C. Ace Dahlmann schrieb:
> [Sicherheitsupdate]
Jedoch: Wird das je passieren? Denn so wie ich die heiligen
debian-Regeln bisher verstanden habe, ist dies nicht möglich.
Ganz stumpf: Warum nicht ? Wo kann man _diese_ Regeln nachlesen ?
und das volatile Projekt wäre daher überflüssig!
Eben! AFAIK ist volatile aber genau für diese Dinge gedacht.
Wofür sollte es sonst gut sein, wenn man es andererseits eigentlich
nicht einsetzen soll (auf einem Stable-System)!?
Und ganz oben auf volatile.debian.net steht:
[...]
The main issue of volatile
is to allow system administrators to update their systems in a nice,
consistent way without getting the drawbacks of using unstable, even
without getting the drawback for the selected packages.
[...]
Und was den Vergleich mit den Backports angeht - drei Zeilen weiter
unten steht:
volatile is not "just another place" for backports, but should only
contain changes to stable programs that are necessary to keep them
functional;
Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein
Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes
Sicherheitsloch. Das hätte ich zunächst nicht erwartet. Jemand, der
Volatile Pakete benutzt, sollte sich darum keinen Kopf machen müssen.
Die Volatile Pakete müssten zeitgleich Sicherheitsupdates erfahren, wie
die Pakete in Stable, sonst hat man gegenüber Stable einfach (zeitliche)
Nachteile. In letzter Konsequenz führt das dazu, daß das Sicherheitsteam
sich ebenfalls um die Volatile-Pakete kümmern müsste und dann könnte man
auch gleich ein vollständiges Sicherheitsupdate in Stable bereitstellen.
Der Text der Seite beschreibt dann eher den Soll-Zustand, aber nicht den
Ist-Zustand der ClamAV-Pakete. Es sind ja gerade eben keine
modifizierten Pakete aus Stable sondern Backports aus Unstable. Die
Volatile-Pakete verstossen momentan also gegen ihre eigenen Regeln! Ich
nehme mal an, daß sie das nicht tun würden, wären es offiziell zu Stable
gehörende Pakete. Warum sind es eigentlich keine offiziell zur
Distribution gehörenden Pakete ? Und ganz nebenbei: Warum hat
apt-listbugs mir keine Bugs angezeigt, wenn es im BTS welche für das
Paket gibt ? Ich hätte doch eigentlich während der Installation auf die
bekannten Bugs hingewiesen werden müssen.
Wie ich diesem Thread entnehmen kann, habe ich durch die volatile
Pakete jetzt zwar eine aktuelle Scan-Engine, dafür aber auch direkt
ein Sicherheitsloch, daß in Sarge bereits geschlossen ist.
Naja, ich denke, soo oft wird das nicht vorkommen, oder!? Und wenn in
der aktuellen Version eine Sicherheitslücke ist, wird, nachdem sie
geschlossen worden ist, sicher bald die gepatchte Version nach Volatile
kommen. Da hab ich lieber für ein paar Tage eine nicht perfekte
Programm-Version, dafür aber eine aktuelle Scan-Engine.
LG,
Ace
Ich würde mich auch für die aktuellere Scan-Enginge entscheiden. Das
liegt halt in der Natur der (Viren-)Dinge. Ein Virenscanner, der zwar
die performanteste Scan-Engine hat, diese Engine aber immer eine Woche
hinter den aktuellen Viren hinterher hängt, macht einfach keinen Sinn.
Will man wirklich auf Nummer sicher gehen, müsste man eigentlich jede
Minute die Viren-Definitionen aktualisieren. Kommt ein neuer Virus, der
z.B. format c: ausführt in Umlauf, dann wird man niemandem erklären
können, daß dieser Virus einfach zu schnell war, bevor _Debian_ ihn
erkannt hätte. Natürlich hat man dasselbe Problem, wenn der Virus noch
garnicht in irgendwelchen Viren-Definitionen existiert. Ist die Platte
erstmal leer, dann sollte man sagen können, daß der Virus noch nicht
bekannt war. Man sollte aber nicht sagen _müssen_, daß wegen einer
veralteten Debian-Version der Virus nicht erkannt werden konnte, obwohl
die aktuelleste Version des Scanners das gekonnt hätte. Dann wird man
nicht mehr argumentieren können, warum man eigentlich Debian einsetzt,
weil dann jeder fragen wird, warum man nicht die aktuellste Version
eingesetzt hat und das will man dann auch niemandem erklären müssen.
Volatile ist schon ein Schritt in die richtige Richtung. Solange man den
Volatile-Paketen aber nicht genauso vertrauen kann, wie den Paketen in
Stable, sollte man die Finger davon lassen. Genau das ist bei mir jetzt
passiert. Ich traue den Volatile-Paketen, obwohl ich sie erst seit
wenigen Stunden kenne, nicht mehr über den Weg. Nicht zuletzt, weil
apt-listbugs sie stillschweigend installieren ließ, obwohl ein vom
Sicherheitsteam repariertes Problem bereits im BTS bekannt war.
Zumindest das hätte nicht passieren dürfen. Wäre ich in diesem Thread
nicht auf die bekannten Probleme (DANKE) hingewiesen worden, hätte ich
die Volatile-Pakete installiert und nie erfahren, daß sie nicht mit dem
Stand des Sicherheitsteams übereinstimmen. Ich gehe davon aus, daß
apt-listbugs nichts angemeckert hat, weil das Sicherheitsteam die
entsprechenden Bugs um BTS als erledigt markiert hatte. Volatile ohne
direkte Absprache zwischen Sicherheitsteam und Volatile-Maintainern ist
also sowieso unmöglich und da beißt sich die Katze in den Schwanz.
--
Christian
