Martin Weissbach:
"Erik Schanze" Schanzi_@gmx.de wrote:
Das dabei Debian auch seine Fehler hat und man nicht in der Lage war einen Patch für den ptrace() Kernel Bug einzuspielen der bereits seit über 2 Monaten behoben war, und damit dann mit einem Angriff "belohnt" wurde, das beispielsweise interessiert scheinbar niemanden...
[ ] Du hast den zeitlichen Ablauf der Ereignisse überblickt. [1]
Doch habe ich. "(1) The kernels running on the machines in question didn't all get a ptrace fixed kernel as fast one might have liked. Master, Klecker and Murphy got new kernels in May but Gluck for various reasons didn't get upgraded till August."
http://lists.debian.org/debian-devel-announce/2003/debian-devel-announce-20
0311/msg00012.html
Ich meinte damit, dass der Angriff über die do_brk-Lücke erfolgte und der Kernel, der das behob noch nicht released war. 2.4.23 kam leider erst später und auf Servern würde ich auch keine Release Candidates fahren.
Der Umgang mit der ptrace-Lücke hat mir damals auch nicht gefallen, es hat zu lange gedauert, bis ein neues Kernelpaket da war, aber ich backe meine Kernel (wie viele andere) eh selbst aus Originalquellen.
Ist es das was man "stable" nennt?
[ ] Du weißt, was "stable" bei Debian GNU/Linux bedeutet.
Doch weiß ich. Dann ist es wohl ein Armutszeugnis für Debian etwas als stable zu bezeichnen wenn es offen wie ein Scheunentor ist.
Du schreibst Unsinn. Stable heißt nicht zwangsläufig, das sie Distrubution fehlerfrei ist, sondern dass die Versionsstände der Pakete stabil bleibt. Es ändert sich an den Funktionen der Programme nichts, was den Admin freut. Sicherheitskritische Fehler werden so schnell wie möglich behoben und Lücken geschlossen. Du darfst dabei nicht vergessen, dass es sich um Freiwillige handelt, die ihre Freizeit dazu verwenden, dir eine Distribution bereit zu stellen. So eine Konsumer-Haltung finde man leider sehr oft.
"As of today (february 2003) Debian does not provide signed packages
for the distribution and the woody release (3.0) does not integrate that feature. There is a solution for signed packages which will be, hopefully, provided in the next release (sarge)."
[ ] Du weißt, was "stable" bei Debian GNU/Linux bedeutet.
Siehe oben. Du hast meine Anspielung auf die nicht benutzten Signaturen: [ ] Verstanden. [x] Nicht verstanden.
Ich habe es so verstanden, dass du es nicht gut findest, dass das Feature der Signatur-Prüfung nicht in woody eingebaut werden soll. Dazu müsste "apt" oder "dpkg" geändert werden oder ein neues Paket eingefügt werden. Das widerspricht der Philosophie von "stable".
Freundlich grüßend, Erik