Re: Zeitliche Bereitstellung von Debian Update Paketen
Hallo,
On Sat, Sep 24, 2016 at 02:05:26PM +0200, Marc Haber wrote:
> On Fri, 23 Sep 2016 17:25:01 +0200, Christian Knoke <chrisk@cknoke.de>
> wrote:
> >bisher hatte ich den Eindruck, dass die DSAs (Debian Security Announcements)
> >veröffentlicht werden, nachdem die Update Pakete auf den Servern
> >bereitstehen.
> >
> >In diesem Fall, bei firefox-esr i386 stable, lief es so:
> >
> >Paketdatum: 2016-09-21 08:33 (Zeitzone?)
> >DSA 3674-1: Thu, 22 Sep 2016 21:55:24 +0200
> >Upgrade: gestern 22:15 kein Update, erst heute 23.9. ca 11 Uhr
> >
> >Wie kommt das zustande?
>
> Ich tippe mal, dass das Advisory rausgeht, wenn die Pakete zum
> Compilieren hochgeladen wurden. Bei einem Riesenpaket wie Firefox
> dauert das halt ein wenig länger als bei der libxml2.
Das Problem beim gestrigen firefox-esr Update war, dass das Advisory
zu frueh rausgegangen ist bevor die security-mirrors das Update
erhalten hatten. Die Zeitliche Abfolge fuer ein Update ist in der
Regel folgende:
Das Paket wird hochgeladen, und auf den weiteren Architekturen
gebaut. Die Pakete erscheinen nicht direkt auf dem security Archiv.
Ein Mitglied des security teams bereitet das Update vor (testing, DSA
schreiben), dann wird das Update herausgegeben.
Wenn die Archivsoftware das Update installiert hat wird das advisory
herausgeschickt.
In einigen Faellen wird aber das installieren und advisory schicken
gleichzeitig gemacht, bei einem grossen Paket wie firefox ist dann
aber das advisory bereits via mail auf der debian-security-announce
erschienen, obwohl die Pakete noch nicht fertig installiert waren.
Viele Gruesse,
Salvatore
Reply to: