Re: Das Problem mit SID

To: debian-user-german@lists.debian.org
Subject: Re: Das Problem mit SID
From: "Elmar W. Tischhauser" <tischhau@rbg.informatik.tu-darmstadt.de>
Date: Mon, 31 May 2004 12:36:45 +0200
Message-id: <[🔎] 20040531103645.GA668@diomedes.tischhauser.org>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 200405311118.03414.peter.kuechler@gmx.de>
References: <[🔎] 20040529162532.0036c1f9.mauricex@gmx.net> <[🔎] 200405302011.52698.peter.kuechler@gmx.de> <[🔎] 20040530200417.GA2928@morpheus> <[🔎] 200405311118.03414.peter.kuechler@gmx.de>

Hallo!

On 31 May 2004 at 11:18 +0200, Peter Kuechler wrote:

> Am Sonntag, 30. Mai 2004 22:04 schrieb Andreas Pakulat:

> > Ja und bei Sid musst du selber Patchen oder hoffen das der
> > Maintainer nicht schlaeft und nen fix bereitstellt...
> 
> Du scheinst keine besonders hohe Meinung über die Entwickler zu
> haben...  Es liegt schon in ihrem eigenen Interesse, solche
> Sicherheitslöcher in ihrem aktuellen Code zu stopfen, findest Du
> nicht? 

Ich glaube, dass Andreas eher Folgendes gemeint hat: Es ist (z.B. wegen
Krankheit, Urlaub, ...) möglich, dass der Zeitpunkt, zu dem in sid
gefixte Pakete auftauchen, deutlich hinter dem
Veröffentlichungszeitpunkt der Fixes durch die Upstream-Autoren liegt.

Und das ist ein Fall, den man durchaus berücksichtigen muss. Zum
Beispiel, indem man (wo ihr beide euch wohl einig seid) bei Bedarf die
betroffenen Pakete selbst aktualisiert.

> Es muß doch jedem einleuchten, das an einen Rechner, der Dienste ins
> Internet zur Verfügung stellt, ander Anforderungen gestellt werden wie
> an einen Rechner, der solchen Gefahren nicht direkt ausgesetzt ist.

Daraus ergibt sich in der Tat eine deutlich geringere Gefährdung.

Trotzdem ist natürlich im Auge zu behalten, dass potenziell jede
Anwendung, die Daten aus nicht unter deiner Kontrolle liegenden Quellen
verarbeitet, ein Einsprungpunkt für den Angreifer sein kann. Und sei es,
indem er speziell präpariert E-Mails schickt, an denen sich der MUA auf
den Clientrechnern verschluckt.

Das alles hat nun aber mit der Wahl unstable/stable nur wenig zu tun.
Bei stable hat man den Vorteil, dass das Security-Team in der Regel sehr
prompt kompetent gefixte Pakete verteilt. Bei unstable gibt es diesen
Service halt nicht, da muss man eben selbst ein Auge auf kritische
Anwendungen haben und im Einzelfall entscheiden, ob man noch auf das
neue sid-Paket warten kann oder dringend selbst Hand anlegen muss.

Gruß,
Elmar

-- 
[ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ]
·······································································
  An apple a day makes 365 apples a year.

Attachment: pgpf_mptwmgBL.pgp
Description: PGP signature

Reply to:

References:
- Das Problem mit SID
  - From: Maurice <mauricex@gmx.net>
- Re: Das Problem mit SID
  - From: Peter Kuechler <peter.kuechler@gmx.de>
- Re: Das Problem mit SID
  - From: Andreas Pakulat <apaku@gmx.de>
- Re: Das Problem mit SID
  - From: Peter Kuechler <peter.kuechler@gmx.de>

Prev by Date: Re: Wer benutzt GNUSTEP und hat Erfahrungswerte?
Next by Date: KDM pen pidfile: /var/run/kdm.pid input/output error allready running
Previous by thread: Re: Das Problem mit SID
Next by thread: Re: Das Problem mit SID
Index(es):
- Date
- Thread