-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
Erinnerung: Ende Supportlaufzeit OpenSUSE 12.3
- Ersteller gehrke
- Erstellt am
Hast Du zu lange das Gerede von Marketingabteilungen angehört?gehrke schrieb:
Vielmehr gilt: So etwas wie die sog. "End of Life-Policy" von Microsoft und Apple gibt es bei Linux nicht. Nutzer können auch weiterhin genau die Distribution verwenden, die sie möchten, selbst wenn diese Kernel 0.1 verwenden sollte. Nachdenken über ein Update/Migration ist nicht erforderlich.
Auf solche "Erinnerungen" kann ich gut verzichten, sowohl per Email als auch per Forum.
josef-wien
Ultimate Guru
Es empfiehlt sich immer, zuerst das Gehirn einzuschalten und erst dann Beiträge zu verfassen.
Sowohl Linux als auch in Linux verwendete Software haben Sicherheitslücken, die mitunter gravierend sind. Ich denke da z. B. an Hartbleed und HEUR:Backdoor.Java.Agent.a. Wenn Du nicht mehr unterstützte Distributionen verwendest, bekommst Du keine Fehlerkorrekturen und betreibst Deinen PC auf Dauer als offenes Scheunentor. Solange Du nur Deinen PC verunstaltest, ist es Deine Sache, wenn aber durch Dein Verhalten andere in Mitleidenschaft gezogen werden, wirst Du irgendwann vor einem Richter stehen.
Im übrigen haben (abgesehen von den wenigen longterm-Versionen und den mühsam nachgepflegten backport-Versionen der jeweiligen Distributionen) Linux-Kernel eine Lebensdauer von weniger als einem halben Jahr.
Sowohl Linux als auch in Linux verwendete Software haben Sicherheitslücken, die mitunter gravierend sind. Ich denke da z. B. an Hartbleed und HEUR:Backdoor.Java.Agent.a. Wenn Du nicht mehr unterstützte Distributionen verwendest, bekommst Du keine Fehlerkorrekturen und betreibst Deinen PC auf Dauer als offenes Scheunentor. Solange Du nur Deinen PC verunstaltest, ist es Deine Sache, wenn aber durch Dein Verhalten andere in Mitleidenschaft gezogen werden, wirst Du irgendwann vor einem Richter stehen.
Im übrigen haben (abgesehen von den wenigen longterm-Versionen und den mühsam nachgepflegten backport-Versionen der jeweiligen Distributionen) Linux-Kernel eine Lebensdauer von weniger als einem halben Jahr.
OP
Das sehe ich komplett anders. Linux ist keine Insel, die vor Schadsoftware magisch geschützt wäre. Wer mit seinem System als Clientrechner konfiguriert im Internet unterwegs ist oder dort Server-Dienste anbietet, der ist gut beraten, alle verfügbaren Patches eingespielt zu haben - wenigstens Security-Patches. Zu seinem eigenen Schutz und zum Schutz anderer.abgdf schrieb:
Hast Du Dich mal gefragt, wo diese ganzen Rechner eigentlich herkommen, die millionenfach in Bot-Netzen andere attackieren? Ich halte einen Update-Mechanismus in einem solchen Kontext für absolut essentiell - sei es bei Linux, Apple oder Microsoft.
A
Anonymous
Gast
gehrke schrieb:
Ich will ja hier niemanden irgendwelche Illusion rauben, aber macht doch euch doch bitte mal selber den Spaß und geht mit ein paar sed-, awk- oder perl-Befehlen (oder was immer ihr für Scriptsprachen könnt) in die updateinfo.xml Dateien von den letzten paar abgelaufenen Distributionen rein und schaut euch mal die Ergebnisse an, welche Programme vor allem gepatcht werden und wieviele CVE (Common Vulnerability Enumeration) da dabei sind. Und vor allem vergleicht mal die einzelnen abgelaufenen alten OpenSuse Distributionen untereinander.Das hier dürft ihr gerne als Vergleich und Anregung heranziehen. (allerdings die dort verwendete Script Zeilen unten müsst ihr etwas anpassen wenn ihr die "*updateinfo.xml.gz" aus den UpdateRepos nutzen wollt)
Wenn ich davon ausgehe, eine neue Distribution hat 90% noch nicht gefundener Bugs und eine gut abgehangene 90% der gefundenen Bugs gepatcht. Ein Großteil der Sourcezeilen die gepatcht werden ist nicht älter als 3 Jahre, also zum Großteil die Bugs die heute gepatcht werden in alten Versionen noch gar nicht vorhanden. Dann sollte eine gerade abgelaufene OpenSuse Distribution statistisch um ein mehrfaches sicherer sein, als eine Neue. Wenn ich noch zusätzlich ein bisschen Feingefühl zeige wo seit Jahren immer wieder massenweise die Problemprogramme zu finden sind..... Aber Statistik ist die eine Seite, und ein Hase ist statistisch ja auch genau ein Mal tot wenn ich mit 2 Schuss einmal einen Meter links und einmal einen Meter rechts vorbeigeschossen habe.
Übertreiben muss man es trotzdem mit dem Upgrade-Wahn nicht.robi
OP
@robi: 'jofef-wien' hat das Beispiel heartbleed schon genannt. Das hat 27 Monate geschlummert, bis es publik wurde. Die Lebenszeit von OpenSUSE 12.3 betrug 'nur' 21 Monate.
Und tatsächlich ist auch heute (8 Monate nach Heartbleed) noch ein nennenswerter Teil des Internets ungepatcht und das wird wahrscheinlich auch so bleiben, bis die betreffenden Systeme an Altersschwäche sterben. Hauptsächlich dürften das Systeme sein, die out-of-support sind oder die gleich niemals einen nennenswerten Support hatten.
Und tatsächlich ist auch heute (8 Monate nach Heartbleed) noch ein nennenswerter Teil des Internets ungepatcht und das wird wahrscheinlich auch so bleiben, bis die betreffenden Systeme an Altersschwäche sterben. Hauptsächlich dürften das Systeme sein, die out-of-support sind oder die gleich niemals einen nennenswerten Support hatten.
A
Anonymous
Gast
Ist wieder typisch, ich spreche bewusst vorsichtig und allgemein zB. vom Großteil, und ihr kontert mit Einzelbeispielen.gehrke schrieb:
Na gut das kann ich auch, bleiben wir doch bei genau diesem Beispiel:
Ich stelle fest, wer also nicht auf euren alle Paar Monate wiederkehrenden Upgrade Aufruf gehört hat und zu dieser Zeit schön seine 3-4 Jahre alten und gerade ausgelaufenen 11.4 oder 12.1 mit den gut gefüllten und eventuell schon abgeschlossenen Updaterepos weiterlaufen hatte, der ist nie in den Genuss von heartbleed gekommen. Demzufolge war im Nachhinein in Punkto dieses speziellen Bugs alle euren Aufschreie das diese alten Systeme dringend auf eine aktuell unterstützte Version upgedated werden müssen, definitiv mindendestens falsch. (Allerdings fahrlässig kann man euch wohl nicht noch vorwerfen wenn ihr hier Werbung für eine Distribution mit einem dickem Sicherheitbug gemacht habt, da ihr ja in gutem Glauben gehandelt habt)
Nicht weiter hab ich gesagt, und mit diesem speziellem Beispiel ist weder die These erschütert noch wiederlegt, aber auch keinesfalls belegt oder bestätigt, das neue Versionen nicht automatisch sicher sein müssen, als alte.robi schrieb:
Aber lassen wir das, sonst packt ihr noch Shellshock aus, was auch weiter nichts beweißt, als das sich dicke Bugs auch länger als 3 Jahre (25 Jahre :schockiert: ) absolut unbemerkt in verlassenen und versteckten Ecken von durchaus häufig genutzen und zentralen Tools verbergen können.
robi
In der Tat.josef-wien schrieb:
Ich höre schon wieder die Verkaufsabteilung reden. Bevor Microsoft das Prinzip "End of Life" eingeführt hat, weil sie ihre neuen Windows-Versionen nicht gut verkaufen konnten, weil sie sich mit ihren alten Versionen (wie Windows 98) selbst Konkurrenz machten, hat das Argument mit den Sicherheitslücken über Jahrzehnte niemanden gestört. Obwohl es immer welche gab. Man mußte und konnte nur halt damit umgehen. Auf einmal wird Paranoia geschürt, um die Verkaufszahlen zu erhöhen. Das ist alles. Für Linux, das gar keine Verkaufszahlen braucht, ist das aber völlig unpassend.josef-wien schrieb:
Ach ja, man soll also zum Update gesetzlich verpflichtet sein? Wo soll das stehen? Das ist Quatsch.josef-wien schrieb:
Stattdessen spricht sogar einiges dafür, daß es für einen Privatanwender sogar vertretbar ist, als root unterwegs zu sein, "What are you afraid of?":
http://puppylinux.com/technical/root.htm
Und wieso behauptest Du, ein Rechner sei "verunstaltet", wenn ein etwas älterer Linux-Kernel darauf läuft? Ziemlich respektlos gegenüber Linux insgesamt.
Nein, so etwas wie eine Lebensdauer gibt es bei Software überhaupt nicht.josef-wien schrieb:
So, und jetzt spiel' ich 'ne Runde "Manic Miner": "Lebt" seit 1983 und wird auch noch weiterleben, nix da "End of Life"-Bullshit.
OP
Tja, hier kommen wir wohl nicht weiter.
Für mich ist es offensichtlich, dass das Patchen von Software aus Sicherheitsgründen in den oben genannten Fällen sinnvoll ist. Genau dafür gibt es den Support und wenn der ausgelaufen ist, muss man sich entweder selbst drum kümmern (was die meisten weder können noch wollen) oder ignoriert die Risiken schlichtweg.
Wer heute mit einer Uralt-Distribution wie Suse 11.4 im Internet unterwegs ist, geht hohe Risiken ein. Gerade bei Software wie Firefox, Java und openssl werden alle Nase lang Sicherheitslücken aufgedeckt und auch ausgenutzt. Das als Paranoia abzutun ist absurd.
Daher bleibe ich bei meiner Empfehlung, dass jeder Betroffene über ein Update/Migration nachdenken sollte.
cu, gehrke
Für mich ist es offensichtlich, dass das Patchen von Software aus Sicherheitsgründen in den oben genannten Fällen sinnvoll ist. Genau dafür gibt es den Support und wenn der ausgelaufen ist, muss man sich entweder selbst drum kümmern (was die meisten weder können noch wollen) oder ignoriert die Risiken schlichtweg.
Wer heute mit einer Uralt-Distribution wie Suse 11.4 im Internet unterwegs ist, geht hohe Risiken ein. Gerade bei Software wie Firefox, Java und openssl werden alle Nase lang Sicherheitslücken aufgedeckt und auch ausgenutzt. Das als Paranoia abzutun ist absurd.
Daher bleibe ich bei meiner Empfehlung, dass jeder Betroffene über ein Update/Migration nachdenken sollte.
cu, gehrke
abgdf schrieb:
Hallo,
aber da lieferst Du doch schon selbst die Munition für den sog. "Updatewahn" ?!
Diese Jahrzehnte waren nunmal die des BTX und nicht die der Drive-By-Infizierung u.ä.
Viele wollen heute nicht mal Ahnung haben - das ist der Punkt.
Ziemlich genau seit der Zeit die Du ansprichtst hatten nunmal auch die plötzlich einen PC
vom Wühltisch die vorher immer desinteressiert waren. Kurz drauf dann der DSL-Boom.
Die Verbreitung von Computerkenntnissen prozentual gesehen zu Nutzern war noch nie so schlecht wie heute.
Ich erschrecke schon jedesmal wenn (manchmal sogar in Firmen) schon bei einer Pfadangabe nur chinesisch
verstanden wird - viele können nur noch in Bildern denken: "aber das sah so doch immer so aus". Und beim ipad
ist sowieso alles besser und einfacher. Und ich rede nicht von meiner Großtante, sondern das
ist fast der Normalfall. Und auch das ganze Gerede "die Jungen sind da ja alle fit, die wachsen ja damit auf" -
ich kanns schon nichtmehr hören.
Sicher, in der ersten Hälfte der Nuller Jahre hat MS trotzdem W.Blaster, Lovesan, Sasser und wie die ganzen
Kracher hießen trotzdem nicht verhindert.
Wenn wir jetzt mal zu Linux kommen: Wurde nicht sogar in vielen Medien damit geworben von XP auf
eine Linux-Distro umzusteigen? Aber wer war wohl die größte Gruppe die 2014 noch XP mit nem Ein-Kern-Celeron
hecheln hatte? Also auch hier kannst Du spätestens jetzt nicht mehr pauschal davon ausgehen das jeder weiß was er tut.
Und viele Fehlerbeschreibungen auch in Linuxforen deuten schon mit dem Zaunpfahl einen steinalten Browser an.
Man könnte den auch aus separat erneuern - könnte, wenn man sich Gedanken machen und damit befassen würde.
Nimmt man dann noch an das altbekannte Lücken gefährlicher sind als Neue (woraus man wieder eine Diskussion machen könnte)...
Allerdings sind die Gedankengänge in die andere Richtung als Diskussion tatsächlich sehr interessant, und nix dagegen
selbst den Kopf einzuschalten wenn man bestehende Installationen unbedingt behalten will - aber deswegen pauschal
Upgrades infrage zu stellen und lieber den Nutzer in die Pflicht zu nehmen finde ich realitätsfern.
Auch ist es doch nicht zuletzt auch bei freier/Opensource Software schon menschlich verständlich das man sich eine weite Verbreitung des
Ergebnisses der nicht wenigen Arbeit wünscht.
Gruß Marco
A
Anonymous
Gast
Warum bekomme ich dann jetzt immer noch fortlaufend Updates von http://download.opensuse.org/update/12.3/?gehrke schrieb:
Zuletzt gestern.
Und sämtliche Updates von Packman, Mozilla, multimedia, google-chrome, LibreOffice, etc.?
A
Anonymous
Gast
Na, wahrscheinlich nicht bis in alle Ewigkeit.Sauerland schrieb:
Aber solange werde ich definitiv nicht auf openSUSE 12.4 wechseln. Dafür läuft die 12.3er einfach zu gut im Vergleich dazu.
Und die 13.0 ist m.M.n. einfach zusammengeschustert.
A
Anonymous
Gast
Die 12.3 läuft besser (=zu 100%).gehrke schrieb:
Sehr schade, dass das Evergreen-Team die 12.3er nicht weiterpflegt!
Aber noch gibt's ja Updates zuhauf.
Egal was hier alles zuvor geschrieben wurde, es ist soweit: http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00003.html