Re: Merkwürdiges Problem mit Backports

To: debian-user-german@lists.debian.org
Subject: Re: Merkwürdiges Problem mit Backports
From: Frank Küster <frank@debian.org>
Date: Fri, 16 Mar 2007 20:57:00 +0100
Message-id: <[🔎] 87d53955df.fsf@riesling.zuerich.kuesterei.ch>
In-reply-to: <[🔎] 45FAD840.1050501@ndsworld.de> (Andreas Gehrke's message of "Fri\, 16 Mar 2007 18\:47\:44 +0100")
References: <[🔎] 45FAC1EA.9080506@ndsworld.de> <[🔎] 87odmtnlvs.fsf@riesling.zuerich.kuesterei.ch> <[🔎] 45FAD840.1050501@ndsworld.de>

Andreas Gehrke <debian@ndsworld.de> wrote:

> Frank Küster schrieb:
>> Andreas Gehrke <debian@ndsworld.de> wrote:
>>
>>   
>>> Inst php5-cli [5.2.0-8~bpo.2] (5.2.0-8+etch1~bpo.1 Backports.org
>>> archive:sarge-backports) []
>>>     
>> Wo siehst du etch-backports?  
[...]
>> Die Version, die derzeit in etch ist, gibt's mit angehängtem "~bpo.1"
>> als backport für sarge.
>>
>>   
>
> Na ja, aber wie man oben sehen kann habe ich 5.2.0-8~bpo.2
> installiert. Warum also muss ich (wenn man auf apt hört) auf einmal
> auf 5.2.0-8+etch1 "updaten", zumal das ja scheinbar die selbe Version
> ist. Nur eben um +etch1 erweitert? Zumal dein findpkg ja auch sagt,
> dass 5.2.0-8+etch1 testing ist und nicht stable.

Natürlich ist es testing.  Wenn du Pakete aus stable willst, brauchst du
keine backports.  

Also gut, wir wollen auf einem sarge-System backports installieren.
Wenn man die von backports.org nimmt, dann sind das (mit Ausnahme von
security-fixes in besonderen Fällen, oder wenn backports nicht schnell
genug geupdated wird) immer die Versionen, die gerade in testing sind.

Bis vor kurzem gab's in testing 5.2.0-8, in sid aber 5.2.0-10.  Offenbar
wurde ein update nötig, das nach testing sollte, aber 5.2.0-10 enthielt
zu große Veränderungen, als dass die release-manager das durchgelassen
hätten.

Also wurde ein Paket, das nur die für etch bestimmten Änderungen
enthält, nach testing-propose-updates hochgeladen und akzeptiert, jetzt
ist es in etch.  Die Versionsnummer für testing-proposed-updates muss
kleiner sein als die in unstable und natürlich größer als die alte in
etch, und es muss eine sein, die es noch nicht gab (also nicht -9).  

Es ist üblich und sinnvoll, das "extra für etch gemacht" auch in der
Versionsnummer zu speichern, daher wird von 5.2.0-8 auf 5.2.0-8+etch1
erhöht. 

> Ich verstehe was du meinst aber mir leuchtet es noch nicht ein. Und
> ich möchte gerne verstehen wieso es so ist.

Alle Klarheiten beseitigt?

> Oder ist meine Aussage, dass es eigentlich die selben Versionen sind
> bereits eine Falschaussage?

Schauen wir uns das doch mal an:

http://packages.debian.org/cgi-bin/search_packages.pl?keywords=php5-common&searchon=names&subword=1&version=testing&release=all

(ich habe also nach php5-common in testing gesucht) gibt nur ein Paket,
draufklicken, runterscrollen und auf "Debian changelog" klicken:

 php5  (5.2.0-8+etch1) testing-proposed-updates; urgency=high

   [ sean finney ]
   * Rebuild of 5.2.0-10 targeted at etch.
   * The following security issues are addressed with this update:
     - CVE-2007-0906: Multiple buffer overflows in various code:
       * session (116-CVE-2007-0906_session.patch)
       * streams (116-CVE-2007-0906_streams.patch)
       * imap (116-CVE-2007-0906_imap.patch)
       * str_replace: (116-CVE-2007-0906_string.patch)
       * interbase: (116-CVE-2007-0906_interbase.patch)
       * zip: (116-CVE-2007-0906_zip.patch)
       * the sqlite and mail related vulnerabilities in this CVE do not
         affect the php5 source packages.
     - CVE-2007-0907: sapi_header_op buffer underflow (116-CVE-2007-0907.patch)
     - CVE-2007-0908: wddx information disclosure (116-CVE-2007-0908.patch)
     - CVE-2007-0909: More buffer overflows:
       * the odbc_result_all function (116-CVE-2007-0909_odbc.patch)
       * various formatted print functions (116-CVE-2007-0909_print.patch)
     - CVE-2007-0910: Clobbering of super-globals (116-CVE-2007-0910.patch)
     - CVE-2007-0988: 64bit unserialize DoS (116-CVE-2007-0988.patch)
   * The package maintainers would like to thank Joe Orton from redhat and
     Martin Pitt from ubuntu for their help in preparation of this update.
   * backport upstream fix for AUTH PLAIN support in imap extension

 -- sean finney <seanius@debian.org>  Thu, 08 Mar 2007 00:03:22 +0100 

Man sieht, dass da einige Änderungen im Vergleich zu 5.2.0-8 drin sind.
Die CVE-Nummern sind alles Sicherheitslücken, siehe
http://cve.mitre.org/cve/index.html. 

Der Grund, warum 5.2.0-10 nicht nach etch konnte, sind wahrscheinlich
Bibliotheken: Wenn man php5 in unstable kompiliert, wo es
libfoo-dev_$sidversion mit neuen Features im Vergleich zur $etchversion
gibt, dann ist das Paket dann von libfoo (>= $sidversion) abhängig.
Wenn nun ausgeschlossen ist, dass libfoo noch nach etch wandert, kann
das in unstable kompilierte Paket nie nach etch kommen.  Also muss man
es nach testing-proposed-updates hochladen und mit libfoo-dev aus
testing kompilieren.

Das ganze natürlich nur, wenn libfoo (im konkreten Fall ist es libgd2,
siehe http://bjorn.haxx.se/debian/testing.pl?package=php5) neue Features
hat, die eine Erhöhung der Version in den Depends-Zeilen bedingt.

Gruß, Frank
-- 
Dr. Frank Küster
Single Molecule Spectroscopy, Protein Folding @ Inst. f. Biochemie, Univ. Zürich
Debian Developer (teTeX/TeXLive)

Reply to:

Follow-Ups:
- Re: Merkwürdiges Problem mit Backports
  - From: Andreas Gehrke <debian@ndsworld.de>

References:
- Merkwürdiges Problem mit Backports
  - From: Andreas Gehrke <debian@ndsworld.de>
- Re: Merkwürdiges Problem mit Backports
  - From: Frank Küster <frank@debian.org>
- Re: Merkwürdiges Problem mit Backports
  - From: Andreas Gehrke <debian@ndsworld.de>

Prev by Date: Re: Umlaute über Samba und SSH....
Next by Date: MSI NX7100GS Farbproblem!?
Previous by thread: Re: Merkwürdiges Problem mit Backports
Next by thread: Re: Merkwürdiges Problem mit Backports
Index(es):
- Date
- Thread