[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Pakete aus Testing am Beispiel owncloud

On 21.03.2013 21:03, Sven Joachim wrote:
> Am 21.03.2013 um 08:09 schrieb Paul Muster:

>> Ich dachte, Testing wird (neben Stable) mit Sicherheitsupdates versorgt?
> 
> Nur über testing-proposed-updates, und das in der Regel auch nur während
> des Freezes.

Ich zitiere jetzt mal die deutschsprachigen Texte:

http://www.debian.org/security/faq#testing

| F: Wie wird die Sicherheit für Testing gehandhabt?
|
| A: Falls Sie einen sicheren (und stabilen) Server benötigen, wird
| Ihnen nachdrücklich empfohlen, bei Stable zu bleiben. Allerdings gibt
| es Sicherheitsunterstützung für Testing: Das Debian Testing-
| Security-Team behandelt Probleme von Testing. Es stellt sicher, dass
| die korrigierten Pakete Testing auf dem normalen Weg durch Migration
| aus Unstable (mit reduzierter Quarantäne-Zeit) erreichen oder, falls
| das zu lange dauert, sie über die normale http://security.debian.org-
| Infrastruktur erledigt werden. Um diese zu benutzen, muss die
| folgende Zeile in /etc/apt/sources.list enthalten sein:
|
| deb http://security.debian.org <codename>/updates main
|
| Führen Sie dann apt-get update && apt-get upgrade wie gewohnt aus.
|
| Beachten Sie, dass dies nicht garantiert, dass alle bekannten
| Sicherheitsprobleme in Testing behoben sind! Einige aktualisierte
| Pakete könnten auf den Übergang nach Testing warten. Weitere
| Informationen über die Sicherheits-Infrastruktur für Testing kann
| unter http://secure-testing-master.debian.net/ gefunden werden.

http://www.debian.org/releases/testing/

| Bitte beachten Sie, dass Sicherheitsaktualisierungen für die Testing-
| Distribution noch nicht vom Sicherheits-Team betreut werden. Daher
| erhält Testing die Sicherheitsaktualisierungen nicht auf zeitgerechte
| Weise. Sie werden ermutigt, bis dahin Ihre Einträge in sources.list
| von testing auf squeeze umzustellen, falls Sie
| Sicherheitsunterstützung benötigen.

Irgendwie erscheint das für mich noch nicht ganz durchdacht - oder
schlecht (missverständlich, inkonsistent) dokumentiert zu sein.

>> Also Unstable in die sources.list und up-ge-grade-t:
>>
>> Start-Date: 2013-03-21  06:53:44
>> Commandline: apt-get upgrade
>> Upgrade: owncloud:i386 (4.0.4debian2-3.3, 4.0.8debian-1.5),
>> owncloud-mysql:i386 (4.0.4debian2-3.3, 4.0.8debian-1.5)
>> End-Date: 2013-03-21  06:54:07
>>
>> Wie hätte ich bemerken sollen, dass das Paket keine Sicherheitsupdates
>> mehr bekommt, weil es wohl aus Wheezy/Testing rausgeflogen ist? (In
>> aptitude tauchte es auch nicht unter den "obsolete / locally created
>> packages" auf. Zumindest das hätte ich erwartet, denn solange Unstable
>> nicht in sources.list stand, gab es ja keine Quelle für das Paket.)
> 
> Umgekehrt wird ein Schuh daraus. Das Paket ist (vor drei Tagen erst) aus
> Testing herausgeflogen, weil es sich nicht mehr als praktikabel erwies,
> die Version 4.0.4 mit Sicherheitsupdates zu versorgen.

D.h. es war monatelang mit bekannten, vorhandenen Sicherheitslücken in
Testing, während in Unstable diese Lücken schon behoben waren?


Viele Grüße

Paul
Reply to: