On 09/16/2009 Paul van der Vlis wrote: Hoi,
> Na hoeveel dagen komen security-updates toch in stable terecht als je > geen regel met "security.debian.org" in je sources.list hebt staan? Bij de volgende update van stable. > Ik ben eigenlijk al lang op zoek naar een methode om sommige systemen > sneller te kunnen voorzien van security-updates dan andere systemen, > waarbij die eerste systemen dan een soort praktijktest vormen voor de > andere. Ik denk dat je de verkeerde kant op denkt. Niets belet je om te wachten met je "aptitude upgrade" tot je op een ander systeem de upgrade voldoende getest hebt. En als er meerdere updates in de rij staan, kan je een van de packages updaten met: "aptitude install <paketnaam>" Of om het anders te zeggen: zeker in een (bedrijfskritische) productie omgeving is er veel voor te zeggen om ook security-updates niet direct te installeren, maar eerst te testen (of af te wachten of anderen problemen ondervinden). Maar als je niet klakkeloos de updates van security.debian.org wilt overnemen, dan kom je in het edelere handwerk terecht. Automatische 'patch-management' werkt dan niet meer. Wanneer dat moment is dat je je productie omgeving gaat upgraden, is namelijk niet algemeen te zeggen. In een 0-day situatie waarbij er een remote command execution is die al veel misbruikt wordt, zou ik bijvoorbeeld veel sneller upgraden dan bij een lokaal veiligheidsprobleem waar nog geen exploits voor bekend zijn. Ook zou ik bijvoorbeeld op de chatservers die ik beheer een upgrade aan de xmpp-library die ik gebruik veel beter testen dan een upgrade aan de mailserver die op die machines 'alleen maar' dient voor het forwarden van berichten aan root. groet, Winfried -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
