Hi! On Sat, 30 Apr 2005 18:00:17 +0200, Bertram Scharpf wrote:
> Am Samstag, 30. Apr 2005, 14:47:11 +0200 schrieb Michael Koch: >> On Sat, Apr 30, 2005 at 03:24:06PM +0200, Bertram Scharpf wrote: > >> > Bei CVS kamen dieser Tag die Updates 1.12.12 und 1.11.20; das zu >> > schließende Sicherheitsloch scheint recht kritisch gewesen zu sein. > >> > Wann kann man bei Woody/Sarge damit rechnen? Was ist so schwierig >> > daran? >> >> Die Fixes sind doch in 1.11.1p1debian-10 schon drin. Was dein Problem? >> Es ist halt der Debian Weg nicht einfach neue Versionen in eine stable >> Distribution zu packen sondern nur die wichtigen Fixes >> zurueckzuportieren. > > Ah, das wußte ich nicht. Danke. Aus dem Debian-Sicherheitshandbuch: "Die wichtigste Regel beim Erstellen eines neuen Pakets, das ein Sicherheitsproblem behebt, ist, so wenig Änderungen wie möglich vorzunehmen. Unsere Benutzer und Entwickler vertrauen auf das genaue Verhalten einer Veröffentlichung nach dessen Freigabe. Daher kann jede Änderung, die wir durchführen, möglicherweise das System von jemandem zerstören. Dies gilt insbesondere für Bibliotheken: Es muss darauf geachtet werden, dass sich das Anwendungs-Programm-Interface (API) oder Anwendungs-Binär-Interface (ABI) niemals ändert, egal wie klein die Änderung ist. Dies bedeutet, dass das Umsteigen auf eine neue Version der Originalprogramms keine gute Lösung ist und stattdessen die relevanten Änderungen zurückportiert werden sollten." [1] Tschüss, Simon [1] http://www.de.debian.org/doc/manuals/securing-debian-howto/ch11.de.html#s-debian-sec-team-faq -- pub 1024D/5781B453 2003-09-14 Simon Brandmair <[EMAIL PROTECTED]> Primary key fingerprint: 2A47 DD6D ABC5 414A FA87 ABF5 1E15 B86B 5781 B453 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)