Re: Debian 2.2 的安全性问题
On Thu, Aug 31, 2000 at 12:23:33PM +0800, Dominie Liang wrote:
> http://www.securityportal.com/closet/
>
> 大家会同意作者的看法吗?看完全文后使我有一点点惊讶.....
Debian 没有包装新版的 Apache 和 ProFTPD,而是把 security fix
"backport" 至 Debian frozen 里的版本,所以这两个套件和其他都没有
安全漏洞。这个如果您再 reload http://www.securityportal.com/closet/ 网页,
您会发现作者已经承认报导有误,错怪了 Debian,向大家道歉了。
至于其他各点,有很多是见仁见智的。 inetd 那些 daytime、time、
discard 的东西,完全不会造成任何安全漏洞。至于说 "r" 在 /etc/inetd.conf
打开了,这个本来就是没有打开的。但听说 tasks-x-windows-??? 依赖的套件之中,
有个安装后会加了这行 "r" 进去,这个 Debian 的人员会尽快修正,
在几星期后 Debian 2.2r1 出来以前,解决这个问题。
他和一些 Slashdot 读者说得对的,是 www.debian.org/security
上没有提及更新了的 Netscape 4.75 和 xchat 1.4.3。如果您有留意
这里 debian-chinese-{big5,gb} 的报导,相信您已经知道一个多星期
前 Debian 已经有 4.75 的套件了。至于修正了 URL exploit 的
xchat 1.4.3,也在几天前上传了。(是我上传的。 ;-)
如果您的 /etc/apt/sources.list 里面有这行:
deb http://http.us.debian.org/debian dists/proposed-updates/
(http.us.debian.org 即 ftp1.us.debian.org),您如常 apt-get update、
apt-get upgrade 后,您的系统就已经有安全的 Netscape 和 X-Chat 了。
问题出在 www.debian.org/security 上没有公布,而好像这些安全更新
也未放入
deb http://security.debian.org/ potato/updates main contrib non-free
大概是因为有些 i386 以外平台的套件未包好,或是 Security 小组的人员
未写好 Debian Security Advisory 等等。 Wichert Akkerman (Debian 计划领袖)
昨天 (August 30) 终于写好了关于 xchat 和 ntop 的 Advisories,
而我也刚刚「客串」把它们加上 www.debian.org/security 了。
我们也会把 Netscape 的 security advisory 尽快补充上去。
其实,Debian 修正安全漏洞的速度,一般都是相当快的。
例如一两天前刚发现的 glibc (ld.so) 的漏洞,Debian 昨天已经
预备好新的 *.deb 包了。我们今后要注意的,大概是要第一时间
宣布给大家知道。
东东
--
Anthony Fok Tung-Ling Civil and Environmental Engineering
foka@ualberta.ca, foka@debian.org University of Alberta, Canada
Debian Chinese Project -- http://www.debian.org/international/chinese/
Come visit Our Lady of Victory Camp -- http://www.olvc.ab.ca/
--
| This message was re-posted from debian-chinese-big5@lists.debian.org
| and converted from big5 to gb2312 by an automatic gateway.
Reply to: