• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Debian seit Wochen ohne Sicherheits-Updates=>Joey's back!

Gerade bei Heise gefunden:

Debian seit mehreren Wochen ohne Sicherheits-Updates

http://www.heise.de/newsticker/meldung/61076
 

TeXpert

Guru
schaut mal zu dem Thema einmal auf Debian-Security und auch auf die Deutsche-Debian Liste.... da gehts heftig zur Sache...


BTW: ich überlege z.zt. sehr aktiv, ob Ich die Zeit aufbringe und meinen Sarge-Rechner von Debian wegmigriere :( denn so.... wie ist das denn hier bei anderen Debian-Nutzern?
 

nbkr

Guru
Ich sehe keinen Grund von Debian zu wechseln. Ja es gibt zur Zeit ein wenig organisatorische Probleme. Aber die bestehenden Bugs lassen sich fixen (wie steht im Heise Artikel) und man ist ja schon dran die Organisation umzubauen. Abgesehen davon sind die Bugs meines Wissens nach nicht wirklich krititsch und lassen sich relativ einfach abfangen:

->spamassassin
nur mails die kleiner sind als x KB an Spamassassin weiterleiten. Spam ist sowieso meist nicht sehr groß

->sudo
Anleitung steht auch in der Heise Meldung

-> Squirrelmail
Der Patch und dessen Einbau steht auf der Squirrelmailhomepage

Es sind jetzt nicht ganz 4 Wochen seit dem es keine Updates mehr gab. Andere Betriebssystemhersteller haben die Zeitspanne zum Standard erklärt. Also ganz ruhig, dass Problem ist erkannt, man arbeitet dran und die Welt wird in der Zwischenzeit nicht untergehen.
 

cero

Guru
TeXpert schrieb:
BTW: ich überlege z.zt. sehr aktiv, ob Ich die Zeit aufbringe und meinen Sarge-Rechner von Debian wegmigriere :( denn so.... wie ist das denn hier bei anderen Debian-Nutzern?
Was schwebt Dir denn als Alternative vor?
 

TeXpert

Guru
gute Frage :( eigendlich gibts keine richtige Alternative .... ich habe einen Großteil meiner Maschinen auf Ubuntu umgestellt... für normale Arbeiten ist das wunderbar und das Security-Team ist ja jetzt da ;) aber da gibts natürlich auch Probleme:
* Security nur für die Basis, nicht für Universe oder Multiverse
* Durch die andere Paketbezeichnung (foo-123ubuntu) sind Dependencies im Debian-Archiv kaputt, so dass hier nicht auf alles zurückgegriffen werden kann...


Gentoo ist mir eigendlich zu viel Spielerei ;) denn bei den Binary-Only-Dingen bekommt man ja auch keien Sec-Updates (so ich das richtig verstnaden habe...) Redhat hat mir den Spaß mit der RH8 und der RH9 verdorben, so dass ich bis jetzt noch keinen Blick auf die FedoraCore-Geschichte geworfen habe.... Im Prinzip ist Debian die Distri der wahl :) aber... wenn sich da nicht merklich was tut, was dann?

Das Problem ist, das Basisdemokratie ab einer bestimmten Projektgröße nicht mehr funktioniert und bei Debian existiert das auch nicht mehr, die DD und die RM haben das Heft in der Hand. Erst dieser Hickhack um die AMD64-Archititektur, jetzt das... bei Ubuntu haut im Zweifelsfall Mark Shuttleworth auf den Tisch oder beseitigt Probleme durch starkes Funding, aber bei Debian werdne richtig neue Ideen nicth mehr disktutiert.

Die Aufsplittung in 1st und 2nd class architectures ist schon nciht schlecht, wenn denn Leute eine Architektur brauchen dann sollen sie auch was beitragen... aber das Optimum ist es auch nicht, denn gerade Randbereiche können dann schnell absacken.

Kurz: die Ideallösung kenn ich auch nicht... aber in einer befreundeten Firma liegen mittlerweile mehrere Projektpläne (wieder) auf dem Tisch, die Debian Server zu RH zu migrieren...


Nachtrag: insbesondere da das BMI ja Debian als Grundlage für sein Office-System erkoren hat, wäre da evtl. ja auch Sponsering von fulltime-Kräften eine Möglichkeit...
 

OldKid

Hacker
also ich bleibe bei debian ... da mich als sid nutzer das debian-security-team nicht sonderlich betrifft.

an dieser stellen muss ich aber einmal ein lob an Martin 'Joey' Schulze aussprechen der seit Oktober 2004 alleine die arbeit des debian-security-team verrichtet hat ....

das es dann zu problemen kommt wenn Martin 'Joey' Schulze , der den linux-tag mit organisiert eben auf dem selben ist, ist auch klar !!!

ansonsten stimme ich nbkr voll zu

Es sind jetzt nicht ganz 4 Wochen seit dem es keine Updates mehr gab. Andere Betriebssystemhersteller haben die Zeitspanne zum Standard erklärt. Also ganz ruhig, dass Problem ist erkannt, man arbeitet dran und die Welt wird in der Zwischenzeit nicht untergehen.
 

TeXpert

Guru
oldkid30 schrieb:
an dieser stellen muss ich aber einmal ein lob an Martin 'Joey' Schulze aussprechen der seit Oktober 2004 alleine die arbeit des debian-security-team verrichtet hat ....

nicht alleine, er hatte noch Secretarys die aber keinen upload machen können/dürfen aber sonst volle Zustimmung, Joey gehört auch mein Respekt und Dank.
 

TeXpert

Guru
tomte schrieb:
TeXpert schrieb:
gute Frage :( eigendlich gibts keine richtige Alternative ....
Klar gibts Alternativen, gerade bei den Servern... mit Gentoo, FreeBSD, OpenBSD...

gentoo ist nett, aber wenn ich das richtig verstanden habe, dann gibts für die vorkompilierten Pakete (sollte dann stage3 sein) keine laufenden Updates, d.h. ich muss permanent auch auf einem ausgelasteten Server kompilieren.... naja.... ich entferne ja schon wenns möglich ist den gcc von einem Server... die Idee von Gentoo ist nett, konnte mich bis jetzt noch nicht 100% überzeugen ;) weder für eine Workstation und erst recht nicht für einen Server. Der Vorteil bei Debian ist, dass ich mein eigenes Repository fahren kann und schnell irgendwelche Pakete an alle Maschinen deployen kann. Kannst Du das mit Gentoo auch?

Und ja, BSD ist eine Alternative, aber es ist kein Linux und daher nur bedingt zu vergleichen....
 
OP
G

Griffin

Guru
Gerade bei Heise gefunden:

Erster Security-Patch für Debian/Sarge
http://www.heise.de/newsticker/meldung/61270

Es geht wieder aufwärts! :wink:
=> Joey's back!
 
OP
G

Griffin

Guru
Gerade ist bei Heise diese Meldung erschienen:

Debians Sicherheitsinfrastruktur wieder intakt
http://www.heise.de/newsticker/meldung/61517

Damit sollten die Probleme hoffentlich der Vergangenheit angehören. Es wäre wirklich schade um den guten Ruf von Debian.
 
Moin nbkr,

da ich die securitynews kriege, sieht es für mich so aus als wäre zumindest jetzt noch ein Zweiter dafür zuständig: Michael Stone.
Vorher war ich auch immer davon ausgegangen das Martin 'Joey' Schulz ein Sammelaccount wäre unter dem alle die Patches posten würden, aber dem war/ist wohl nicht so. So kann man sich irren! Hoffen wir jetzt mal das das nicht nur ein paar Patches sind sondern sich am 'Personalstand' grundsätzlich was gebessert hat.
 
Kann ich dir nicht sagen, da ich die News jeden Monat lösche. Und so wirklich weiß ich auch nicht was hinter den Kullissen läuft, woher denn auch?
 
Oben