Rootrechte durch Kernelbug, Debian betroffen ?

[Blackbox]

Hallo Community !

Meine Anfrage bezieht sich auf folgende Meldung, nun sind ja laut der Meldung, alle Kernel bis 2.6.32.19 von dieser Sicherheitslücke betroffen, aber in Debian Testing ist der 2.6.32-3 installiert.

Ist Debian damit nun von dieser Sicherheitslücke betroffen, oder nicht.

Ein Kernelupdate gab es seit 18.8.2010 noch nicht.

[uname]

Ob Debian Testing betroffen ist kann ich nicht sagen. Wäre wohl nicht die einzige Sicherheitslücke Wer ein sicheres System nutzen möchte sollte Debian Stable einsetzen.

Vielleicht gibt es hier eine Antwort: http://secure-testing-master.debian.net

[Six]

Anzunehmen, oder?

[Blackbox]

Okay, da diese Sicherheitslücke in den Kerneln über 2.6.32.19 gefixt ist, wie bekomme ich einen neueren Kernel (z.B. 2.6.34), ohne diesen selber backen zu müssen ?
Ich habe noch eine grundsätzliche Frage zur Kernelupdatepolitik von Debian Testing, gibt es hier irgendwelche Regeln, wann ein neuerer Kernel eingepflegt wird ?

In den Debian-Testing-Sicherheitsmeldungen taucht dieser Kernelbug übrigens noch nicht auf ?!
Kann man daraus etwas ableiten ?

EDIT:

Ich wollte noch einmal darauf hinweisen, dass dies kein Testing-spezifisches Problem ist, denn alle Kernel vor 2.6.32.19 sind von diesem Fehler betroffen !
Welcher Kernel läuft eigentlich gerade in Unstable ?

[Danielx]

http://security-tracker.debian.org/trac ... -2010-2240

In den Debian-Testing-Sicherheitsmeldungen taucht dieser Kernelbug übrigens noch nicht auf ?!

CVE-2010-2240 ist dort gelistet.

Gruß,
Daniel

[Blackbox]

http://security-tracker.debian.org/trac ... -2010-2240

CVE-2010-2240 ist dort gelistet.

Ich sehe gerade, dass in experimental der Kernel 2.6.35-1~experimental.2 abgelegt ist, wie bekomme ich diesen den, bzw. welche Paketquellen muss ich in meiner sources.list einbinden, um diesen Kernel installieren zu können ?

Muss ich bei diesem Kernel mit Problemen rechnen ?
Experimental, deutet ja eigentlich darauf hin, wenn ja, mit welchen Problemen muss gerechnet werden ?
Gibt es schon Erfahrungen mit diesem Kernel ?
Hat jemand von euch diesen mit samt des Fixes schon installiert ?
Ist ein Experimental-Kernel überhaupt für Debian Testing vorgesehen, oder sollten derlei Kernel nur auf Unstable-Systemen zum Einsatz kommen ?

Janz viele Fragen, aber mit dem Kernel habe ich mich noch nicht wirklich auseinander gesetzt...

[pluvo]

viewtopic.php?f=37&t=122620

[Blackbox]

Hallo Pulvo !

Das in stable schon ein Fix existiert habe ich schon gelesen, meine Frage ist jetzt, ob und wann Testing einen Patch erhält ?

Danke für die Antwort !

[pluvo]

Hi Balckbox!

Das in stable schon ein Fix existiert habe ich schon gelesen, meine Frage ist jetzt, ob und wann Testing einen Patch erhält ?

Weiß ich nicht. Wollte eigentlich auch nur darauf hinweisen, dass wir das Thema schon hatten

[xdanx]

noch nichtmal unstable hat eine gepatchte Version. Vgl. hier: http://packages.qa.debian.org/l/linux-2.6.html

ich vermute aber dass, sobald in unstable ein neues Paket hochgeladen wurde, die Migrationszeit von 10 auf 2 Tage verkürzt wird.

[Danielx]

Die Pakete für 2.6.32-21 werden gerade gebaut:
https://buildd.debian.org/pkg.cgi?pkg=linux-2.6

Und werden spätestens morgen in Sid ankommen, dort wird der Fehler behoben sein.

ich vermute aber dass, sobald in unstable ein neues Paket hochgeladen wurde, die Migrationszeit von 10 auf 2 Tage verkürzt wird.

Ja, urgency=high.

Gruß,
Daniel

[Blackbox]

Kann es sein, dass Ubuntu in Sachen Kernelaktuallisierung einen Tick schneller ist ?
Ich möchte jetzt keinen Debian vs. Ubuntu Flame losbrechen !
Aber irgendwie habe ich den Eindruck das Ubuntu immer die frischeren Kernel hat und diese wie inm aktuellen Fall, schneller veröffentlicht werden, liegt dies nur daran das hinter Ubuntu eine finanzkräftige Firma steckt, oder gibt es hier noch andere Kriterien ?

Für mich ist ohne Frage, natürlich Debian das BESSERE Betriebssystem, auch mein Kurzausflug zu Fedora, läßt mich Debian jetzt noch mehr schätzen !

OT
Seit dem ich jetzt auch im Debian ebenfalls ein mini.iso entdeckt habe, welche alle 3 Zweige (Stable, Testing und Unstable) während der Installation abfragt, bin ich total glücklich !

[Danielx]

Kann es sein, dass Ubuntu in Sachen Kernelaktuallisierung einen Tick schneller ist ?

Bei Lenny gab es die Sicherheitsaktualisierung auch schon am 18.8.2010.
Und bei Testing gibt es bis jetzt offiziell noch keine Sicherheitsunterstützung.

Gruß,
Daniel

[Blackbox]

Und bei Testing gibt es bis jetzt offiziell noch keine Sicherheitsunterstützung.

Aber ich habe doch auf den Debianseiten gelesen, dass auch im Testing-Team mindestens ein Mitglied vom Security-Team ist, was habe ich denn jetzt falsch verstanden ?

http://www.debian.org/releases/testing/

[Danielx]

Aber ich habe doch auf den Debianseiten gelesen, dass auch im Testing-Team mindestens ein Mitglied vom Security-Team ist, was habe ich denn jetzt falsch verstanden ?

Mit der Entscheidung des Security-Teams, ab wann es eine Sicherheitsunterstützung für Testing gibt bzw. geben wird, hat das nichts zu tun.
Einzelne Personen dürfen natürlich Mitglied in verschiedenen Teams gleichzeitig sein.

Bitte beachten Sie, dass Sicherheitsaktualisierungen für die "Testing"-Distribution noch nicht vom Sicherheits-Team betreut werden. Daher erhält "Testing" die Sicherheitsaktualisierungen nicht auf zeitgerechte Weise.

Quelle: http://www.debian.org/releases/testing/index.de.html

Please note that security updates for "testing" distribution are not yet managed by the security team. Hence, "testing" does not get security updates in a timely manner.

Quelle: http://www.debian.org/releases/testing/index.en.html

Gruß,
Daniel

[Blackbox]

Einen Lichtblick lese ich zumindest aus dem Text herraus, es wird zukunfsoffen geschrieben, ich leite daraus ab, dass ein Security-Team-Support für die Zukunft in Testing geplant ist.

Oder interpretiere ich da zu viel hinein ?

[Danielx]

Die Sicherheitsunterstützung für Testing beginnt vermutlich wieder einige Wochen oder Monate vor dem Release (von Squeeze) und endet dann mit dem Release, geht also in die Sicherheitsunterstützung des neuen Stable (Squeeze) über.
Nach dem Release (von Squeeze) gibt es dann also eine Sicherheitsunterstützung für Old-Stable (Lenny) und Stable (Squeeze).

Gruß,
Daniel