Re: Sarge: This version of the ClamAV engine is outdated.

To: Christian Schulte <cs@schulte.it>
Cc: debian-user-german@lists.debian.org
Subject: Re: Sarge: This version of the ClamAV engine is outdated.
From: Andreas Barth <aba@not.so.argh.org>
Date: Fri, 15 Jul 2005 11:03:47 +0200
Message-id: <[🔎] 20050715090347.GK28382@mails.so.argh.org>
Mail-followup-to: Andreas Barth <aba@not.so.argh.org>, Christian Schulte <cs@schulte.it>, debian-user-german@lists.debian.org
In-reply-to: <[🔎] 42CDF85D.4070201@schulte.it>
References: <[🔎] 42CCA56A.9000701@schulte.it> <[🔎] 20050707051108.GA12312@leonardo.thomas-weinbrenner.de> <[🔎] 1120775306.1847.12.camel@localhost> <[🔎] 20050707231854.80738676B0@dd8412.kasserver.com> <[🔎] 42CDCC66.5090909@schulte.it> <[🔎] 20050708021954.B33C3676C1@dd8412.kasserver.com> <[🔎] 42CDF85D.4070201@schulte.it>

* Christian Schulte (cs@schulte.it) [050715 10:12]:
> Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein 
> Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes 
> Sicherheitsloch.

Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile
nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für
security.d.o, Sicherheitslöcher in clamav zu schliessen.)

> Die Volatile Pakete müssten zeitgleich Sicherheitsupdates erfahren, wie 
> die Pakete in Stable, sonst hat man gegenüber Stable einfach (zeitliche) 
> Nachteile. In letzter Konsequenz führt das dazu, daß das Sicherheitsteam 
> sich ebenfalls um die Volatile-Pakete kümmern müsste und dann könnte man 
> auch gleich ein vollständiges Sicherheitsupdate in Stable bereitstellen. 

Spekulationen mögen sich nett anhören, sind aber nicht unbedingt
hilfreich. Faktisch wurde das stable-security-Update von clamav vom
volatile-Team gemacht, nicht umgekehrt. Und ja, zwischen volatile- und
stable-security-Team gibt es Mailaustausch.


> Der Text der Seite beschreibt dann eher den Soll-Zustand, aber nicht den 
> Ist-Zustand der ClamAV-Pakete. Es sind ja gerade eben keine 
> modifizierten Pakete aus Stable sondern Backports aus Unstable. Die 
> Volatile-Pakete verstossen momentan also gegen ihre eigenen Regeln! Ich 
> nehme mal an, daß sie das nicht tun würden, wären es offiziell zu Stable 
> gehörende Pakete. Warum sind es eigentlich keine offiziell zur 
> Distribution gehörenden Pakete ?
> Und ganz nebenbei: Warum hat 
> apt-listbugs mir keine Bugs angezeigt, wenn es im BTS welche für das 
> Paket gibt ?

Welche Bugs wurden explizit gegen volatile geöffnet, und hätten mit dem
Upload geschlossen werden müssen?  apt-listchanges hätte Dir die
geschlossenen Sicherheitslücken gezeigt.


> Ich hätte doch eigentlich während der Installation auf die 
> bekannten Bugs hingewiesen werden müssen.

Siehe apt-listchanges.


(Auf den Rest der Mail spare ich mir zu antworten, da dies im
wesentlichen eine Iteration der obigen Anwürfe ist.)



Grüße,
Andi

Reply to:

Follow-Ups:
- Re: Sarge: This version of the ClamAV engine is outdated.
  - From: Christian Schulte <cs@schulte.it>
- Re: Sarge: This version of the ClamAV engine is outdated.
  - From: Daniel Leidert <daniel.leidert.spam@gmx.net>

References:
- Sarge: This version of the ClamAV engine is outdated.
  - From: Christian Schulte <cs@schulte.it>
- Re: Sarge: This version of the ClamAV engine is outdated.
  - From: Thomas Weinbrenner <thomas@thomas-weinbrenner.de>
- Re: Sarge: This version of the ClamAV engine is outdated.
  - From: Daniel Leidert <daniel.leidert.spam@gmx.net>
- Re: Sarge: This version of the ClamAV engine is outdated.
  - From: "C. Ace Dahlmann" <Ace@Dahlmann.net>
- Re: Sarge: This version of the ClamAV engine is outdated.
  - From: Christian Schulte <cs@schulte.it>
- Re: Sarge: This version of the ClamAV engine is outdated.
  - From: "C. Ace Dahlmann" <Ace@Dahlmann.net>
- Re: Sarge: This version of the ClamAV engine is outdated.
  - From: Christian Schulte <cs@schulte.it>

Prev by Date: Re: Umstieg auf cyrus21
Next by Date: Re: dist-upgrade Frage (wahrscheinlich die 10.000ste :( )
Previous by thread: Re: Sarge: This version of the ClamAV engine is outdated.
Next by thread: Re: Sarge: This version of the ClamAV engine is outdated.
Index(es):
- Date
- Thread