[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sarge: This version of the ClamAV engine is outdated.

Andreas Barth schrieb:
> * Christian Schulte (cs@schulte.it) [050715 10:12]:
> 
>>Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein 
>>Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes 
>>Sicherheitsloch.
> 
> 
> Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile
> nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für
> security.d.o, Sicherheitslöcher in clamav zu schliessen.)

Die Aussage, daß in volatile ein Sicherheitsloch existiert, das in
stable bereits repariert wurde, stammte ursprünglich nicht von mir. Da
ich selber nicht mehr wusste, wem oder was man jetzt glauben kann, hatte
ich die Diskussion kurzzeitig auf debian-volatile verlagert, was dazu
geführt hatte, daß ich unten zitierte Mail erhalten hatte, in der mir
bestätigt wurde, daß die Aussage falsch ist. Meine gesamte Mail inklusiv
aller Fragen hatte ich aber im guten Glauben, daß die Aussage stimmt,
geschrieben.

> 
> 
>>Die Volatile Pakete müssten zeitgleich Sicherheitsupdates erfahren, wie 
>>die Pakete in Stable, sonst hat man gegenüber Stable einfach (zeitliche) 
>>Nachteile. In letzter Konsequenz führt das dazu, daß das Sicherheitsteam 
>>sich ebenfalls um die Volatile-Pakete kümmern müsste und dann könnte man 
>>auch gleich ein vollständiges Sicherheitsupdate in Stable bereitstellen. 
> 
> 
> Spekulationen mögen sich nett anhören, sind aber nicht unbedingt
> hilfreich. Faktisch wurde das stable-security-Update von clamav vom
> volatile-Team gemacht, nicht umgekehrt. Und ja, zwischen volatile- und
> stable-security-Team gibt es Mailaustausch.

Fakten, Fakten, Fakten. Man lese den Thread noch einmal vollständig. Ich
war sowohl mit dem Verweis auf volatile als auch mit volatile selber
völlig zufrieden, bis dann jemand meinte, er wüsste es besser, und von
den faktisch nicht vorhandenen Sicherheitsproblemen berichtete, die dem
Text auf <http://volatile.debian.net> widersprechen. Zwischen den Zeilen
hätte das für mich bedeutet, daß volatile garnicht organisatorisch
funktioniert und ich bin froh, daß ich jetzt das Gegenteil behaupten kann.

[10.07.2005]:

>> It installs cleanly on sarge and introduces a security problem
>> already fixed in sarge by the security team. You get an updated
>> engine which detects more viruses than the sarge version does
>> however.

that's not true.
The security fixes applied by the debian security team to 0.85 were
backported from 0.86.1 .

There is no drawback in using ClamAV packages taken from volatile ATM.


Best regards
Reply to: