Re: Merkwürdiges Problem mit Backports
Andreas Gehrke <debian@ndsworld.de> wrote:
> Frank Küster schrieb:
>> Andreas Gehrke <debian@ndsworld.de> wrote:
>>
>>
>>> Inst php5-cli [5.2.0-8~bpo.2] (5.2.0-8+etch1~bpo.1 Backports.org
>>> archive:sarge-backports) []
>>>
>> Wo siehst du etch-backports?
[...]
>> Die Version, die derzeit in etch ist, gibt's mit angehängtem "~bpo.1"
>> als backport für sarge.
>>
>>
>
> Na ja, aber wie man oben sehen kann habe ich 5.2.0-8~bpo.2
> installiert. Warum also muss ich (wenn man auf apt hört) auf einmal
> auf 5.2.0-8+etch1 "updaten", zumal das ja scheinbar die selbe Version
> ist. Nur eben um +etch1 erweitert? Zumal dein findpkg ja auch sagt,
> dass 5.2.0-8+etch1 testing ist und nicht stable.
Natürlich ist es testing. Wenn du Pakete aus stable willst, brauchst du
keine backports.
Also gut, wir wollen auf einem sarge-System backports installieren.
Wenn man die von backports.org nimmt, dann sind das (mit Ausnahme von
security-fixes in besonderen Fällen, oder wenn backports nicht schnell
genug geupdated wird) immer die Versionen, die gerade in testing sind.
Bis vor kurzem gab's in testing 5.2.0-8, in sid aber 5.2.0-10. Offenbar
wurde ein update nötig, das nach testing sollte, aber 5.2.0-10 enthielt
zu große Veränderungen, als dass die release-manager das durchgelassen
hätten.
Also wurde ein Paket, das nur die für etch bestimmten Änderungen
enthält, nach testing-propose-updates hochgeladen und akzeptiert, jetzt
ist es in etch. Die Versionsnummer für testing-proposed-updates muss
kleiner sein als die in unstable und natürlich größer als die alte in
etch, und es muss eine sein, die es noch nicht gab (also nicht -9).
Es ist üblich und sinnvoll, das "extra für etch gemacht" auch in der
Versionsnummer zu speichern, daher wird von 5.2.0-8 auf 5.2.0-8+etch1
erhöht.
> Ich verstehe was du meinst aber mir leuchtet es noch nicht ein. Und
> ich möchte gerne verstehen wieso es so ist.
Alle Klarheiten beseitigt?
> Oder ist meine Aussage, dass es eigentlich die selben Versionen sind
> bereits eine Falschaussage?
Schauen wir uns das doch mal an:
http://packages.debian.org/cgi-bin/search_packages.pl?keywords=php5-common&searchon=names&subword=1&version=testing&release=all
(ich habe also nach php5-common in testing gesucht) gibt nur ein Paket,
draufklicken, runterscrollen und auf "Debian changelog" klicken:
php5 (5.2.0-8+etch1) testing-proposed-updates; urgency=high
[ sean finney ]
* Rebuild of 5.2.0-10 targeted at etch.
* The following security issues are addressed with this update:
- CVE-2007-0906: Multiple buffer overflows in various code:
* session (116-CVE-2007-0906_session.patch)
* streams (116-CVE-2007-0906_streams.patch)
* imap (116-CVE-2007-0906_imap.patch)
* str_replace: (116-CVE-2007-0906_string.patch)
* interbase: (116-CVE-2007-0906_interbase.patch)
* zip: (116-CVE-2007-0906_zip.patch)
* the sqlite and mail related vulnerabilities in this CVE do not
affect the php5 source packages.
- CVE-2007-0907: sapi_header_op buffer underflow (116-CVE-2007-0907.patch)
- CVE-2007-0908: wddx information disclosure (116-CVE-2007-0908.patch)
- CVE-2007-0909: More buffer overflows:
* the odbc_result_all function (116-CVE-2007-0909_odbc.patch)
* various formatted print functions (116-CVE-2007-0909_print.patch)
- CVE-2007-0910: Clobbering of super-globals (116-CVE-2007-0910.patch)
- CVE-2007-0988: 64bit unserialize DoS (116-CVE-2007-0988.patch)
* The package maintainers would like to thank Joe Orton from redhat and
Martin Pitt from ubuntu for their help in preparation of this update.
* backport upstream fix for AUTH PLAIN support in imap extension
-- sean finney <seanius@debian.org> Thu, 08 Mar 2007 00:03:22 +0100
Man sieht, dass da einige Änderungen im Vergleich zu 5.2.0-8 drin sind.
Die CVE-Nummern sind alles Sicherheitslücken, siehe
http://cve.mitre.org/cve/index.html.
Der Grund, warum 5.2.0-10 nicht nach etch konnte, sind wahrscheinlich
Bibliotheken: Wenn man php5 in unstable kompiliert, wo es
libfoo-dev_$sidversion mit neuen Features im Vergleich zur $etchversion
gibt, dann ist das Paket dann von libfoo (>= $sidversion) abhängig.
Wenn nun ausgeschlossen ist, dass libfoo noch nach etch wandert, kann
das in unstable kompilierte Paket nie nach etch kommen. Also muss man
es nach testing-proposed-updates hochladen und mit libfoo-dev aus
testing kompilieren.
Das ganze natürlich nur, wenn libfoo (im konkreten Fall ist es libgd2,
siehe http://bjorn.haxx.se/debian/testing.pl?package=php5) neue Features
hat, die eine Erhöhung der Version in den Depends-Zeilen bedingt.
Gruß, Frank
--
Dr. Frank Küster
Single Molecule Spectroscopy, Protein Folding @ Inst. f. Biochemie, Univ. Zürich
Debian Developer (teTeX/TeXLive)
Reply to: