Re: Debian 2.2 的安全性問題

[Anthony Fok <foka@debian.org>]

On Thu, Aug 31, 2000 at 12:23:33PM +0800, Dominie Liang wrote:
> http://www.securityportal.com/closet/
> 
> 大家會同意作者的看法嗎？看完全文後使我有一點點驚訝.....

　　Debian 沒有包裝新版的 Apache 和 ProFTPD，而是把 security fix
"backport" 至 Debian frozen 裡的版本，所以這兩個套件和其他都沒有
安全漏洞。這個如果您再 reload http://www.securityportal.com/closet/ 網頁，
您會發現作者已經承認報導有誤，錯怪了 Debian，向大家道歉了。

　　至於其他各點，有很多是見仁見智的。 inetd 那些 daytime、time、
discard 的東西，完全不會造成任何安全漏洞。至於說 "r" 在 /etc/inetd.conf
打開了，這個本來就是沒有打開的。但聽說 tasks-x-windows-??? 依賴的套件之中，
有個安裝後會加了這行 "r" 進去，這個 Debian 的人員會儘快修正，
在幾星期後 Debian 2.2r1 出來以前，解決這個問題。

　　他和一些 Slashdot 讀者說得對的，是 www.debian.org/security
上沒有提及更新了的 Netscape 4.75 和 xchat 1.4.3。如果您有留意
這裡 debian-chinese-{big5,gb} 的報導，相信您已經知道一個多星期
前 Debian 已經有 4.75 的套件了。至於修正了 URL exploit 的
xchat 1.4.3，也在幾天前上傳了。（是我上傳的。 ;-)
如果您的 /etc/apt/sources.list 裡面有這行：

    deb http://http.us.debian.org/debian dists/proposed-updates/

(http.us.debian.org 即 ftp1.us.debian.org)，您如常 apt-get update、
apt-get upgrade 後，您的系統就已經有安全的 Netscape 和 X-Chat 了。
問題出在 www.debian.org/security 上沒有公佈，而好像這些安全更新
也未放入

    deb http://security.debian.org/ potato/updates main contrib non-free

大概是因為有些 i386 以外平台的套件未包好，或是 Security 小組的人員
未寫好 Debian Security Advisory 等等。 Wichert Akkerman (Debian 計劃領袖)
昨天 (August 30) 終於寫好了關於 xchat 和 ntop 的 Advisories，
而我也剛剛「客串」把它們加上 www.debian.org/security 了。
我們也會把 Netscape 的 security advisory 儘快補充上去。

　　其實，Debian 修正安全漏洞的速度，一般都是相當快的。
例如一兩天前剛發現的 glibc (ld.so) 的漏洞，Debian 昨天已經
預備好新的 *.deb 包了。我們今後要注意的，大概是要第一時間
宣佈給大家知道。

					東東

-- 
Anthony Fok Tung-Ling                Civil and Environmental Engineering
foka@ualberta.ca, foka@debian.org    University of Alberta, Canada
Debian Chinese Project -- http://www.debian.org/international/chinese/
Come visit Our Lady of Victory Camp -- http://www.olvc.ab.ca/