Re: Veraltete PHP-Version in Debian-Stable?
On 12.04.07 18:04:49, Dennis Brandenburg wrote:
> > > Kann man sicher sein, dass alle sicherheitskritischen PHP-Bugs auch in dem
> > > CVE beschrieben werden und somit im Paketupdate? Wie lange dauert es
> > > erfahrungsgemäß, bis die Bugs gefixt sind? Ist es zu empfehlen die neuste
> > > PHP-Version immer zu kompilieren?
>
> > Man kann sich nie sicher sein, aber generell sind die Sicherheitsupdates
> > von Debian schnell und gut. Wobei "schnell" auch immer von der Art des
> > Fixes abhängt. Z.T. kommen die Fixes deutlich schneller, als sie auf
> > heise.de gemeldet werden (wobei man das vielleicht auch nicht als
> > Standard nehmen will), manchmal ein, zwei Tage später.
> > Ob die verschiedenen PHP-Versionen sich sicherheitstechnisch
> > unterscheiden weiss ich aber nicht.
>
> Kann man denn sicher sein, dass die Sicherheitslücken im CVE bekannt gegeben werden? Die bekomme ich ja von debsecan per Mail geschickt, so sehe ich dann wenigstens, welche Sicherheitslücken es gibt.
Debian verheimlicht keine Sicherheitsluecken, wenn also eine
Sicherheitsluecke fuer PHP bekannt wird und diese auch die Debian-Pakete
betrifft kann man davon ausgehen das ein DSA dafuer erzeugt wird (DSA
ist mit CVE kompatibel, siehe security.debian.org). Fuer
Sicherheitsluecken in Debian Paketen kann man die
debian-security-announce ML abonnieren oder als RSS feed ueber
security.debian.org abonnieren.
Andreas
--
You work very hard. Don't try to think as well.
Reply to: