Verständnis Debian Paketsystem Sicherheitslücken

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

Verständnis Debian Paketsystem Sicherheitslücken

Beitrag von user18 » 27.08.2018 13:45:56

Hallo,

mir ist folgendes Paket aufgefallen:

https://security-tracker.debian.org/tra ... -2018-6535

Code: Alles auswählen

	stretch, 2.6.0-2, vulnerable
	buster, sid, 2.9.1-1, fixed
Kommt sowas häufiger bei Debian vor, dass Sicherheitslücken in stretch nicht behoben werden?
Wie geht ihr mit solchen Paketen um?

Benutzeravatar
whisper
Beiträge: 3154
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Verständnis Debian Paketsystem Sicherheitslücken

Beitrag von whisper » 27.08.2018 14:04:05

Für Stretch und Jessie sind sie als Minor klassifiziert.
Scheint auch sinnvoll, da incinga (Nagios) in Produktiv Umgebungen sicherlich gar nicht für das Internet erreichbar sind, sondern nur innerhalb der eigenen lokalen, DMZ, Intranet oder wie es nun in der Firma gehandhabt wird. Also ist remote sowieso unmöglich.
Das No-DSA bedeutet wohl, aufgrund von zu wenig Man-Power wird man es dort nicht mehr fixen.

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: Verständnis Debian Paketsystem Sicherheitslücken

Beitrag von tijuca » 27.08.2018 14:18:13

user18 hat geschrieben: ↑ zum Beitrag ↑
27.08.2018 13:45:56
Kommt sowas häufiger bei Debian vor, dass Sicherheitslücken in stretch nicht behoben werden?
Auf diese Frage strikt geantwortet: Nein.
Aber Du wolltest wohl auch eigentlich folgende Frage stellen. Kommt es bei Debian (öfters) vor, dass Sicherheitsupdates zunächst in Testing und erst später im Stable Release gefixt werden? Die Antwort hier ist dann sehr wohl Ja.

Dies hängt einfach damit zusammen, dass Fixes eigentlich immer erst in den aktuellen Upstream Entwicklungsversionen getätigt werden. Aus diesen Fixes werden dann auch die nötigen Patches für schon veröffentlichte Versionen erstellt. Und dadurch lässt sich gut erkennen ob mit den Änderungen nicht auch ungewollte Regressionen eingeführt werden.

In der Regel kümmert sich der Paketmaintainer mit um die nötigen Vorbereitungen für ein Security behaftetes Update im Stable Release, das ist auch der überwiegende Anteil. Es ist aber auch möglich, dass das Security Team komplett selbständig arbeitet, aber eigentlich nie ohne den Maintainer zumindest zu bitten die Fixes einzuarbeiten der sein Paket eigentlich auch am besten kennt.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Verständnis Debian Paketsystem Sicherheitslücken

Beitrag von wanne » 27.08.2018 14:29:56

Wenn du dir den Patch ansiehst wurde das gelöst indem das Konfigurationsdateiformat geändert wurde. Wird eine alte config vorgefunden wird on the fly konvertiert.
Das ist nichts ganz kleines, was ein Debian Maintainer mal kurz fixen kann. Icinga selbst hat das lediglich in den Versionen 2.9.X und 2.8.X gefixt. In Stretch ist aber die Version 2.6.X
Im allgemeinen ein großes Problem mit neuer Software: Die geben keine Supportzeiträume mehr an. Ob die irgend welche ältere Versionen noch warten ist irgendwie eher Glückssache. Aber die neueren sind inkompatibel.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten