Debian und aktuelle Programmversionen
-
- Beiträge: 3
- Registriert: 16.01.2010 13:31:55
Debian und aktuelle Programmversionen
Hi all,
ich habe mir einen lokalen Testserver eingerichtet auf dem vorerst nur Apache,PHP und MYSQL laufen sollen.
Das ganze dient als Vorbereitung auf einen eigenen VServer.
Die Installation der Programme aus den Respositories ist kein Problem und es läuft auch alles super,
allerdings mache ich mir ein bisschen Sorgen wegen den "veralteten" Versionen.
Beispiel Apache2.2:
Die Debian Lenny Repository beinhaltet Version 2.2.9, die aktuelle Version ist aber 2.2.14.
Wie macht ihr es im realen Einsatz auf Rootservern etc,
benutzt ihr einfach die ältere Version?Kompiliert ihr die Programme selbst?Bindet ihr zur Installation kurzfristig die Testing Repository ein?(Diese enthält z.B. Version 2.2.14)
Gruß,
Chris
ich habe mir einen lokalen Testserver eingerichtet auf dem vorerst nur Apache,PHP und MYSQL laufen sollen.
Das ganze dient als Vorbereitung auf einen eigenen VServer.
Die Installation der Programme aus den Respositories ist kein Problem und es läuft auch alles super,
allerdings mache ich mir ein bisschen Sorgen wegen den "veralteten" Versionen.
Beispiel Apache2.2:
Die Debian Lenny Repository beinhaltet Version 2.2.9, die aktuelle Version ist aber 2.2.14.
Wie macht ihr es im realen Einsatz auf Rootservern etc,
benutzt ihr einfach die ältere Version?Kompiliert ihr die Programme selbst?Bindet ihr zur Installation kurzfristig die Testing Repository ein?(Diese enthält z.B. Version 2.2.14)
Gruß,
Chris
Re: Debian und aktuelle Programmversionen
es gäbe noch die variante mit den Backports
aber in allgemeinen reichen die "veralteten" versionen vollkommen aus, ausser eine neuere Version hat etwas was ich unbedingt brauche
aber in allgemeinen reichen die "veralteten" versionen vollkommen aus, ausser eine neuere Version hat etwas was ich unbedingt brauche
Debian-Nutzer
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: Debian und aktuelle Programmversionen
Wenn man einen Debian (stable) Server betreibt möchte man ja einen stabilen Server und braucht auch keine "neue/aktuelle" Software (und wenn, evtl, die Backports).
Was erhoffst du dir denn von den aktuellen Versionen?
Für mich reichte bisher immer stable + security (und ich habe schon auf einigen Servern Debian genutzt)
Gruß
Was erhoffst du dir denn von den aktuellen Versionen?
Für mich reichte bisher immer stable + security (und ich habe schon auf einigen Servern Debian genutzt)
Gruß
-
- Beiträge: 3
- Registriert: 16.01.2010 13:31:55
Re: Debian und aktuelle Programmversionen
Mir ging es hauptsächlich um den Aspekt Sicherheit, so beinhaltet Version 2.2.14 des Apache Servers einige Bugfixes und Sicherheitsupdates.michaels hat geschrieben: Was erhoffst du dir denn von den aktuellen Versionen?
Für mich reichte bisher immer stable + security (und ich habe schon auf einigen Servern Debian genutzt)
Gruß
Ich war mir nicht sicher, ob ich nicht ein unnötiges Sicherheitsrisko eingehe, wenn ich veraltete Pakete benutze.
Wenn das nicht zutrifft, habe ich kein Problem damit, eine ältere Version zu verwenden.
Gruß,
Chris
Re: Debian und aktuelle Programmversionen
Ok, deswegen mein Hinweis auf security (security.debian.org). Da bekommst du SIcherheitsupdates für die "alten" Versionen in Stable (werden auch normal über APT installiert)DebianUser25 hat geschrieben:Mir ging es hauptsächlich um den Aspekt Sicherheit, so beinhaltet Version 2.2.14 des Apache Servers einige Bugfixes und Sicherheitsupdates.michaels hat geschrieben: Was erhoffst du dir denn von den aktuellen Versionen?
Für mich reichte bisher immer stable + security (und ich habe schon auf einigen Servern Debian genutzt)
Gruß
Ich war mir nicht sicher, ob ich nicht ein unnötiges Sicherheitsrisko eingehe, wenn ich veraltete Pakete benutze.
Wenn das nicht zutrifft, habe ich kein Problem damit, eine ältere Version zu verwenden.
Gruß,
Chris
-
- Beiträge: 3
- Registriert: 16.01.2010 13:31:55
Re: Debian und aktuelle Programmversionen
Also werden die Sicherheitsupdates der Apacheversion 2.2.14 in die Apache/Debianversion 2.2.9 "eingespeißt"???
Das heißt mir fehlen nur die neuen Funktionen, wenn ich die stable Debian Repositories verwende?
Gruß,
Chris
Das heißt mir fehlen nur die neuen Funktionen, wenn ich die stable Debian Repositories verwende?
Gruß,
Chris
Re: Debian und aktuelle Programmversionen
Ja und ja.DebianUser25 hat geschrieben:Also werden die Sicherheitsupdates der Apacheversion 2.2.14 in die Apache/Debianversion 2.2.9 "eingespeißt"???
Das heißt mir fehlen nur die neuen Funktionen, wenn ich die stable Debian Repositories verwende?
Re: Debian und aktuelle Programmversionen
jein
Bsp. sun-java6
# lenny (stable) (libs): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-12-1: all
# squeeze (testing) (java): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-16-1: all
# sid (unstable) (java): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-17-1: all
http://java.sun.com/javase/6/webnotes/6u18.html
http://java.sun.com/javase/6/webnotes/6u17.html (security)
http://java.sun.com/javase/6/webnotes/6u16.html
http://java.sun.com/javase/6/webnotes/6u15.html (security)
suche nach:
"Bug Fixes
This release contains fixes for one or more security vulnerabilities. ..."
lenny hat also ein unsicheres java.
Ist zwar non-free, aber ich finde ein schönes Beispiel.
Anderes free-Beispiel clamav:
http://sourceforge.net/projects/clamav/files/ :
Bei dieser Software sind die bug-fixes wohl häufig auch security-fixes,
die aber nicht in die stable eingearbeitet werden (können).
Zum Glück gibt es in diesem Fall volatile.
Bsp. sun-java6
# lenny (stable) (libs): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-12-1: all
# squeeze (testing) (java): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-16-1: all
# sid (unstable) (java): Sun Java(TM) Runtime Environment (JRE) 6 (architecture independent files) [non-free]
6-17-1: all
http://java.sun.com/javase/6/webnotes/6u18.html
http://java.sun.com/javase/6/webnotes/6u17.html (security)
http://java.sun.com/javase/6/webnotes/6u16.html
http://java.sun.com/javase/6/webnotes/6u15.html (security)
suche nach:
"Bug Fixes
This release contains fixes for one or more security vulnerabilities. ..."
lenny hat also ein unsicheres java.
Ist zwar non-free, aber ich finde ein schönes Beispiel.
Anderes free-Beispiel clamav:
lenny:Wed Oct 28 16:55:03 CET 2009 (tk)
---------------------------------
* V 0.95.3
Ziemlich drastisch http://www.clamav.net/2009/10/05/eol-clamav-094/clamav (0.94.dfsg.2-1lenny2) stable-security; urgency=low
...
-- Michael Tautschnig <mt@debian.org> Tue, 14 Apr 2009 16:53:46 +0200
http://sourceforge.net/projects/clamav/files/ :
Und die Listen sind lang.Release Name: 0.95
Notes:
ClamAV 0.95 introduces many bugfixes, ...
Release Name: 0.95.1
Notes: This is a bugfix release only, ...
Release Name: 0.95.2
Notes: This version ... fixes various issues found in previous releases.
Bei dieser Software sind die bug-fixes wohl häufig auch security-fixes,
die aber nicht in die stable eingearbeitet werden (können).
Zum Glück gibt es in diesem Fall volatile.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Debian und aktuelle Programmversionen
@rendegast
gut recherchiert. ich persönlich halte java neben flash für eine der grössten sicherheitsrisiken im internet überhaupt.
noch erschwert durch die unbedarftheit vieler benutzer
[quote]Und die Listen sind lang.[/quote]
das ist aber das was ich von einer guten stabilen distri erwarte, das man genau solche sicherheitskritischen aspekte mit einbezieht.
wer partout nicht auf aktuelle pakete nicht verzichten kann hat ja zum glück mit volatile eine möglichkeit.
ich persönlich würde einer älteren/unmoderneren aber durgepatchten version immer den vorzug gegenüber der neueren/eventuell noch unsicheren version geben auch wenn ich dadurch auf einige features verzichten müsste.
wobei ich mir durchaus der tatsache bewusst bin, das, wenn alle so dächten, die entwicklung der software nicht so schnell voranschreiten würde, was mir persönlich wiederum auch egal wäre.
imho ginge die welt auch nicht davon unter wenn man den entwicklungsfortschritt bei software etwas entschleunigen würde, und stattdessen
mehr wert auf sicherheit legte. das ist auch der grund warum ich letztlich bei debian gelandet bin und auch eigentlich nicht mehr weg will.
gut recherchiert. ich persönlich halte java neben flash für eine der grössten sicherheitsrisiken im internet überhaupt.
noch erschwert durch die unbedarftheit vieler benutzer
[quote]Und die Listen sind lang.[/quote]
das ist aber das was ich von einer guten stabilen distri erwarte, das man genau solche sicherheitskritischen aspekte mit einbezieht.
wer partout nicht auf aktuelle pakete nicht verzichten kann hat ja zum glück mit volatile eine möglichkeit.
ich persönlich würde einer älteren/unmoderneren aber durgepatchten version immer den vorzug gegenüber der neueren/eventuell noch unsicheren version geben auch wenn ich dadurch auf einige features verzichten müsste.
wobei ich mir durchaus der tatsache bewusst bin, das, wenn alle so dächten, die entwicklung der software nicht so schnell voranschreiten würde, was mir persönlich wiederum auch egal wäre.
imho ginge die welt auch nicht davon unter wenn man den entwicklungsfortschritt bei software etwas entschleunigen würde, und stattdessen
mehr wert auf sicherheit legte. das ist auch der grund warum ich letztlich bei debian gelandet bin und auch eigentlich nicht mehr weg will.
Re: Debian und aktuelle Programmversionen
Das interessiert mich aber jetzt:urnenmann hat geschrieben:ich persönlich halte java neben flash für eine der grössten sicherheitsrisiken im internet überhaupt
Bitte genauer! (ich hoffe mal, du kennst den Unterschied zwischen Java und JavaScript)
Re: Debian und aktuelle Programmversionen
ok ich relativier das ganze mal auf browserbasierte sachen. das sollte auf jeden fall kein java-bashing oder dergleichenwerden. das die java-technologie in einigen bereichen durchaus vorteile hat mag ja sein, aber das ganze dafür zu verwenden, übers internet, ausführbaren code zu transportieren der dann auf meiner maschine ausgeführt wird ist doch aus meiner sicht eher subotimal. das ganze sicherheitskonzept mit der sandbox, bytecode verifier, security manager usw ist doch bestimmt auch schwer zu implementieren. ich bin sowieso kein grosser fan von aktiven inhalten auf internetseiten. alles was blinkt und irgendwie durchs bild scrollt nervt mich eher. und applets werden ja meist für sowas verwendet. ausserdem erhöht die jvm ja auch die codebasis auf dem rechner. threadabschottung der jvm auf dem rechner, jit-compiler usw macht doch die sache bestimmt auch nicht einfacher. signierte applets usw mögen ja die sicherheit erhöhen, aber von mir aus könnte ein grossteil der aktiven webseiteninhalte auf internetseiten auch verschwinden. ich brauch kein myspace, facebook und den ganzen kram.
ne vernünftig programmierte informative html-webseite is mir allemal lieber.
hoffe das war genau genug.
ne vernünftig programmierte informative html-webseite is mir allemal lieber.
hoffe das war genau genug.
Re: Debian und aktuelle Programmversionen
Ich möchte das Thema nochmals aufgreifen.
Mir geht es speziell um phpMyAdmin und die Frage ob Paket oder Tarball.
In Lenny ist die aktuelle Version 2.11.8.1. Als Tarball gibt es momentan 3.2.5. Es geht mir in erster Linie nicht um die evtl. zusätzlichen Funktionen ect. doch eher um Sicherheit.
Unter http://www.phpmyadmin.net/home_page/security/ werden Sicherheitslücken beschrieben, die u.a. genau phpMyAdmin im LennyPaket betrifft. Somit ist meiner Ansicht nach das Paket nicht sicher; oder habe ich was dabei vergessen?
Wenn ich phpMyAdmin als Tarball installiere, verzichte ich zwar auf die bequeme Einbindung in Debian (damit etwas mehr Handarbeit) habe aber den Vorteil, ein vermeintlich sicheres Paket installiert zu haben.
Wie seht Ihr das?
Mir geht es speziell um phpMyAdmin und die Frage ob Paket oder Tarball.
In Lenny ist die aktuelle Version 2.11.8.1. Als Tarball gibt es momentan 3.2.5. Es geht mir in erster Linie nicht um die evtl. zusätzlichen Funktionen ect. doch eher um Sicherheit.
Unter http://www.phpmyadmin.net/home_page/security/ werden Sicherheitslücken beschrieben, die u.a. genau phpMyAdmin im LennyPaket betrifft. Somit ist meiner Ansicht nach das Paket nicht sicher; oder habe ich was dabei vergessen?
Wenn ich phpMyAdmin als Tarball installiere, verzichte ich zwar auf die bequeme Einbindung in Debian (damit etwas mehr Handarbeit) habe aber den Vorteil, ein vermeintlich sicheres Paket installiert zu haben.
Wie seht Ihr das?
- bmario
- Beiträge: 1256
- Registriert: 05.09.2007 12:15:47
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dresden
Re: Debian und aktuelle Programmversionen
Das kann man nicht so einfach sagen, denn das Debian Security Team ist damit beschäftigt, Securityfixes für verwundbare Paket zu erstellen.
siehe http://packages.debian.org/changelogs/p ... /changelog.
(beachte, wir haben nicht die ursprüngliche Version vom Upstream, sondern bereits den dritten Patch, erkennbar an dem Anhängsel +lenny3)
Ich weiß aber nicht, ob das alle Sicherheitslücken sind, die bekannt sind und auf die Debianversion zutreffen.
mario
siehe http://packages.debian.org/changelogs/p ... /changelog.
(beachte, wir haben nicht die ursprüngliche Version vom Upstream, sondern bereits den dritten Patch, erkennbar an dem Anhängsel +lenny3)
Ich weiß aber nicht, ob das alle Sicherheitslücken sind, die bekannt sind und auf die Debianversion zutreffen.
mario
Nichts zu tun ist viel besser,
als mit viel Mühe nichts zu schaffen. - Laotse
als mit viel Mühe nichts zu schaffen. - Laotse
Re: Debian und aktuelle Programmversionen
eigentlich braucht man nur auf dieser Seite: http://security-tracker.debian.org/tracker/ nach der entsprechenden CVE id suchen.
Also "PMASA-2010-3" hat die ID 'CVE-2009-4605' und die Version in Lenny ist auch von diesem Bug betroffen:
also suchen wir mittels obiger Seite nach 'CVE-2009-4605' und finden: "http://security-tracker.debian.org/trac ... -2009-4605" und dort wiederum sehen wir, daß das in 'lenny3' gefixt wurde
Gruß
gms
Also "PMASA-2010-3" hat die ID 'CVE-2009-4605' und die Version in Lenny ist auch von diesem Bug betroffen:
Code: Alles auswählen
For 2.11.x: versions before 2.11.10 are affected.
Gruß
gms