[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ubuntu als server i.p.v. Debian

Op 20-03-15 om 10:09 schreef Wouter Verhelst:
> On Thu, Mar 19, 2015 at 09:46:28PM +0100, Paul van der Vlis wrote:
>> Daar heb je wel een punt. Ubuntu geeft wel degelijk 5 jaar support op de
>> desktop. Voor een beperkt aantal packages welliswaar, maar toch.
> 
> Die support is ook niet absoluut.
> 
> Voor CVE-2013-6410 in mijn package nbd-server was, toen ik het de
> laatste keer nakeek, nog altijd geen security upload gedaan binnen
> Ubuntu. Toegegeven, impact is redelijk klein, en het is niet onredelijk
> om dat lagere prioriteit te geven. Maar in twee jaar tijd zou dat in
> theorie toch wel moeten lukken.

Inderdaad, wellicht is het niet perfect. Maar dergelijke dingen zijn
vast ook bij Debian te vinden.

Leuk te weten dat jij dat bent, ik gebruik nbd-client.

> (14.04 LTS heeft de bug niet meer, wegens "update via Debian"; maar
> 12.04 LTS wél)
> 
> [...]
>> -----------
>> Lenny, release 14 februar 2009
>> Iceweasel support for oldstable stopped at 24 Mar 2009:
>> https://www.debian.org/security/2009/dsa-1753
>> No secure alternative browser available so far I know
>> Icedove support for oldstable stopped at 12 Jul 2009:
>> https://www.debian.org/security/2009/dsa-1830
> 
> Lenny wordt helemaal niet meer ondersteunt, zelfs niet als oldstable of
> als LTS, dus dat is niet echt relevant.

Het was echter heel relevant op 24 maart 2009. Toen was opeens de
desktop van Lenny niet veilig meer. En dat terwijl Squeeze nog maar net
uit was.

>> Squeeze, release 6 Februar 2011
>> Icedove security support for oldstable stopped at 09 Mar 2011:
>> https://www.debian.org/security/2011/dsa-2187
>> Iceweasel security support for oldstable unclear, I don't see any
>> security updates for iceweasel/xulrunner/libmoz* in oldstable after
>> Squeeze release, and no secure alternative browser
> 
> Squeeze LTS bestaat, maar het is nog niet echt aan te raden voor desktop
> usage. Momenteel werkt het zo:
> 
> Sponsors betalen het squeeze-LTS team. Die sponsors kunnen dan opgeven
> waarop de focus gezet moet worden. De packages waarvoor de sponsors
> betalen, worden eerst geüpdated. Eens dat gebeurd is, en als er nog tijd
> over is, dan wordt ook naar andere packages gekeken.
> 
> Als je updated icedove packages wilt voor squeeze: word sponsor!

Ik heb het hier over 9 maart 2011. Toen bestond het LTS team nog niet.

>> Wheezy, release 4 May 2013
>> The security support of Iceweasel for oldstable stopped at 26 Jun 2013:
>> https://www.debian.org/security/2013/dsa-2788
>> The security supoort of Chromium for oldstable stopped at 29 May 2013:
>> https://www.debian.org/security/2013/dsa-2695
> 
> Voor alle duidelijkheid: de "oldstable" in deze paragraaf verwijst hier
> naar "squeeze", niet naar "wheezy". 

Precies, maar op 29 mei 2013 gebruikte ik dat nog bij vele klanten.
Wheezy was immers nog maar net uit op dat moment.

> Voor wheezy is er wél nog security
> support voor iceweasel/icedove. Dat gebeurt niet door het updaten van de
> oudere browser-versie, maar wel door een upstream update.
> 
>> Jessie, release in the future
>> The security support of Chromium for stable stopped at 31 Jan 2015:
>> https://www.debian.org/security/2015/dsa-3148
>>
>> So after a few months, the oldstable desktop is not secure anymore.
> 
> ... maar er valt wel iets aan te doen.

Ik heb het gevoel dat desktop support van oldstable niet zo'n hoge
prioriteit heeft jammer genoeg.

Groet,
Paul.


-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl
Reply to: