Re: Sicherheitslücken (war: was an debian so toll ist)
Martin Schmitz schrieb: Subject: SuSE Security Announcement: postfix (SuSE-SA:2003:033) Date: Mon, 4 Aug 2003 14:15:39 +0200 (CEST) Subject: [DSA-363-1] New postfix packages fix remote denial of service [...] Date: Sun, 3 Aug 2003 18:25:40 -0400 Meiner Erfahrung nach hat SuSE bei *wichtigen* Updates oft die Nase vorn, ist zeitgleich mit Debian oder sogar schneller. Ganz toll, ich erkenne es an Deinen Fakten. Kannst Du bitte als derart erfahrener Experte bei Heise weiter trollen? Danke! -- [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitslücken (war: was an debian so toll ist)
* Martin Schmitz [EMAIL PROTECTED] wrote: [...] Subject: SuSE Security Announcement: postfix (SuSE-SA:2003:033) Date: Mon, 4 Aug 2003 14:15:39 +0200 (CEST) Subject: [DSA-363-1] New postfix packages fix remote denial of service [...] Date: Sun, 3 Aug 2003 18:25:40 -0400 Meiner Erfahrung nach hat SuSE bei *wichtigen* Updates oft die Nase vorn, ist zeitgleich mit Debian oder sogar schneller. Ja, genau. Waehrend ich Postfix auf den Debian Kisten noch Sonntag nacht gefixed habe, musste ich mit den SuSE Kisten bis Montag nachmittag warten. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitslücken (war: was an debian so toll ist)
Rüdiger Noack schrieb: Mich wundert derzeit etwas ganz anderes. Wieso betreffen die Mehrheit der Sicherheitsmeldungen auf http://www.pl-forum.de/security/ eigentlich Debian. Also ich würde Pro-Linux und auch andere, die sich in diesem Feld tummeln nicht als Sicherheitsticker verwenden. Wer's braucht, kann ohne Probleme die Originalquellen beziehen aus denen sich die meisten Ticker bedienen: Security Announcement MLs der Distris, BugTraq, Full-Disclosure. Die News (und deren Kommentare) bei Pro-Linux sind sicher nützlicher und unterhaltsamer. Der unmittelbare Vergleich zwischen den Distris hinkt, weil man Äpfel mit Birnen vergleicht. Debian ist bei allgemein verfügbaren Fixes meistens am schnellsten, aus dem einfachen Grund, dass das Security-Team nur ein Produkt (stable) bedienen muss. SuSE ist oft das Schlusslicht, weil dort ein gutes dutzend verschiedener Produkte mit unterschiedlichen Versionsständen gefixt werden. Auch werden bei SuSE nur gängige, bekannte Dienste per Announcement gefixt. Kleinkram a la lokale potentielle Buffer-Overflows in zblast, xpcd, eroaster (sofern es diese Pakete dort überhaupt gibt) fixen die nicht mit Security Updates, sondern im Rahmen des regulären Updates. Dafür hat SuSE meines Wissens die meisten Vollzeit-Mitarbeiter in diesem Bereich, die dann auch mal das eine oder andere Loch finden. Debian muss sich hauptsächlich aus Fremdquellen bedienen. RedHat liegt in diesem Kriterienspektrum jeweils irgendwo dazwischen. Auffällig wären noch (so zumindest mein Eindruck), die ganzen Ober-Sicher-Spezial-Linuxe, die bei diesem Thema mühsam hinter her dackeln. -- [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitslücken (war: was an debian so toll ist)
On Mon, Aug 11, 2003 at 09:11:41PM +0200, Rüdiger Noack wrote: Mich wundert derzeit etwas ganz anderes. Wieso betreffen die Mehrheit der Sicherheitsmeldungen auf http://www.pl-forum.de/security/ eigentlich Debian. Heute z.B. 12 von gelisteten 20. Gibt es dafür eine plausible Erklärung? Von der Seite höre ich heute zum ersten Mal. Da die Software-Pakete kaum plötzliche Sicherheitsprobleme bekommen, wenn sie auf Debian-Systemen eingesetzt werden, kann ich nur folgendes vermuten: 1. Die Website ist nicht vollständig. 2. Debian hat mehr Software im Angebot als andere Distributionen. 3. Mehr Leute setzen Debian ein und finden Bugs. Immerhin sind Fehler in postfix oder wu-ftpd auch immer auf alle Distributionen bezogen. Und vielleicht gibt es zblast nicht auf Susi oder Rotkäppchen. Außerdem bin ich froh, wenn die Bugs bei Debian wenigstens gefunden werden. Es soll ja gerüchteweise Betriebssysteme (oder sollte ich sagen: GUIs) geben, bei denen Sicherheitslücken verschwiegen werden. Christoph -- ~ ~ .signature [Modified] 3 lines --100%--3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Sicherheitslücken (war: was an debian so toll ist)
Markus Raab wrote: ['ne Menge Positives über Debian] Grundsätzlich stimme ich dir zu. Am besten gefällt mir dabei, dass hinter dem Debian-Projekt keine kommerziellen Interessen stehen. Bei den einzelnen Punkten würde ich allerdings hier und da widersprechen. Manche Teilaussage ist schlicht unrichtig, aber darüber wurde schon genügend diskutiert. Mich wundert derzeit etwas ganz anderes. Wieso betreffen die Mehrheit der Sicherheitsmeldungen auf http://www.pl-forum.de/security/ eigentlich Debian. Heute z.B. 12 von gelisteten 20. Gibt es dafür eine plausible Erklärung? Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitslücken (war: was an debian so toll ist)
Christoph Haas wrote: On Mon, Aug 11, 2003 at 09:11:41PM +0200, Rüdiger Noack wrote: Mich wundert derzeit etwas ganz anderes. Wieso betreffen die Mehrheit der Sicherheitsmeldungen auf http://www.pl-forum.de/security/ eigentlich Debian. Heute z.B. 12 von gelisteten 20. Gibt es dafür eine plausible Erklärung? Von der Seite höre ich heute zum ersten Mal. Da die Software-Pakete kaum plötzliche Sicherheitsprobleme bekommen, wenn sie auf Debian-Systemen eingesetzt werden, kann ich nur folgendes vermuten: Das ist ene Pro-Linux-Seite, die ich auch noch nicht lange kenne, mir aber den Eindruck macht, vertrauenswürdig zu sein. Aufgefallen ist mir dieses Verhältnis im täglichen Newsletter. Auch wenn ich SuSe, Redhat, Mandrake und Co. nicht wirklich kenne, scheint mir der Hinweis auf eine umfangreichere Distribution doch etwas weit 'hergeholt. Da würde mir die Verschweigungstheorie (als Debian-Benutzer ;)) viel besser gefallen... Aber überzeugende Erklärungen wären mir doch am liebsten. Gruß Rüdiger -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheitslücken (war: was an debian so toll ist)
On Mon, 11 Aug 2003 at 22:46 (+0200), Rüdiger Noack wrote: Christoph Haas wrote: On Mon, Aug 11, 2003 at 09:11:41PM +0200, Rüdiger Noack wrote: Mich wundert derzeit etwas ganz anderes. Wieso betreffen die Mehrheit der Sicherheitsmeldungen auf http://www.pl-forum.de/security/ eigentlich Debian. Heute z.B. 12 von gelisteten 20. Gibt es dafür eine plausible Erklärung? Von der Seite höre ich heute zum ersten Mal. Da die Software-Pakete kaum plötzliche Sicherheitsprobleme bekommen, wenn sie auf Debian-Systemen eingesetzt werden, kann ich nur folgendes vermuten: Das ist ene Pro-Linux-Seite, die ich auch noch nicht lange kenne, mir aber den Eindruck macht, vertrauenswürdig zu sein. Aufgefallen ist mir dieses Verhältnis im täglichen Newsletter. Auch wenn ich SuSe, Redhat, Mandrake und Co. nicht wirklich kenne, scheint mir der Hinweis auf eine umfangreichere Distribution doch etwas weit 'hergeholt. Da würde mir die Verschweigungstheorie (als Debian-Benutzer ;)) viel besser gefallen... Aber überzeugende Erklärungen wären mir doch am liebsten. Einer der Gründe dürfte u. a. sein, dass kommerzielle Distributoren wie SuSE oder RedHat länger brauchen, um die Patches in ihre Systeme aufzunehmen. Oft haben sie die Kernel / Programme gepatcht - sowas muss ausgetestet werden (immerhin haben sie Firmenkunden, die u. a. für einen reibungslosen Update zahlen). SuSE garantiert z. B. für ihren Enterprise-Server 5 Jahre Support - da ist IMHO die Bandbreite der zu pflegenden Programmversionen mit der Zeit deutlich höher als bei Debian. Ein weiterer Grund dürfte sein, dass Pro-Linux eine nichtkommerzielle Seite ist, die von Leuten in ihrer Freizeit gemacht wird. Ich würde mich nicht dafür verbürgen, dass sie tatsächlich alle relevanten Quellen ununterbochen beobachten (geh mal ins Impressum und verschaffe Dir einen Überblick darüber, welche Leute welche Distri einsetzen und dann schau mal, wer von denen regelmäßig schreibt). Für eine glaubhaftere Beurteilung sollte man die Security-Announces der Distris lesen, dann relativiert sich das Ergebnis IMHO. Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
