Hallo Rainer, Quoting Rainer Ellinger <[EMAIL PROTECTED]> (Don, 13 Feb 2003, 08:43:18): > Juergen Descher schrieb: > > Dort wird der Bug beschrieben, Datiert am: Date: 12 December 2002. > > Ausprobiert - und :((( Mein vim ist anf�llig. In einer "stable" > > In Unstable ist seit 26.11. ein work-around, der Fix seit 24.12. :-D So viel zu "stable ,testing oder unstable - was soll ich nehmen?" ;>
> > Also NIX resolved !!! F�r mich und alle anderen (uninformierten) > > nicht. Und eine einfache Abhilfe bis zum eintreffenden Fix w�re > > die Deaktivierung der modeline im rc-file - so einfach. Auch > > beachte man die Zeitverz�gerung von ca. 1/2 Monaten! > > Die Ersten waren diesmal RedHat am 16.1., SuSE und Debian haben noch > keinen Fix draussen. Der Grund d�rfte f�r beide �hnlich sein, dort > die Zahl der Produkte und bei Debian die Zahl der Architekturen. > Eine Verz�gerung von einigen Wochen bis Monaten ist nicht so > ungew�hnlich. Was ich auch damit ausdr�cken wollte ist, dass wenn man auf die Debian Bug-Seite geht und sieht, dass dieser Bug als gefixt gekennzeichnet ist aber erst sp�ter feststellt, dass er aber noch nicht in Pakete eingeflossen ist: Das finde ich irgendwie irref�hrend. Nebenbei bemerkt finde ich die Auflistung eines nicht in die Pakete eingeflossen Bugfix _unten_ auf der Seite ein wenig un�bersichtlich. Es ist doch keine Seite die haupts�chlich von Entwicklern genutzt wird -oder? Also ich schaue schon des �fteren dort nach. Muss aber zugeben oftmals nur in dem oberen Bereich der Seite. Bis jetzt, man lernt ja. BTW, wenn ich �ber einen Bug in einem (woody-)Paket informiert bin, kann ich mir auch evtl. selbst ein gefixtes bauen. > Der Wunsch, dass jeder Bug in 24h einen Fix hat ist unrealistisch. > Und wie sich in den letzten Jahren gezeigt hat, auch nicht > notwendig. Die [...] Noch einmal: Das habe ich auch nicht erwartet - oder gew�nscht. > Auch wenn ich ein Anh�nger der schonungslosen Ver�ffentlichung bin, > muss man sagen, Wasser auf die M�hlen derjeniger, die bis zum > Erscheinen eines Fixes lautloses Arbeiten empfehlen. Nicht ohne > Grund hat diese Praxis (ganz lautlos :-) auch im OSS-Umfeld Einzug > gehalten. Dies kann ich nicht unbedingt als w�nschenswerte Praxis erachten. Gerade auch schnelle Infos �ber Bugs sch�tze ich an Linux. Und debian war auch bis jetzt (bei den fixes in Paketen muss ich ja jetzt sagen) auch ziemlich schnell. Oftmals zumindest schneller als SuSE. > > debian-security nicht abonniert. Dachte sec-announce w�rde > > reichen. In so einen Fall k�nnten die doch eine Warnung > > herausgehen _obwohl_ noch keine gefixte Version erh�ltlich ist - > > oder? > > W�re vielleicht nicht schlecht, aber wie soll das funktionieren? Was > Du als bedrohlich empfindest, empfinde ich als unproblematisch. > M�sste alles ver�ffentlich werden, was nur irgend jemand als > bedrohlich empfinden k�nnte, hast Du eine Liste mit sehr hohem > Volumen, wo sich jeder m�hsam das heraus picken muss, was f�r ihn > selbst relevant erscheint. Solche Listen gibt es schon, z.B. > bugtraq. Moment. Es gibt doch auf www.debian.org/bugs auch eine Klassifizierung der Bugs - oder? Die k�nnte man doch zu Rate ziehen. Und wenn debian-security-announce nicht die geeignete Liste ist, kann man ja notfalls eine neue aufmachen. In der werden dann alle bis jetzt als "Important" oder "Grave" klassifizierten Bugs ver�ffentlicht - bzw auf "Debian Bug report" verwiesen. Diese Liste mit "hohem Volumen" zu aboniert kann sich ja jeder selbst �berlegen. Ich jedenfalls w�rde es tun. Somit br�uchte ich (J. D. der auch gerne faul ist) mich nur noch gezielt um debian-fremde Software auch der/den Kisten zu k�mmern. > Der Bug ist theoretisch sehr gef�hrlich, aber ist das auch in der > Praxis realistisch? Jeder Schl�sseldienst verf�gt �ber Werkzeug 95% > aller T�ren in weniger als 60 Sekunden spurlos zu �ffnen. Kann man > es sich aufgrund dieses theoretischen Sachverhalts in Zukunft sparen > abzuschliessen oder �berhaupt T�ren einzubauen? Nun in diesem Fall kann aus der Theorie aber schnell grausame Realit�t werden. Und dies geht sowohl remote wie auch lokal. Ich m�chte einmal behaupten, dass vim _sehr_ oft genutzt wird. Eben auch als root �ber sudo und dann sind die User-Einstellungen aktiv. [...] > > Muss ich jetzt alle Pakete abklappern ?-) > > Wenn nicht Du, wer sonst... Dies war nebenbei bemerkt ironisch, man beachte das "?-)", denke aber Deine Bemerkungen auch. ;> Ausdr�cken wollte ich damit nur, dass ich mich ab jetzt eigentlich als v�llig uninformiert (durch debian-security-announce) ansehe. Ein �hnliches Ergebnis unter woody w�rde ein regelm��iges "apt-get update" und ein grep auf "http://security.debian.org stable/updates" und "Downloaded" -oder etwas �hnliches- ergeben. Oder? Ergo brauche ich diese Liste nicht. "Wof�r sollte ich woody einsetzen?" "F�r produktive Systeme, Server o.�." Aber ich drehe mich im Kreis ... cu Juergen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
