[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Stable Updates zu DSA 815-1 (kdebase)

Gruesse!
* Alexander Schmehl <alexander@schmehl.info> schrieb am [19.09.05 18:29]:
> * Gerhard Brauer <gerhard.brauer@web.de> [050919 18:14]:
> 
> > > Das DSA 816 fuer das X-Update kommt noch.
> > Ah danke! War also das Fix schneller als die Warnung ;-)
> 
> Und aehh... laut .changes steht in den changelogs:
> 
> =====
>    * Security update release.  Resolves the following issue:
>      + CAN-2005-2495: overflows when allocating size for large pixmaps may
>        allow attackers to execute arbitrary code; with the patches for
>        this issue, pixmap size has been limited to 32767x32767.
> =====

Gut, dann waren zu dem Zeitpunkt als ich die changelogs sehen wollte der
Server aus meiner sources.list wahrscheinlich noch nicht repliziert.

> > Aber ich bin mal gespannt, welcher Bug in den xfonts-* Paketen drin war.
> > Weil die nämlich u.a. auch zum Update anstehen.
> 
> Das ist ja das tolle an xfree86:  Alles wird aus _einem_ source Paket
> gebaut.  Wenn du also nur eine winzige Aenderung an irgendeinem X-Paket
> durchfuehren moechtest, selbst wenn es nun Tippfehler in der manpage von
> xterm ist, dann werden alle binary Pakete neu erstellt.  Was anderes ist
> in der Paket-Verwaltung von Debian nicht vorgesehen.

Ja, aber beim Bauen wird doch in einzelne Pakete (xterm,xfonts,...)
aufgesplittet. Warum stellt man jetzt nicht nur _das_ Paket nach
updates/stable was auch wirklich den Fix enthält?

Angenommen, der Fix würde später nach dem Bauen definitiv nur eine
Änderung im xlibs-Paket bewirken. Dann müßte doch nur dieses Paket in
der Packages von update/stable mit einer neuen Minor-Nummer erscheinen -
alle anderen Pakete sind ja von den Depends her nicht betroffen. Und nur
dieses Paket müßte upgedatet werden ohne daß ich mir eine kaputte
Paketverwaltung einhandele.

> Das soll sich demnaechst mit Xorg aendern, weil Xorg modularisiert
> werden soll (oder ist's das schon?), und so das alles auf mehrere source
> Pakete verteilt wird.

Ja gut, aber wir reden hier von Sarge was ja kein Xorg mehr sehen wird.

> > Warum ich jetzt darauf herumreite? Weil ich irgendwie befürchte das ich
> > mir zig Pakete nur aufgrund der Namensänderung ("sarge-1") herunterladen
> > muß die eigentlich identisch zu der schon installierten Version sind.
> 
> Dann setzt die Font-Pakete doch auf Hold, oder sind die Abhaengigkeiten
> zu hart?

Das kann ich natürlich machen. Aber kann ich das auch mit dem xterm
Paket? Mit dieser oder jener lib? Will sagen: mit jedem hold hebele ich
mir mein Paketsystem aus.

Ich kann auch mein apt-dsl Skript anwerfen was mir für alle meine
Rechner eine Download-Liste erstellt mit der ich dann zum Kumpel gehe,
der mit DSL/Flat gesegnet ist.

Aber eigentlich geht es mir dabei ums Prinzip.

Angenommen ich würde mir für beide DSAs (also kdebase und der zu X) nur
die Pakete per Hand aktualisieren, die im Announce zum Download
angegeben werden. Dann habe ich doch ein genauso "sicheres" System als
wenn ich mit apt/aptitude/synaptics/... den ganzen anderen Rattenschwanz
mit aktualisiert hätte.

Das würde aber doch heißen, daß der Update-Mechanismus über apt in
diesen Fällen "Mist" ist. Da er mehr Rücksicht auf namentliche
Gepflogenheiten nimmt statt auf sicherheitsbedingte.


> Yours sincerely,
>   Alexander

Gruß
	Gerhard

-- 
Heute ist das Morgen wovor du gestern Angst hattest...
Reply to: