Hallo Lug,

ich habe eine Kiste mit Debian-Woody. Die Security-Updates sind in /etc/apt/sources.list eingetragen.

In DSA-803-1 gab es ein Update fuer das Paket apache. Da stand: "Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 1.3.26-0woody7 behoben."

apt-get update ist ausgefuehrt worden und apt weiss auch von dem Sicherheitsupdate: # apt-cache show apache | grep Version Version: 1.3.26-0woody7 Version: 1.3.26-0woody6

Aber apt-get upgrade denkt garnicht daran, meinen Apachen auch zu aktualisieren.

# apt-get -s upgrade Reading Package Lists... Done Building Dependency Tree... Done 0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Viel schlimmer: apt-get meint sogar die gerade installierte Version waere die neueste verfuegbare.

# apt-get -s install apache Reading Package Lists... Done Building Dependency Tree... Done Sorry, apache is already the newest version. 0 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Installiert ist laut dpkg aber der apache 1.3.26-0woody6.

# dpkg -p apache | grep Version Version: 1.3.26-0woody6

Ich hatte mich immer auf die Sicherheitsupdates via apt-get upgrade verlassen. Aber als ich letztens DSA-803-1 gelesen habe und apt-get upgrade nicht daran dachte meinen Apachen zu aktualisieren, bin ich misstrauisch geworden und habe obiges herausgefunden.

Hat jemand eine Idee, wie apt-get auf die Idee kommt, mir keine Sicherheitsupdates mehr einzuspielen? Ich bin da etwas ratlos.

Jens

PS: Ja, ich weiss, dass Sarge stable ist. Der Sicherheitssupport fuer Woody laeuft aber noch. So kann ich das Update der Produktionsserver machen, wenn ich alles entsprechend vorbereitet und durchgetestet habe. Bis dahin muss der alte Zustand laufen.