Re: Geen security.debian.org gebruiken

To: debian-user-dutch@lists.debian.org
Subject: Re: Geen security.debian.org gebruiken
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Wed, 16 Sep 2009 13:05:17 +0200
Message-id: <[🔎] 4AB0C66D.3040200@vandervlis.nl>
In-reply-to: <[🔎] 4AB0B816.1030105@tilanus.com>
References: <[🔎] 4AAF9EDD.2020304@vandervlis.nl> <[🔎] 4AAFA881.4010200@xs4all.nl> <[🔎] 4AB09EB2.6080601@vandervlis.nl> <[🔎] 4AB0B816.1030105@tilanus.com>

Winfried Tilanus schreef:
> On 09/16/2009 Paul van der Vlis wrote:
> 
> Hoi,
> 
>> Na hoeveel dagen komen security-updates toch in stable terecht als je
>> geen regel met "security.debian.org" in je sources.list hebt staan?
> 
> Bij de volgende update van stable.

Ah, dan heb ik Heiko verkeerd begrepen...

>> Ik ben eigenlijk al lang op zoek naar een methode om sommige systemen
>> sneller te kunnen voorzien van security-updates dan andere systemen,
>> waarbij die eerste systemen dan een soort praktijktest vormen voor de
>> andere.
> 
> Ik denk dat je de verkeerde kant op denkt. Niets belet je om te wachten
> met je "aptitude upgrade" tot je op een ander systeem de upgrade
> voldoende getest hebt. En als er meerdere updates in de rij staan, kan
> je een van de packages updaten met: "aptitude install <paketnaam>"

Daar valt over na te denken, maar ik verwacht dat het lastig werkt.

> Of om het anders te zeggen: zeker in een (bedrijfskritische) productie
> omgeving is er veel voor te zeggen om ook security-updates niet direct
> te installeren, maar eerst te testen (of af te wachten of anderen
> problemen ondervinden). Maar als je niet klakkeloos de updates van
> security.debian.org wilt overnemen, dan kom je in het edelere handwerk
> terecht. Automatische 'patch-management' werkt dan niet meer.
> 
> Wanneer dat moment is dat je je productie omgeving gaat upgraden, is
> namelijk niet algemeen te zeggen. In een 0-day situatie waarbij er een
> remote command execution is die al veel misbruikt wordt, zou ik
> bijvoorbeeld veel sneller upgraden dan bij een lokaal
> veiligheidsprobleem waar nog geen exploits voor bekend zijn.

Inderdaad, maar een default met een paar dagen verschil zou mooi zijn.
In de praktijk komen 0-day situaties gelukkig niet vaak voor.

> Ook zou ik bijvoorbeeld op de chatservers die ik beheer een upgrade aan
> de xmpp-library die ik gebruik veel beter testen dan een upgrade aan de
> mailserver die op die machines 'alleen maar' dient voor het forwarden
> van berichten aan root.

Klopt.

Met vriendelijke groet,
Paul van der Vlis.




-- 
http://www.vandervlis.nl/

Reply to:

References:
- Proposed updates
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: Proposed updates
  - From: Heiko Noordhof <heiko.noordhof@xs4all.nl>
- Geen security.debian.org gebruiken (was: Proposed updates)
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: Geen security.debian.org gebruiken
  - From: Winfried Tilanus <winfried@tilanus.com>

Prev by Date: Re: Geen security.debian.org gebruiken (was: Proposed updates)
Next by Date: Re: Geen security.debian.org gebruiken
Previous by thread: Re: Geen security.debian.org gebruiken
Next by thread: Re: Geen security.debian.org gebruiken (was: Proposed updates)
Index(es):
- Date
- Thread