Re: Ist testing ein Sicherheits-Kamikaze? (was: testing vs. stable)

[Adrian Bunk <bunk@fs.tum.de>]

On Tue, Feb 11, 2003 at 08:58:43PM +0100, Ruediger Noack wrote:

> Moin Leute

Hallo Ruediger,

> Adrian Bunk wrote:
> 
> >Aber wenn du z.B. Sicherheitsupdates haben moechtest faehrst du mit
> >testing schlechtestmoeglichst. Von den Updates aus den letzten 70 Debian
> >Security Advisories ist vermutlich noch kein einziges in testing.
> >
> Das Thema testing und Sicherheit kommt ja immer wieder hoch. Ich als 
> 0-8-15-(woody)-User habe dabei den Eindruck, ich habe die 
> Debian-Philosophie nicht verstanden oder ich bitte doch mal um 
> Verhältnismäßigkeit.
> 
> Bei diesen im Grunde berechtigten und sehr massiven Warnungen vor 
> testing könnte man den Eindruck gewinnen, alles andere als es 
> abgeschnitten von der Welt zu betreiben wäre mehr als sträflich.
> Ist es denn aber nicht so, dass es "nur" im Vergleich zu stable und auch 
> unstable unsicher?
> Ist nicht jedes anderes Linux (Suse, Redhat, ...) von Hause aus nie 
> sicherer als testing, von nicht Open-Source-OS gar nicht zu reden?

nein. Es ist immer fahrlaessig wenn du keine Security-Updates 
einspielst.

Fuer jede Linux-Distribution und auch fuer Open-Source-OS gibt es 
Security-Updates (auch unter OS vom M$ betreffen die Probleme wie
SQL Slammer meistens nur Leute die es versaeumt haben Security-Fixes 
einzuspielen).

Fuer Debian stable gibt es Security-Updates auf security.debian.org.

Bei Debian unstable kommen Security-Updates normalerweise sehr schnell 
in unstable.

Vermutlich ist seit ueber einem Vierteljahr kein Security-Update mehr in
testing gekommen (ich bin gerade zu faul jedes einzelne Update zu
ueberpruefen) und die Updates aus ueber 70 Debian Security Advisories
fehlen in testing.

> Ich behaupte mal, Debian wird (wie bei mir) auch recht häufig als reines 
> Desktop-System ohne Serverdienste bzw. ohne Serverdienste für die große 
> weite Welt betrieben. Damit verringert sich das potentielle Risiko 
> natürlich.

Die Security-Updates der letzten Monate die in testing fehlen betreffen 
unter anderem Kerberos, Apache, squirrelmail, Bugzilla, Cyrus IMAPd, 
Bind und Samba. Fuer einige dieser Sicherheitsluecken sind Exploits 
bekannt.

Fuer meinen Geschmack sind die Risiken dadurch nicht nur potentiell 
sondern betraechtlich.

> Weiterhin gehe ich davon aus, dass sich ein Großteil der Leute, die sich 
> für Debian entscheiden, der potentiellen Gefahren durch bösartige 
> Angriffe durchaus bewußt sind und dementsprechend Augen und Ohren offen 
> halten.
> Und und und...

Bei Debian stable reicht es debian-security-announce zu abonnieren und 
ggf. ein passendes Update einzuspielen.

Fuer Debian testing gibt es _keine_ Quelle durch die du erfahren 
koenntest welche Pakete in testing derzeit bekannte Sicherheitsluecken 
haben.

> Also bitte nicht falsch verstehen, besonders du - Adrian - nicht, weil 
> ich ausgerechnet auf dein posting antworte, es ist nicht persönlich 
> gemeint. Ich will das Thema aus Sicht eines Otto-Normalverbrauchers 
> nicht verharmlosen, sondern relativieren. Man könnte das wohl sonst mit 
> der Zeit in den falschen Hals bekommen und das wollen wir alle nicht. ;-)
> 
> Oder ich verstehe die Gefahren von testing (vergleichsweise zu 
> Nicht-Debian-Systemen) wirklich falsch. Dann verbessert mich.

Ich hoffe ich habe dir klargemacht warum es grob fahrlaessig ist testing 
zu verwenden wenn man nicht _genau_ weiss was man tut.

Gruss
Adrian

-- 

       "Is there not promise of rain?" Ling Tan asked suddenly out
        of the darkness. There had been need of rain for many days.
       "Only a promise," Lao Er said.
                                       Pearl S. Buck - Dragon Seed