Debian und aktuelle Programmversionen

[DebianUser25]

Hi all,

ich habe mir einen lokalen Testserver eingerichtet auf dem vorerst nur Apache,PHP und MYSQL laufen sollen.
Das ganze dient als Vorbereitung auf einen eigenen VServer.

Die Installation der Programme aus den Respositories ist kein Problem und es läuft auch alles super,
allerdings mache ich mir ein bisschen Sorgen wegen den "veralteten" Versionen.
Beispiel Apache2.2:

Die Debian Lenny Repository beinhaltet Version 2.2.9, die aktuelle Version ist aber 2.2.14.

Wie macht ihr es im realen Einsatz auf Rootservern etc,
benutzt ihr einfach die ältere Version?Kompiliert ihr die Programme selbst?Bindet ihr zur Installation kurzfristig die Testing Repository ein?(Diese enthält z.B. Version 2.2.14)

Gruß,
Chris

[Colttt]

es gäbe noch die variante mit den Backports

aber in allgemeinen reichen die "veralteten" versionen vollkommen aus, ausser eine neuere Version hat etwas was ich unbedingt brauche

[michaels]

Wenn man einen Debian (stable) Server betreibt möchte man ja einen stabilen Server und braucht auch keine "neue/aktuelle" Software (und wenn, evtl, die Backports).

Was erhoffst du dir denn von den aktuellen Versionen?

Für mich reichte bisher immer stable + security (und ich habe schon auf einigen Servern Debian genutzt)

Gruß

[DebianUser25]

Was erhoffst du dir denn von den aktuellen Versionen?

Für mich reichte bisher immer stable + security (und ich habe schon auf einigen Servern Debian genutzt)

Gruß

Mir ging es hauptsächlich um den Aspekt Sicherheit, so beinhaltet Version 2.2.14 des Apache Servers einige Bugfixes und Sicherheitsupdates.
Ich war mir nicht sicher, ob ich nicht ein unnötiges Sicherheitsrisko eingehe, wenn ich veraltete Pakete benutze.
Wenn das nicht zutrifft, habe ich kein Problem damit, eine ältere Version zu verwenden.
Gruß,
Chris

[michaels]

Was erhoffst du dir denn von den aktuellen Versionen?

Für mich reichte bisher immer stable + security (und ich habe schon auf einigen Servern Debian genutzt)

Gruß

Mir ging es hauptsächlich um den Aspekt Sicherheit, so beinhaltet Version 2.2.14 des Apache Servers einige Bugfixes und Sicherheitsupdates.
Ich war mir nicht sicher, ob ich nicht ein unnötiges Sicherheitsrisko eingehe, wenn ich veraltete Pakete benutze.
Wenn das nicht zutrifft, habe ich kein Problem damit, eine ältere Version zu verwenden.
Gruß,
Chris

Ok, deswegen mein Hinweis auf security (security.debian.org). Da bekommst du SIcherheitsupdates für die "alten" Versionen in Stable (werden auch normal über APT installiert)

[DebianUser25]

Also werden die Sicherheitsupdates der Apacheversion 2.2.14 in die Apache/Debianversion 2.2.9 "eingespeißt"???
Das heißt mir fehlen nur die neuen Funktionen, wenn ich die stable Debian Repositories verwende?
Gruß,
Chris

[hikaru]

Also werden die Sicherheitsupdates der Apacheversion 2.2.14 in die Apache/Debianversion 2.2.9 "eingespeißt"???
Das heißt mir fehlen nur die neuen Funktionen, wenn ich die stable Debian Repositories verwende?

Ja und ja.

[rendegast]

jein

Bsp. sun-java6
# lenny (stable) (libs): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-12-1: all
# squeeze (testing) (java): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-16-1: all
# sid (unstable) (java): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-17-1: all

http://java.sun.com/javase/6/webnotes/6u18.html
http://java.sun.com/javase/6/webnotes/6u17.html (security)
http://java.sun.com/javase/6/webnotes/6u16.html
http://java.sun.com/javase/6/webnotes/6u15.html (security)
suche nach:
"Bug Fixes
This release contains fixes for one or more security vulnerabilities. ..."

lenny hat also ein unsicheres java.
Ist zwar non-free, aber ich finde ein schönes Beispiel.



Anderes free-Beispiel clamav:

Wed Oct 28 16:55:03 CET 2009 (tk)
---------------------------------
* V 0.95.3

lenny:

clamav (0.94.dfsg.2-1lenny2) stable-security; urgency=low
...
-- Michael Tautschnig <mt@debian.org> Tue, 14 Apr 2009 16:53:46 +0200

Ziemlich drastisch http://www.clamav.net/2009/10/05/eol-clamav-094/

http://sourceforge.net/projects/clamav/files/ :

Release Name: 0.95
Notes:
ClamAV 0.95 introduces many bugfixes, ...

Release Name: 0.95.1
Notes: This is a bugfix release only, ...

Release Name: 0.95.2
Notes: This version ... fixes various issues found in previous releases.

Und die Listen sind lang.
Bei dieser Software sind die bug-fixes wohl häufig auch security-fixes,
die aber nicht in die stable eingearbeitet werden (können).
Zum Glück gibt es in diesem Fall volatile.

[urnenmann]

@rendegast

gut recherchiert. ich persönlich halte java neben flash für eine der grössten sicherheitsrisiken im internet überhaupt.
noch erschwert durch die unbedarftheit vieler benutzer

[quote]Und die Listen sind lang.[/quote]

das ist aber das was ich von einer guten stabilen distri erwarte, das man genau solche sicherheitskritischen aspekte mit einbezieht.
wer partout nicht auf aktuelle pakete nicht verzichten kann hat ja zum glück mit volatile eine möglichkeit.
ich persönlich würde einer älteren/unmoderneren aber durgepatchten version immer den vorzug gegenüber der neueren/eventuell noch unsicheren version geben auch wenn ich dadurch auf einige features verzichten müsste.
wobei ich mir durchaus der tatsache bewusst bin, das, wenn alle so dächten, die entwicklung der software nicht so schnell voranschreiten würde, was mir persönlich wiederum auch egal wäre.
imho ginge die welt auch nicht davon unter wenn man den entwicklungsfortschritt bei software etwas entschleunigen würde, und stattdessen
mehr wert auf sicherheit legte. das ist auch der grund warum ich letztlich bei debian gelandet bin und auch eigentlich nicht mehr weg will.

[michaels]

ich persönlich halte java neben flash für eine der grössten sicherheitsrisiken im internet überhaupt

Das interessiert mich aber jetzt:
Bitte genauer! (ich hoffe mal, du kennst den Unterschied zwischen Java und JavaScript)

[urnenmann]

ok ich relativier das ganze mal auf browserbasierte sachen. das sollte auf jeden fall kein java-bashing oder dergleichenwerden. das die java-technologie in einigen bereichen durchaus vorteile hat mag ja sein, aber das ganze dafür zu verwenden, übers internet, ausführbaren code zu transportieren der dann auf meiner maschine ausgeführt wird ist doch aus meiner sicht eher subotimal. das ganze sicherheitskonzept mit der sandbox, bytecode verifier, security manager usw ist doch bestimmt auch schwer zu implementieren. ich bin sowieso kein grosser fan von aktiven inhalten auf internetseiten. alles was blinkt und irgendwie durchs bild scrollt nervt mich eher. und applets werden ja meist für sowas verwendet. ausserdem erhöht die jvm ja auch die codebasis auf dem rechner. threadabschottung der jvm auf dem rechner, jit-compiler usw macht doch die sache bestimmt auch nicht einfacher. signierte applets usw mögen ja die sicherheit erhöhen, aber von mir aus könnte ein grossteil der aktiven webseiteninhalte auf internetseiten auch verschwinden. ich brauch kein myspace, facebook und den ganzen kram.
ne vernünftig programmierte informative html-webseite is mir allemal lieber.
hoffe das war genau genug.

[WSmithers]

Ich möchte das Thema nochmals aufgreifen.

Mir geht es speziell um phpMyAdmin und die Frage ob Paket oder Tarball.

In Lenny ist die aktuelle Version 2.11.8.1. Als Tarball gibt es momentan 3.2.5. Es geht mir in erster Linie nicht um die evtl. zusätzlichen Funktionen ect. doch eher um Sicherheit.

Unter http://www.phpmyadmin.net/home_page/security/ werden Sicherheitslücken beschrieben, die u.a. genau phpMyAdmin im LennyPaket betrifft. Somit ist meiner Ansicht nach das Paket nicht sicher; oder habe ich was dabei vergessen?

Wenn ich phpMyAdmin als Tarball installiere, verzichte ich zwar auf die bequeme Einbindung in Debian (damit etwas mehr Handarbeit) habe aber den Vorteil, ein vermeintlich sicheres Paket installiert zu haben.

Wie seht Ihr das?

[bmario]

Das kann man nicht so einfach sagen, denn das Debian Security Team ist damit beschäftigt, Securityfixes für verwundbare Paket zu erstellen.
siehe http://packages.debian.org/changelogs/p ... /changelog.
(beachte, wir haben nicht die ursprüngliche Version vom Upstream, sondern bereits den dritten Patch, erkennbar an dem Anhängsel +lenny3)

Ich weiß aber nicht, ob das alle Sicherheitslücken sind, die bekannt sind und auf die Debianversion zutreffen.

mario

[gms]

eigentlich braucht man nur auf dieser Seite: http://security-tracker.debian.org/tracker/ nach der entsprechenden CVE id suchen.

Also "PMASA-2010-3" hat die ID 'CVE-2009-4605' und die Version in Lenny ist auch von diesem Bug betroffen:

Code: Alles auswählen

For 2.11.x: versions before 2.11.10 are affected.

also suchen wir mittels obiger Seite nach 'CVE-2009-4605' und finden: "http://security-tracker.debian.org/trac ... -2009-4605" und dort wiederum sehen wir, daß das in 'lenny3' gefixt wurde

Gruß
gms