Re: "debsecan" und "apt-get update" Unterschied

[Florian Weimer <fw@deneb.enyo.de>]

* Simon Jolle:

> # debsecan --suite etch | wc -l
> 23
>
> Heisst das ich habe 23 nicht gefixte Sicherheitslücken momentan auf
> dem System?

Ja, wenn das Datenmaterial, das debsecan verwendet ist, richtig
ist. Das ist der Grund, warum debsecan PR-technisch nicht so ganz
geglückt ist.

> Also das Debian Security Team ist daran einen Patch zu releasen?

Jein, die Schwachstellen sind prinzipiell bekannt, aber es ist
z.B. nicht ganz klar wie der Fix aussieht:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=336344 (CVE-2005-2977)

Oder der Maintainer ist noch nicht dazugekommen, den Patch einzuspielen:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=408982 (CVE-2007-0455)

CVE-2005-2977 dürfte übrigens für die meisten Systeme irrelevant sein
(kein SELinux). debsecan kann man das per Whitelist mitteilen, aber
auch hier wäre zugegebenermaßen etwas Zentralisiertes sinnvoll.

Bei http://idssi.enyo.de/tracker/ kann man übrigens die Bug-Daten
abfragen, wenn man einen Fehler im Grundmaterial vermutet. (Links
dorthin stehen auch in den täglichen Berichten, sofern man diese nicht
abgeschaltet hat.)