[Gelöst] opensuse leap: ist openssl 1.0.1i noch vertretbar?

Bin grad zufällig drauf gestoßen, weil es einerseits ein update gab und die warnung vor 1.1.0a

Auf meinem leap ist derzeit 1.0.1i als aktueller Stand am Laufen. Ein kurzer Blick auf https://de.wikipedia.org/wiki/OpenSSL zeigt jedoch, dass bereits vor über 1 Jahr 12 weitere Lücken geschlossen wurden, darunter 1x high, 2x medium, 2x moderate priority. (1.1x könnte anders sein, weil das sicher Feature Erweiterungen beinhaltet).

Ich frage mich jetzt natürlich, warum die Repositories immer noch den alten Stand ausliefern. Sollte ich mir ein anderes Repository suchen?

Innerhalb einer OpenSuse-Version ist die Softwareversion der meisten Pakete festgepinnt. Üblicherweise werden die Patches und Fixes zurückportiert.

Solange Du also alle Patches und Update immer schön einspielst sollte alles in Ordnung sein.

Hey danke marce für deine schnelle antwort

hihi, ich hab täglich updates ;-), aber zurück.

Wenn ich dich richtig verstanden habe, dann sind die 12 fixes (bis 1.0.1k) enthalten, obwohl die Version immer noch 1.0.1i heißt?

Hmm, wenn das stimmt, dann wäre das irgendwie sehr wenig transparent. In meiner Sprache "Ich hoffe, dass der fix dabei ist"

Changelogs und Security Notes des Distributors lesen.

Transparent ist das System eigentlich schon - wenn Du es anders willst brauchst Du eine Rolling-release-Distribution.

ich denke, wir wollen beide keine ping-pong geschichte draus machen, aber wenigstens eine kleine erläuterung ;-)

Wenn ein Bug bekannt wird, dann ist es *immer* so, dass die Version genannt wird, mit der der fix drin ist. Das ist leicht kontrollierbar. Ohne erst in den release notes nach Stichworten suchen zu müssen, weiß ich sofort anhand der Version, ob ich auf einem sicheren Stand bin. Das wäre einfach anwenderfreundlich.

Aber weder du noch ich sind verantwortlich dafür, wie es bei suse gemacht wird.

gorgonz schrieb:

Aber weder du noch ich sind verantwortlich dafür, wie es bei suse gemacht wird.

Zum Vergrößern anklicken....

Nicht nur bei SuSE - das ist eigentlich Standard bei allen Distributionen, die nicht RollingRelease sind.

Verstanden, marce, das war mir noch nicht so klar.

Danke für die Aufklärung .

Ich hätte mir das einfach anders gewünscht - ohne gleich mit einem rolling release aufs Eis zu gehen ;-)

https://lists.opensuse.org/opensuse-security-announce/2016-09/msg00031.html

Lese einfach im Changelog des installierten Paketes ob und was gefixed wurde.

oder z.B.