Re: CVS-update?
Hi!
On Sat, 30 Apr 2005 18:00:17 +0200, Bertram Scharpf wrote:
> Am Samstag, 30. Apr 2005, 14:47:11 +0200 schrieb Michael Koch:
>> On Sat, Apr 30, 2005 at 03:24:06PM +0200, Bertram Scharpf wrote:
>
>> > Bei CVS kamen dieser Tag die Updates 1.12.12 und 1.11.20; das zu
>> > schließende Sicherheitsloch scheint recht kritisch gewesen zu sein.
>
>> > Wann kann man bei Woody/Sarge damit rechnen? Was ist so schwierig
>> > daran?
>>
>> Die Fixes sind doch in 1.11.1p1debian-10 schon drin. Was dein Problem?
>> Es ist halt der Debian Weg nicht einfach neue Versionen in eine stable
>> Distribution zu packen sondern nur die wichtigen Fixes
>> zurueckzuportieren.
>
> Ah, das wußte ich nicht. Danke.
Aus dem Debian-Sicherheitshandbuch: "Die wichtigste Regel beim Erstellen
eines neuen Pakets, das ein Sicherheitsproblem behebt, ist, so wenig
Änderungen wie möglich vorzunehmen. Unsere Benutzer und Entwickler
vertrauen auf das genaue Verhalten einer Veröffentlichung nach dessen
Freigabe. Daher kann jede Änderung, die wir durchführen, möglicherweise
das System von jemandem zerstören. Dies gilt insbesondere für
Bibliotheken: Es muss darauf geachtet werden, dass sich das
Anwendungs-Programm-Interface (API) oder Anwendungs-Binär-Interface (ABI)
niemals ändert, egal wie klein die Änderung ist.
Dies bedeutet, dass das Umsteigen auf eine neue Version der
Originalprogramms keine gute Lösung ist und stattdessen die relevanten
Änderungen zurückportiert werden sollten." [1]
Tschüss,
Simon
[1]
http://www.de.debian.org/doc/manuals/securing-debian-howto/ch11.de.html#s-debian-sec-team-faq
--
pub 1024D/5781B453 2003-09-14 Simon Brandmair <sbrandmair@gmx.net>
Primary key fingerprint: 2A47 DD6D ABC5 414A FA87 ABF5 1E15 B86B 5781 B453
Reply to: