Re: Sarge: This version of the ClamAV engine is outdated.
* Christian Schulte (cs@schulte.it) [050715 10:12]:
> Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein
> Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes
> Sicherheitsloch.
Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile
nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für
security.d.o, Sicherheitslöcher in clamav zu schliessen.)
> Die Volatile Pakete müssten zeitgleich Sicherheitsupdates erfahren, wie
> die Pakete in Stable, sonst hat man gegenüber Stable einfach (zeitliche)
> Nachteile. In letzter Konsequenz führt das dazu, daß das Sicherheitsteam
> sich ebenfalls um die Volatile-Pakete kümmern müsste und dann könnte man
> auch gleich ein vollständiges Sicherheitsupdate in Stable bereitstellen.
Spekulationen mögen sich nett anhören, sind aber nicht unbedingt
hilfreich. Faktisch wurde das stable-security-Update von clamav vom
volatile-Team gemacht, nicht umgekehrt. Und ja, zwischen volatile- und
stable-security-Team gibt es Mailaustausch.
> Der Text der Seite beschreibt dann eher den Soll-Zustand, aber nicht den
> Ist-Zustand der ClamAV-Pakete. Es sind ja gerade eben keine
> modifizierten Pakete aus Stable sondern Backports aus Unstable. Die
> Volatile-Pakete verstossen momentan also gegen ihre eigenen Regeln! Ich
> nehme mal an, daß sie das nicht tun würden, wären es offiziell zu Stable
> gehörende Pakete. Warum sind es eigentlich keine offiziell zur
> Distribution gehörenden Pakete ?
> Und ganz nebenbei: Warum hat
> apt-listbugs mir keine Bugs angezeigt, wenn es im BTS welche für das
> Paket gibt ?
Welche Bugs wurden explizit gegen volatile geöffnet, und hätten mit dem
Upload geschlossen werden müssen? apt-listchanges hätte Dir die
geschlossenen Sicherheitslücken gezeigt.
> Ich hätte doch eigentlich während der Installation auf die
> bekannten Bugs hingewiesen werden müssen.
Siehe apt-listchanges.
(Auf den Rest der Mail spare ich mir zu antworten, da dies im
wesentlichen eine Iteration der obigen Anwürfe ist.)
Grüße,
Andi
Reply to: