Re: Sarge: This version of the ClamAV engine is outdated.
Am Donnerstag, den 07.07.2005, 07:11 +0200 schrieb Thomas Weinbrenner:
> Christian Schulte wrote:
> > ein installierter clamav-daemon unter sarge meldet bei der
> > Installation:
>
> [...]
> > LibClamAV Warning: *** This version of the ClamAV engine is outdated.
> [...]
Ein netter und sinnvoller Service, um über Updates zu informieren.
> > Wie halte ich die clamav Pakete auf dem aktuellen Stand ohne weitere
> > Quellen in sources.list eintragen zu müssen ?
>
> Geht nicht. Zumindest eine weitere Quelle müßtest du schon eintragen.
>
> > Ich dachte bisher, dass bei einer stable Installation regelmässig
> > Sicherheitsupdates bereitgestellt werden. Wäre das nicht ein
> > Sicherheitsupdate ?
>
> Nein. Ein Sicherheitsupdate gibt es, wenn in der vorhandenen Version ein
> Fehler gefunden würde, wie z.B.
> http://www.debian.org/security/2005/dsa-737
>
> Aber auch im Fall eines Sicherheitsupdates wird der Fehler in der
> in Sarge vorhandenen Version des Programmes gefixt, es wird keine neuere
> Version des Programmes angeboten.
Das ist die Regel, aber kein Gesetz. Sollte es sich nämlich als sehr
schwierig bis unmöglich erweisen, einen Fix zurück zu portieren, darf
gegen diese Regel verstoßen werden.
> Was du brauchst
*hüstel*
> ist http://volatile.debian.net/, dort gibt es aktuelle
> clamav-Pakete für sarge.
Volatile ist _kein(!)_ offizieller Teil des Debian-Projekts und mit
Backports vergleichbar! Der Einsatz sollte daher gründlich überlegt und
abgewogen werden. Im Falle von ClamAV sehe ich nicht unbedingt
Handlungsbedarf. In diesem speziellen Fall kann der OP sich sogar selbst
ins Knie schießen. Die Volatile-Pakete werden aus den Sid-Quellen
gebaut. In Sid wurde aber ein Fehler, der für einen DoS genutzt werden
kann, noch gar nicht gefixt. Dagegen wurden die Pakete auf security.d.o
gepatcht. Die Volatile-Pakete beherbergen also aktuell eine
Sicherheitslücke
(http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316401).
MfG Daniel
Reply to: