Re: "debsecan" und "apt-get update" Unterschied
* Simon Jolle:
> # debsecan --suite etch | wc -l
> 23
>
> Heisst das ich habe 23 nicht gefixte Sicherheitslücken momentan auf
> dem System?
Ja, wenn das Datenmaterial, das debsecan verwendet ist, richtig
ist. Das ist der Grund, warum debsecan PR-technisch nicht so ganz
geglückt ist.
> Also das Debian Security Team ist daran einen Patch zu releasen?
Jein, die Schwachstellen sind prinzipiell bekannt, aber es ist
z.B. nicht ganz klar wie der Fix aussieht:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=336344 (CVE-2005-2977)
Oder der Maintainer ist noch nicht dazugekommen, den Patch einzuspielen:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=408982 (CVE-2007-0455)
CVE-2005-2977 dürfte übrigens für die meisten Systeme irrelevant sein
(kein SELinux). debsecan kann man das per Whitelist mitteilen, aber
auch hier wäre zugegebenermaßen etwas Zentralisiertes sinnvoll.
Bei http://idssi.enyo.de/tracker/ kann man übrigens die Bug-Daten
abfragen, wenn man einen Fehler im Grundmaterial vermutet. (Links
dorthin stehen auch in den täglichen Berichten, sofern man diese nicht
abgeschaltet hat.)
Reply to: