Am Donnerstag, den 07.07.2005, 07:11 +0200 schrieb Thomas Weinbrenner: > Christian Schulte wrote: > > ein installierter clamav-daemon unter sarge meldet bei der > > Installation: > > [...] > > LibClamAV Warning: *** This version of the ClamAV engine is outdated. > [...]
Ein netter und sinnvoller Service, um über Updates zu informieren. > > Wie halte ich die clamav Pakete auf dem aktuellen Stand ohne weitere > > Quellen in sources.list eintragen zu müssen ? > > Geht nicht. Zumindest eine weitere Quelle müßtest du schon eintragen. > > > Ich dachte bisher, dass bei einer stable Installation regelmässig > > Sicherheitsupdates bereitgestellt werden. Wäre das nicht ein > > Sicherheitsupdate ? > > Nein. Ein Sicherheitsupdate gibt es, wenn in der vorhandenen Version ein > Fehler gefunden würde, wie z.B. > http://www.debian.org/security/2005/dsa-737 > > Aber auch im Fall eines Sicherheitsupdates wird der Fehler in der > in Sarge vorhandenen Version des Programmes gefixt, es wird keine neuere > Version des Programmes angeboten. Das ist die Regel, aber kein Gesetz. Sollte es sich nämlich als sehr schwierig bis unmöglich erweisen, einen Fix zurück zu portieren, darf gegen diese Regel verstoßen werden. > Was du brauchst *hüstel* > ist http://volatile.debian.net/, dort gibt es aktuelle > clamav-Pakete für sarge. Volatile ist _kein(!)_ offizieller Teil des Debian-Projekts und mit Backports vergleichbar! Der Einsatz sollte daher gründlich überlegt und abgewogen werden. Im Falle von ClamAV sehe ich nicht unbedingt Handlungsbedarf. In diesem speziellen Fall kann der OP sich sogar selbst ins Knie schießen. Die Volatile-Pakete werden aus den Sid-Quellen gebaut. In Sid wurde aber ein Fehler, der für einen DoS genutzt werden kann, noch gar nicht gefixt. Dagegen wurden die Pakete auf security.d.o gepatcht. Die Volatile-Pakete beherbergen also aktuell eine Sicherheitslücke (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316401). MfG Daniel
