C. Ace Dahlmann schrieb: > [Sicherheitsupdate]
Jedoch: Wird das je passieren? Denn so wie ich die heiligen debian-Regeln bisher verstanden habe, ist dies nicht möglich.
Ganz stumpf: Warum nicht ? Wo kann man _diese_ Regeln nachlesen ?
und das volatile Projekt wäre daher überflüssig!Eben! AFAIK ist volatile aber genau für diese Dinge gedacht. Wofür sollte es sonst gut sein, wenn man es andererseits eigentlichnicht einsetzen soll (auf einem Stable-System)!?Und ganz oben auf volatile.debian.net steht:
[...]
The main issue of volatile is to allow system administrators to update their systems in a nice, consistent way without getting the drawbacks of using unstable, even without getting the drawback for the selected packages.
[...]
Und was den Vergleich mit den Backports angeht - drei Zeilen weiter unten steht: volatile is not "just another place" for backports, but should only contain changes to stable programs that are necessary to keep them functional;
Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes Sicherheitsloch. Das hätte ich zunächst nicht erwartet. Jemand, der Volatile Pakete benutzt, sollte sich darum keinen Kopf machen müssen. Die Volatile Pakete müssten zeitgleich Sicherheitsupdates erfahren, wie die Pakete in Stable, sonst hat man gegenüber Stable einfach (zeitliche) Nachteile. In letzter Konsequenz führt das dazu, daß das Sicherheitsteam sich ebenfalls um die Volatile-Pakete kümmern müsste und dann könnte man auch gleich ein vollständiges Sicherheitsupdate in Stable bereitstellen. Der Text der Seite beschreibt dann eher den Soll-Zustand, aber nicht den Ist-Zustand der ClamAV-Pakete. Es sind ja gerade eben keine modifizierten Pakete aus Stable sondern Backports aus Unstable. Die Volatile-Pakete verstossen momentan also gegen ihre eigenen Regeln! Ich nehme mal an, daß sie das nicht tun würden, wären es offiziell zu Stable gehörende Pakete. Warum sind es eigentlich keine offiziell zur Distribution gehörenden Pakete ? Und ganz nebenbei: Warum hat apt-listbugs mir keine Bugs angezeigt, wenn es im BTS welche für das Paket gibt ? Ich hätte doch eigentlich während der Installation auf die bekannten Bugs hingewiesen werden müssen.
Wie ich diesem Thread entnehmen kann, habe ich durch die volatile Pakete jetzt zwar eine aktuelle Scan-Engine, dafür aber auch direkt ein Sicherheitsloch, daß in Sarge bereits geschlossen ist.Naja, ich denke, soo oft wird das nicht vorkommen, oder!? Und wenn in der aktuellen Version eine Sicherheitslücke ist, wird, nachdem sie geschlossen worden ist, sicher bald die gepatchte Version nach Volatile kommen. Da hab ich lieber für ein paar Tage eine nicht perfekte Programm-Version, dafür aber eine aktuelle Scan-Engine. LG, Ace
Ich würde mich auch für die aktuellere Scan-Enginge entscheiden. Das liegt halt in der Natur der (Viren-)Dinge. Ein Virenscanner, der zwar die performanteste Scan-Engine hat, diese Engine aber immer eine Woche hinter den aktuellen Viren hinterher hängt, macht einfach keinen Sinn. Will man wirklich auf Nummer sicher gehen, müsste man eigentlich jede Minute die Viren-Definitionen aktualisieren. Kommt ein neuer Virus, der z.B. format c: ausführt in Umlauf, dann wird man niemandem erklären können, daß dieser Virus einfach zu schnell war, bevor _Debian_ ihn erkannt hätte. Natürlich hat man dasselbe Problem, wenn der Virus noch garnicht in irgendwelchen Viren-Definitionen existiert. Ist die Platte erstmal leer, dann sollte man sagen können, daß der Virus noch nicht bekannt war. Man sollte aber nicht sagen _müssen_, daß wegen einer veralteten Debian-Version der Virus nicht erkannt werden konnte, obwohl die aktuelleste Version des Scanners das gekonnt hätte. Dann wird man nicht mehr argumentieren können, warum man eigentlich Debian einsetzt, weil dann jeder fragen wird, warum man nicht die aktuellste Version eingesetzt hat und das will man dann auch niemandem erklären müssen.
Volatile ist schon ein Schritt in die richtige Richtung. Solange man den Volatile-Paketen aber nicht genauso vertrauen kann, wie den Paketen in Stable, sollte man die Finger davon lassen. Genau das ist bei mir jetzt passiert. Ich traue den Volatile-Paketen, obwohl ich sie erst seit wenigen Stunden kenne, nicht mehr über den Weg. Nicht zuletzt, weil apt-listbugs sie stillschweigend installieren ließ, obwohl ein vom Sicherheitsteam repariertes Problem bereits im BTS bekannt war. Zumindest das hätte nicht passieren dürfen. Wäre ich in diesem Thread nicht auf die bekannten Probleme (DANKE) hingewiesen worden, hätte ich die Volatile-Pakete installiert und nie erfahren, daß sie nicht mit dem Stand des Sicherheitsteams übereinstimmen. Ich gehe davon aus, daß apt-listbugs nichts angemeckert hat, weil das Sicherheitsteam die entsprechenden Bugs um BTS als erledigt markiert hatte. Volatile ohne direkte Absprache zwischen Sicherheitsteam und Volatile-Maintainern ist also sowieso unmöglich und da beißt sich die Katze in den Schwanz.
-- Christian