein. Also solltest Du lieber nicht die Pakete aus Testing oder Unstable nehmen, sondern diesen Eintrag in die /etc/apt/sources.list haben:
Code: Alles auswählen
deb http://security.debian.org/ sarge/updates main contrib non-free

Ok, also wenn ich nun Apache2-mpm-worker als Paket nehme, dann bekomme ich wenn ich APT-GET update durchgeführt habe das aktuellste stable Paket 2.0.54-5, wobei die 5 am Ende deshalb sicherlich die interne Debianversionsnummer ist, in welcher die Securityfixes der offiziellen 2.0.55 eingeflossen sind.

mistersixt hat geschrieben:Ganz selten kommt es auch vor, dass quasi ganz neue Versionen ins Stable einfliessen, weil sich der Code mittlerweile so stark geändert hat, dass sich ein Patch nicht mehr einbauen lässt. Das war beispielsweise mal bei Firefox der Fall, wo man Sicherheitspatches nicht mehr in die Version 1.0.2 bekommen hatte und man daher direkt auf 1.0.7 wechselte.

Ok, das habe ich verstanden. Werden dann in einem solchen Fall die veralteten Pakete Firefox 1.0.2 gegen 1.0.7 ausgewechselt und so automatisch beim nächsten APT-GET update upgegradet?

mistersixt hat geschrieben:Generell siehst Du hier Informationen über Security-Updates, den Inhalt der Updates und den Source-Code dazu hier:

http://www.debian.org/security/

hier bin ich schon gewesen, als Neuling war ich mit den vielen Announcements etwas überfordert, ist wohl kein Wunder, da hier ja die komplette Softwarepalette inklusive OS gehandelt wird. Schön wäre, wenn ich irgendwo sehen könnte, welche Sarge stable Version eines Paketes gerade das aktuellste ist... aber wenn ich mit APT-GET update die aktuellsten Fixes bekomme bin ich schon beruhigt. Ich habe einmal auf heise.de gelesen, dass es hier schon zu Problemen mit den Security Updates für Debian gekommen ist und mehrere Wochen lang keine neuen Updates zur Verfügung standen.

mistersixt hat geschrieben: Gruss, mistersixt.

PS: Willkommen im Debian Forum !

vielen Dank

ich glaube hier fühle ich mich wohl, das Forum ist schön aufgeräumt und per Browser zugänglich, so wie ich es schon von z.B. Typo3 kenne.

vielen Dank für die schnelle Antwort,
gruss,
Tom

mistersixt · Beitrag von **mistersixt** » 10.04.2006 16:24:34

Dade hat geschrieben: Ok, also wenn ich nun Apache2-mpm-worker als Paket nehme, dann bekomme ich wenn ich APT-GET update durchgeführt habe das aktuellste stable Paket 2.0.54-5, wobei die 5 am Ende deshalb sicherlich die interne Debianversionsnummer ist, in welcher die Securityfixes der offiziellen 2.0.55 eingeflossen sind.

So ist es.

Dade hat geschrieben: Ok, das habe ich verstanden. Werden dann in einem solchen Fall die veralteten Pakete Firefox 1.0.2 gegen 1.0.7 ausgewechselt und so automatisch beim nächsten APT-GET update upgegradet?

So ist es. Wobei es beim Firefox etwas verwirrend mit der Paket-Versionsnummer war, das Paket hiess dann sowas wie mozilla-firefox-1.0.2_sarge_1.0.7.deb, das war zugegebenermassen etwas verwirrend.

Dade hat geschrieben: Ich habe einmal auf heise.de gelesen, dass es hier schon zu Problemen mit den Security Updates für Debian gekommen ist und mehrere Wochen lang keine neuen Updates zur Verfügung standen.

Ja, da gab es mal einen Bottleneck, weil es eine Zeit lang nur 3 offizielle Security-Release-Manager gab, 2 davon nicht mehr wirklich geholfen hatten und dann der arme Michael Schulze alles alleine machen musste. Als er dann eine Woche lang auf dem LinuxTag in Karlsruhe war und insgesamt 2 Wochen nicht zur Verfügung stand, gab es Verzögerungen bei den Updates. Aber mittlerweile gibt es mehr als 3 Security-Release-Manager (soweit ich das mitbekommen habe) und seitdem habe ich von diesen Problemen nichts mehr gehört bzw. nichts mehr mitbekommen.

Gruss, mistersixt.