Andreas Barth schrieb: > * Christian Schulte ([EMAIL PROTECTED]) [050715 10:12]: > >>Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein >>Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes >>Sicherheitsloch. > > > Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile > nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für > security.d.o, Sicherheitslöcher in clamav zu schliessen.)
Die Aussage, daß in volatile ein Sicherheitsloch existiert, das in stable bereits repariert wurde, stammte ursprünglich nicht von mir. Da ich selber nicht mehr wusste, wem oder was man jetzt glauben kann, hatte ich die Diskussion kurzzeitig auf debian-volatile verlagert, was dazu geführt hatte, daß ich unten zitierte Mail erhalten hatte, in der mir bestätigt wurde, daß die Aussage falsch ist. Meine gesamte Mail inklusiv aller Fragen hatte ich aber im guten Glauben, daß die Aussage stimmt, geschrieben. > > >>Die Volatile Pakete müssten zeitgleich Sicherheitsupdates erfahren, wie >>die Pakete in Stable, sonst hat man gegenüber Stable einfach (zeitliche) >>Nachteile. In letzter Konsequenz führt das dazu, daß das Sicherheitsteam >>sich ebenfalls um die Volatile-Pakete kümmern müsste und dann könnte man >>auch gleich ein vollständiges Sicherheitsupdate in Stable bereitstellen. > > > Spekulationen mögen sich nett anhören, sind aber nicht unbedingt > hilfreich. Faktisch wurde das stable-security-Update von clamav vom > volatile-Team gemacht, nicht umgekehrt. Und ja, zwischen volatile- und > stable-security-Team gibt es Mailaustausch. Fakten, Fakten, Fakten. Man lese den Thread noch einmal vollständig. Ich war sowohl mit dem Verweis auf volatile als auch mit volatile selber völlig zufrieden, bis dann jemand meinte, er wüsste es besser, und von den faktisch nicht vorhandenen Sicherheitsproblemen berichtete, die dem Text auf <http://volatile.debian.net> widersprechen. Zwischen den Zeilen hätte das für mich bedeutet, daß volatile garnicht organisatorisch funktioniert und ich bin froh, daß ich jetzt das Gegenteil behaupten kann. [10.07.2005]: >> It installs cleanly on sarge and introduces a security problem >> already fixed in sarge by the security team. You get an updated >> engine which detects more viruses than the sarge version does >> however. that's not true. The security fixes applied by the debian security team to 0.85 were backported from 0.86.1 . There is no drawback in using ClamAV packages taken from volatile ATM. Best regards -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
