Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Werner Mahr [EMAIL PROTECTED] wrote: Am Donnerstag, 30. Juni 2005 00:34 schrieb Andreas Pakulat: On 30.Jun 2005 - 00:08:56, Werner Mahr wrote: Aber ich glaube keine der beiden Optionen hat Einfluss auf das neue apt-Zeugs, wenn da wirklich die deb's signiert werden... Ich denke mal das da ein neues Feld im Control von dem Deb eingefügt wird, das ganze Deb durch gpg oder so zu jagen macht ja nicht wirklich Sinn. Nein, der Trick ist ganz einfach. Die Release-Dateien, die apt mit update zieht, sind signiert. Darin stehen die MD5-Summen der Packages-Dateien und in denen stehen die MD5-Summen der Packete. #v+ $ ls /var/lib/apt/lists/ftp.de.debian.org_debian_dists_experimental_Release* /var/lib/apt/lists/ftp.de.debian.org_debian_dists_experimental_Release /var/lib/apt/lists/ftp.de.debian.org_debian_dists_experimental_Release.gpg $ sed -n 10,12p /var/lib/apt/lists/ftp.de.debian.org_debian_dists_experimental_Release MD5Sum: 9773ff94eb224c1ebd9a6d15910ebe29 344480 main/binary-alpha/Packages 7140d6182532f0407e341544f19a265c79134 main/binary-alpha/Packages.gz $ apt-cache show hello |grep MD5 MD5sum: 167c0d7951ede4e7520325c9ea3693d9 #v- Jörg. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Daniel Leidert schrieb: Hmm, hab ich dich vllt. falsch verstanden... Von deinen Mails hatte ich den Eindruck das u.a. die Sec-Team-Mitglieder (oder ein Teil derer) einfach nicht mehr bei Debian was tun (obwohl sie immernoch die Posten innehaben) sondern weils mehr Spass macht (oder warum auch immer) an Ubuntu mitarbeiten. Lies Matt Zimmermann selbst: [EMAIL PROTECTED] bzw. http://groups.google.de/group/linux.debian.security/msg/3a68e42bad6d9907?dmode=source Dann stellt sich mir nur die Frage, warum diese Leute immer noch als Mitglied des Teams geführt werden, wenn das Team so eigentlich schon lange nicht mehr existiert. Wie können Leute, die de facto inactive for various reasons sind, eigentlich A strong level of trust erreichen? Wenn wegen hauptamtlicher Inaktivität der Team-Mitglieder, exploitbare Anwendungen/Pakete nicht gefixt werden, kann man wohl kaum von Vertrauen sprechen, andernfalls hätten wir diese Situation und diese Diskussionen nicht. Wer hat da versagt? Und BTW: Ich stimme Andreas zu: Sagt den Leuten Danke und entlasst sie höflich aus dem Security-Team. Wenn dann nur noch Martin 'Joey' Schulze als einziges Mitglied auf der Liste steht, ändert sich vielleicht was (und das hoffentlich schnell). Aber so sehr inaktiv ist er dann whl doch nicht oder kommt demnächst der nächste große knall?!? Paket-Richtlinien-Ausschuss. Branden Robinson gründete offiziell den Paket-Richtlinien-Ausschuss, der die Befugnis hat, die Debian-Richtlinien zu verwalten. Er ernannte Manoj Srivastava (als Vorsitzenden), Andreas Barth und Matt Zimmerman, das Dokument zu betreuen und Konformitätsgrade zu anderen Standards zu definieren. aus [1] nur mal so zum drüber nachdenken Ralph [1] ... http://www.debian.de/News/weekly/2005/26/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Moin Ralph! Ralph Bergmann schrieb am Freitag, den 01. Juli 2005: Sagt den Leuten Danke und entlasst sie höflich aus dem Security-Team. Wenn dann nur noch Martin 'Joey' Schulze als einziges Mitglied auf der Liste steht, ändert sich vielleicht was (und das hoffentlich schnell). Aber so sehr inaktiv ist er dann whl doch nicht oder kommt demnächst der nächste große knall?!? Paket-Richtlinien-Ausschuss. Branden Robinson gründete offiziell den Paket-Richtlinien-Ausschuss, der die Befugnis hat, die Debian-Richtlinien zu verwalten. Er ernannte Manoj Srivastava (als Vorsitzenden), Andreas Barth und Matt Zimmerman, das Dokument zu betreuen und Konformitätsgrade zu anderen Standards zu definieren. aus [1] nur mal so zum drüber nachdenken Naja, der Paket-Policy-Sekretär (Manoj) hat etwas Verstärkung bekommen, mehr würde ich da nicht hineininterpretieren. Ob Matt viel dazu beitragen kann/will/wird, bezweifele ich, seine Wahl war IMO eine politische Frage, aber ich will mich nicht mehr dazu auslassen. Gruss, Eduard. -- Everything is illusion. Constructs of language, light, metaphor; nothing is real. -- Babylon 5, Season 4 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
* Markus Raab wrote: Norbert Tretkowski wrote: * Markus Raab wrote: Wie gehts bei backports.org weiter? http://www.inittab.de/blog/2005/04/29#20050429_status Das kenn ich, jetzt ist Sarge draußen, und wie schauts aus? Ist I'll take a break. so unverstaendlich? ;-) Ich bin in den letzten paar Wochen leider nicht wirklich dazu gekommen mich weiter um die Umstellung fuer sarge zu kuemmern. Und ich werde wohl auch die naechsten paar Wochen nicht grossartig zu kommen, mir steht u.a. ein Umzug bevor. Sobald das rum ist werde ich das Thema aber wieder etwas forcieren, noch ist sarge ja halbwegs frisch... :-) Norbert -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Signatur-Prüfung bei apt und dpkg in Sid (was: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?)
Am Donnerstag, den 30.06.2005, 00:45 +0200 schrieb Daniel Leidert: Am Mittwoch, den 29.06.2005, 22:44 +0200 schrieb Sven Hartge: Andreas Pakulat [EMAIL PROTECTED] wrote: On 29.Jun 2005 - 20:16:48, Sven Hartge wrote: Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für Falten auf der Stirn sorgen, zumindest am Anfang. Inwiefern? Also als Enduser meine ich? Je nach Konfiguration prüft apt bzw. dpkg dann immer auf eine entsprechende Signatur. Hast du jetzt z.B. andere Quellen eingebunden, fragt das System jedes Mal nach, ob du wirklich die unsignierten DEBs installieren willst. Da die Pakete selbst nicht signiert sind, könnte es ein, dass apt einfach nur die signierten Release-Dateien (Release.gpg) prüft, so wie das ursprünglich auch mal vorgesehen war? apt-check-sigs script, http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign) Ich hab es mir jetzt mal genauer angeschaut. Die Liste der Schlüssel lässt sich erweitern (man apt-key). Da auch private/inoffizielle Repositories signierte Release-Dateien erstellen können (z.B. debpool), lassen sich also auch diese in das neue System einbinden. Da die Pakete selbst nicht signiert sind, könnte es ein, dass apt einfach nur die signierten Release-Dateien (Release.gpg) prüft, so wie das ursprünglich auch mal vorgesehen war? apt-check-sigs script, http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign) Dieses Verhalten dürfte bei einigen für Verwunderung sorgen. Es wäre nur die Implementierung einer schon sehr lange diskutierten Lösung (stand schon länger im Securing Manual). Nur steht nirgendwo, dass /etc/apt/trustdb.gpg zuerst durch den User angelegt werden muss. Wer bei offiziellen Debian-Repositorien Meldungen ala bla konnte nicht verifiziert werden bekommt: einfach mal su -c apt-key list eintippen. Das initialisiert /etc/apt/trustdb.gpg. Allerdings finde ich nirgendwo in der Dokumentation einen Hinweis darauf. Gibt es diesen Hinweis überhaupt? So ganz unwichtig erscheint er mir schließlich nicht. PS: Betreff angepasst MfG Daniel
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Patrick Wunderlich wrote: Servus, lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Grüsse, Patrick Wunderlich Hm, nun scheint es ja soweit zu sein: http://securitytracker.com/alerts/2005/Jun/1014323.html Das das nicht sofort gefixt werden kann, ist mir schon klar. Allerdings hoffe ich auch, dass es nicht zu lange dauert. Immerhin gab es heute auch wieder eine Änderung in testing (per [EMAIL PROTECTED]). Paul - -- Linux-User #271918 with the Linux Counter, http://counter.li.org/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.2 (MingW32) iEYEARECAAYFAkLD53oACgkQqErKtBWD7VT9KACg1HKTb+nARwY6Mom974/zJupc u8wAoL1eUWoJmv5Mn5chnc9vuQQfGAMS =yFcW -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 6/28/05, Michael Bienia [EMAIL PROTECTED] wrote: In Breezy gibt es KDE 3.4.1. Ubuntu hat wie Debian auch mehrere Archive: - main, das eigentliche Ubuntu - restricted, non-free Pakete für main - universe, die restlichen Pakete aus Debian - multiverse, non-free + contrib, aber hier bin ich mir nicht sicher, so richtig blicke ich noch nicht durch. Vielleicht ist dieses Mapping verständlicher: - main: Teilmenge von Debian main (*) - restricted: Treiber wie nvidia, fglrx, acx110 (+ firmware) (*) - universe: Rest von Debian main - multiverse: Debian non-free + contrib + weitere Software mit fragwürdiger Lizenz nicht in Debian. (*) für main und restricted gibt es strengere QA und bezahlten support von Canonical. -- regards, Reinhard
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Hi, Patrick Wunderlich wrote: http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? ich finde diese Entwicklung sehr beunruhigend. Zumal man doch sehr schwierig an Informationen rankommt, oder nur mit enormer Recherche. Das ist etwas wofür dann doch nur begrenzte Zeit im Berufsalltag da ist. So überlegt man sich dann doch, ob man nicht die Distribution wechseln sollte, weil eine Distribution ohne Security Upgrades ist wie Pommes ohne (Ketchup|Mayo)! Aber lustig ist, dass wir hier Migrationsprojekte _nach_ Debian am laufen haben. Die jetzt abbrechen? Hmm.. ärgerlich und kostenintensiv. Wo harkts? Security Team nicht auffindbar? Entwickler verkaufen sich? Wenn die Entwickler abwandern, gibt es Ersatz? Wann (kann|will) der aktiv werden? Ist das Security Team wirklich nur Ein-Mann-stark (Joey?)? Habe mich vor geraumer Zeit mal über die Debian Projektstrukturen informiert. Im Großen und Ganzen ist das gesamte Projekt sehr stark durchorganisiert, aber irgendwie kriegt man immer wieder das Gefühl, dass es bei der Umsetzung hapert (x-fach verschobene Releases, Streits unter Entwicklern die an die Öffentlichkeit dringen, Kaputte Sec-Infrastruktur, ...) und das ist doch für eine Distribution wie Debian, für die viele Punkte sprechen, sehr schade. Klar ist: Debian ist von Freiwilligen. Wer jedoch eine Stellung in einem größeren Projekt - mit Verbreitung - einnimmt, trägt Verantwortung. Debian ist ein größeres Projekt, von Freiwilligen, aber auch ein Projekt, dass von Unternehmen und Privatpersonen finanziell, infrastrukturtechnisch oder publizistisch gefördert wird. Die Gesamtverantwortung des Projekts gegenüber der Anwender ist also nicht von der Hand zu weisen. Dieses Bewusstsein scheint an manchen Stellen zu fehlen - schade eigentlich. Gruß Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 2005-06-29 01:41:05 +0200, Andreas Pakulat wrote: On 28.Jun 2005 - 23:19:35, Michael Bienia wrote: Ich bin auch von sid+experimental (gnome 2.10) zu Ubuntu gewechselt. Bei Marillat hängt es davon ab, ob du Hoary oder Breezy nutzen willst, da in Breezy gerade auf gcc-4.0/g++-4.0 gewechselt wird. Inwiefern? Ich hab grad keine Lust nachzuschauen... Ich hole mir von Marillat vor allem die DVD-libs und die win32-Codecs. Mplayer brauch ich nicht. Aber in jedem Fall dachte ich o.g. waeren in C geschrieben, da macht der Umstieg ja eh keine Probleme... Ich nutze von Marillat auch nur libdvdcss und w32codecs. Bei den Abhängigkeiten der beiden Pakete gibt es auch keine Probleme. Der mplayer dagegen ist in Breezy nicht installierbar (in Hoary müsste er aber es sein), da in Breezy schon eine neuere Lib drin ist als der mplayer verlangt. Bei den Anhängigkeiten vom mplayer ist das warscheinlich, dass es wieder passieren könnte. Zu muttng kann ich nichts sagen, im schlimmsten Fall darfst du es neu kompilieren. Auch der ist in C geschrieben, da sollte es also eigentlich auch keine Probleme geben... Wenn er ähnliche Abhängigkeiten wie der mutt hat, dann dürfte nichts dagegen sprechen das jetzige Paket weiter zu verwenden. Probleme gibt es nur, wenn man ein Programm weiternutzen, wo C++ benutzt wird (entweder direkt oder indirekt durch Bibliotheken) und man Breezy nutzen möchte da dort durch die g++-Transition einige Pakete umbenannt werden mussten. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, 29. Juni 2005 01:38 schrieb Andreas Pakulat: Sind amule oder wx in C++ geschrieben? Denn die C-ABI hat sich seit Äonen nicht mehr geändert (und das wird sie auch nicht), wohingegen die C++-ABI deutlich instabiler ist (da der Standard noch nicht sehr alt ist, z.B.). Natürlich kann man auch C++-Programme mit gcc-4.0 oder 3.4 bauen die in unstable oder testing laufen, sofern sie keine weiteren C++-Libs benutzen die mit gcc-3.3 kompiliert sind. Also bis auf amule ist alles mit 3.3 gebaut. [EMAIL PROTECTED]:/usr/src/amule/build/deb/cvs$ apt-cache show amule [snip] Depends: libc6 (= 2.3.2.ds1-21), libgcc1 (= 1:4.0.0-7), libglib2.0-0 (= 2.6.0), libgtk2.0-0 (= 2.6.0), libstdc++5 (= 1:3.3.4-1), libwxgtk2.5.3 (= 2.5.3.2), libx11-6 | xlibs ( 4.1.0), zlib1g (= 1:1.2.1) [snip] [EMAIL PROTECTED]:/usr/src/amule/build/deb/cvs$ Also ich habe jetzt zwar nicht nachgesehen, aber das in diesen libs kein C++ ist kann ich mir nicht vorstellen. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgpdWPEX0rPnX.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 29.Jun 2005 - 15:32:07, Werner Mahr wrote: Am Mittwoch, 29. Juni 2005 01:38 schrieb Andreas Pakulat: Sind amule oder wx in C++ geschrieben? Denn die C-ABI hat sich seit Äonen nicht mehr geändert (und das wird sie auch nicht), wohingegen die C++-ABI deutlich instabiler ist (da der Standard noch nicht sehr alt ist, z.B.). Natürlich kann man auch C++-Programme mit gcc-4.0 oder 3.4 bauen die in unstable oder testing laufen, sofern sie keine weiteren C++-Libs benutzen die mit gcc-3.3 kompiliert sind. Also bis auf amule ist alles mit 3.3 gebaut. Du meinst dein System? [EMAIL PROTECTED]:/usr/src/amule/build/deb/cvs$ apt-cache show amule [snip] Depends: libc6 (= 2.3.2.ds1-21), libgcc1 (= 1:4.0.0-7), libglib2.0-0 (= 2.6.0), libgtk2.0-0 (= 2.6.0), libstdc++5 (= 1:3.3.4-1), libwxgtk2.5.3 (= 2.5.3.2), libx11-6 | xlibs ( 4.1.0), zlib1g (= 1:1.2.1) [snip] Der ist aber auch nicht mit gcc-4.0 gebaut, sondern mit gcc-3.3 (siehe libstdc++) Also ich habe jetzt zwar nicht nachgesehen, aber das in diesen libs kein C++ ist kann ich mir nicht vorstellen. Na lass uns doch mal durchgehen: libc6 C libgcc1 C denke ich libglib2.0-0C libgtk2.0-0 C libstdc++5 C++ 3.3 libwxgtk2.5.3 C++ 3.3 (laut deiner Aussage) libx11-6C xlibs C zlib1g C Somit ist amule zwar ein C++ Programm, aber es wurde mit gcc-3.3 gebaut, sprich es funktioniert. Bau doch mal libwxgtk2.5.3 mit gcc-3.4 oder gcc-4.0 und benenne das Paket nicht um. Danach dürfte amule nicht mehr laufen. Andreas -- You are so boring that when I see you my feet go to sleep. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, 29. Juni 2005 18:24 schrieb Andreas Pakulat: Also bis auf amule ist alles mit 3.3 gebaut. Du meinst dein System? Natürlich nicht, ich weiß doch wie es bei dir aussieht. Depends: libc6 (= 2.3.2.ds1-21), libgcc1 (= 1:4.0.0-7), libglib2.0-0 (= 2.6.0), libgtk2.0-0 (= 2.6.0), libstdc++5 (= 1:3.3.4-1), libwxgtk2.5.3 (= 2.5.3.2), libx11-6 | xlibs ( 4.1.0), zlib1g (= 1:1.2.1) [snip] Der ist aber auch nicht mit gcc-4.0 gebaut, sondern mit gcc-3.3 (siehe libstdc++) Sehr komisch. Ich hab den 4.0 installiert, und er wird nicht automatisch genommen. Woher kommt dann aber die Abhängikeit auf libgcc1 (=1:4.0.0-7)? -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgphBQY8nt7de.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
- Gibt es mit dem Übergang von gcc3.x auf gcc4.x auch eine ABI-Änderung? Von 3.3 auf 3.4/4.0, ja. Danke für die Information. Mit dem Empfang der (deutschen) Debian-Weekly-News hätte ich das auch wissen müssen. Doch die Wichtigkeit der Nachricht stach dann nicht so hervor. Dabei sollte auch mir als Entwickler der Begriff ABI geläufig sein ;-) . Offensichtlich muß man sich als Nutzer eines Projektes das Versionsnummer überdauert, wie es Debian zum Glück macht, unbedingt genauer informieren. Der Newsletter ist dabei nur eine kleine Hilfe, denn hier werden zwar Mitteilungen gemacht, aber die Hintergrundinformationen fehlen. Ein Anwender kann die Dinge so nicht gewichten. Hier würde ich mir deutlich mehr Informationen wünschen. Die Leute in den Verwaltungsposten sollen ruhig untereinander alles klären, aber die Nutzer müssen bei wichtigen Dingen zeitnah informiert werden. So hätte man auch diesen PR-GAU verhindern können. Ich bin in der c102-Umbruch-Phase zu Debian gestoßen und habe laut geflucht und es nicht verstanden warum mein KDE komplett ersetzt werden wollte und ich so einen Ärger mit libvorbis hatte. Hätte ich auf der Debian-HP eine große Warnbox gesehen, wäre mir geholfen gewesen. Das fördert Transparenz und genau so eine Warnbox hätte auch wegen den fehlenden Sicherheits-Updates auf der HP sein sollen. Dann wären die Leute informiert und könnten sich selber helfen. ... nur meine 2 Groschen zum Thema...
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Joerg Rossdeutscher wrote: Moin, Am Dienstag, den 28.06.2005, 20:57 +0200 schrieb Markus Raab: Was spricht gegen backports? 1. Das Mischen von Backports aus verschiedenen Quellen kann dir Probleme einhandeln, die sonst keiner hat. Der Backporter hat ja keine Chance, alle möglichen Zusammenhänge zu testen. Bei stable gibt es nicht eine so große Anzahl von Möglichkeiten. Was genau sollte reinfunken? Andere Pakete dürfen die Dateien sowieso nicht manipulieren, auch nicht von Backports. 2. Einem Backport fehlt der Rückhalt einer Distribution. Ich kann nicht den genauen Unterschied erkennen zwischen einem Projekt wie backports.org und debian. Wenn der Maintainer nachts aus der Kneipe kommt und in einen Gully fällt, springt möglicherweise niemand ein und man steht doof da mit seiner Kiste. kann dir bei einem beliebigen anderen Maintainer auch passieren. Klar ist die Chance geringer dass ein Paket aus Debian rausfällt geringer als von backports.org, garantiert wird dir aber nichts. Backports sind eine schöne Sache - man sollte aber einmal mehr überlegen, ob man das wirklich will. Ein Backport eines Screensavers ist etwas anderes als des kompletten Apache. Schon klar, aber ich denke man kann backports genauso professionell betreiben wie eine Distribution. mfg Markus -- http://www.markus-raab.org | Den eben wo Begriffe fehlen, da stellt ein -o) | Wort zur rechten Zeit sich ein. -- Goethe, Kernel 2.6.11.10 /\ | Faust on a i686 _\_v | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Norbert Tretkowski wrote: * Markus Raab wrote: Wie gehts bei backports.org weiter? http://www.inittab.de/blog/2005/04/29#20050429_status Das kenn ich, jetzt ist Sarge draußen, und wie schauts aus? mfg Markus -- http://www.markus-raab.org | Arbeit ist des Lebens Würze. -- Sprichwort -o) | Kernel 2.6.11.10 /\ | on a i686 _\_v | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Sven Hartge wrote: Juergen Sauer [EMAIL PROTECTED] wrote: Ausserdem werden Verbesserungsvorschläge im Ubuntu auch mal ernst genommen und nicht im eigenen Saft verlabert. Es sollte jedem klar sein, das ab einer bestimmten Organisationsgröße eine Direkt-Demokratie nicht funktionieren kann, weil man sich schlichtweg nicht auf eine gemeinsame Stoßrichtung einigen kann. Mehrheitsrecht kann aber sehr wohl funktionieren. Warum wird nicht einfach über Probleme abgestimmt? Gibt es eigentlich auch so ein Art Volksbegehren wo man eine Abstimmung initiieren kann? Bsp. wenn jemand glaubt das Security Team kriegt etwas nicht mehr auf die Reihe, dass jemand dann sagt: He wir könnten ja so und so das Team entlasten. Und die Abstimmung ergibt dann ob es auch durchgeführt wird. Deswegen braucht es eben eine Art Diktator an der Spitze, der Entscheidungen fällt, die dann eben so umgesetzt werden müssen. NACK Außer du meinst als Diktator die Richtlinien/Gesetze. mfg Markus -- http://www.markus-raab.org | Freiheit existiert nur, wenn Ordnung da ist -o) | und nicht, wenn Ordnung zerstört ist. -- Kernel 2.6.11.10 /\ | Carl Friedrich Freiherr von Weizsäcker on a i686 _\_v | -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 29.Jun 2005 - 18:44:15, Markus Raab wrote: Joerg Rossdeutscher wrote: Moin, Am Dienstag, den 28.06.2005, 20:57 +0200 schrieb Markus Raab: Was spricht gegen backports? 1. Das Mischen von Backports aus verschiedenen Quellen kann dir Probleme einhandeln, die sonst keiner hat. Der Backporter hat ja keine Chance, alle möglichen Zusammenhänge zu testen. Bei stable gibt es nicht eine so große Anzahl von Möglichkeiten. Was genau sollte reinfunken? Andere Pakete dürfen die Dateien sowieso nicht manipulieren, auch nicht von Backports. Aber es koennte passieren das 2 Backport-Pakete für verschiedene Programme, versuchen diesselbe Datei zu installieren - dann knallts. Die Datei muss dabei auch nicht unbedingt diesselbe sein, reicht ja derselbe Name (Inhalt beliebig). Backporter koennen nicht gewaehrleisten, dass ihr Paket in jedem beliebigen mit anderen Backports vollgestopften System funktionieren. Nur auf einem reinen Stable-System muss es funktionieren, sonst ist der Backport Schrott. 2. Einem Backport fehlt der Rückhalt einer Distribution. Ich kann nicht den genauen Unterschied erkennen zwischen einem Projekt wie backports.org und debian. Im aktuellen Zusammenhang hast du gar nicht mal Unrecht... Letzten Endes gibt es keine Garantie dafür das ein Paket gepflegt wird, oder ein Security-Bug eingebaut... Aber die Wahrscheinlichkeit ist bei Debian hoeher, dass sich jemand findet der ein wichtiges verwaistes Paket uebernimmt, bzw. der eine Rolle im Sec-Team uebernimmt... Wenn der Maintainer nachts aus der Kneipe kommt und in einen Gully fällt, springt möglicherweise niemand ein und man steht doof da mit seiner Kiste. kann dir bei einem beliebigen anderen Maintainer auch passieren. Klar ist die Chance geringer dass ein Paket aus Debian rausfällt geringer als von backports.org, garantiert wird dir aber nichts. Garantien hast du sowieso nie. Was passiert wenn Novell abbrennt, bzw. Pleite geht? Da haste dann auch Pech gehabt. Natürlich ist das bei Novell oder RedHat sehr unwahrscheinlich, aber nunmal nicht unmoeglich... Backports sind eine schöne Sache - man sollte aber einmal mehr überlegen, ob man das wirklich will. Ein Backport eines Screensavers ist etwas anderes als des kompletten Apache. Schon klar, aber ich denke man kann backports genauso professionell betreiben wie eine Distribution. Das hat Norbert jawohl eindeutig demonstriert oder? Auch wenn ich persoenlich sein Backports nicht kenne, man hoert nur gutes... Andreas -- After your lover has gone you will still have PEANUT BUTTER! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 29.Jun 2005 - 18:44:28, Werner Mahr wrote: Am Mittwoch, 29. Juni 2005 18:24 schrieb Andreas Pakulat: Also bis auf amule ist alles mit 3.3 gebaut. Du meinst dein System? Natürlich nicht, ich weiß doch wie es bei dir aussieht. Depends: libc6 (= 2.3.2.ds1-21), libgcc1 (= 1:4.0.0-7), libglib2.0-0 (= 2.6.0), libgtk2.0-0 (= 2.6.0), libstdc++5 (= 1:3.3.4-1), libwxgtk2.5.3 (= 2.5.3.2), libx11-6 | xlibs ( 4.1.0), zlib1g (= 1:1.2.1) [snip] Der ist aber auch nicht mit gcc-4.0 gebaut, sondern mit gcc-3.3 (siehe libstdc++) Sehr komisch. Ich hab den 4.0 installiert, und er wird nicht automatisch genommen. Woher kommt dann aber die Abhängikeit auf libgcc1 (=1:4.0.0-7)? Na aus gcc-4.0 ;-) Aber guck dir mal unstable-Pakete an, da sind auch diverse dabei die gegen libgcc1 gelinkt sind, z.B. xlibmesa-glu, xbase-clients... Aber libgcc1 ist ja nunmal nur ne Support-Lib für den Compiler (lies mal die Beschreibung) und ich nehme stark an, dass die in C oder ASM geschrieben ist. Welchen C++-Compiler du benutzt hast, sieht man ganz eindeutig an der Abhaengigkeit auf libstdc++5, die heisst naemlich bei gcc-3.4 bzw. gcc-4.0 libstdc++6. Also prüf lieber nochmal deine Build-Umgebung, bzw. vllt. lieber nicht, denn dann laufen die C++-Pakete nirgends mehr... Andreas -- Good day to let down old friends who need help. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Klaus Kocher [EMAIL PROTECTED] wrote: Ich bin in der c102-Umbruch-Phase zu Debian gestoßen und habe laut geflucht und es nicht verstanden warum mein KDE komplett ersetzt werden wollte und ich so einen Ärger mit libvorbis hatte. Hätte ich auf der Debian-HP eine große Warnbox gesehen, wäre mir geholfen gewesen. Das fördert Transparenz und genau so eine Warnbox hätte auch wegen den fehlenden Sicherheits-Updates auf der HP sein sollen. Dann wären die Leute informiert und könnten sich selber helfen. Von dem genannten Problem ist man aber nur betroffen gewesen (bzw. wird betroffen sein), wenn man Unstable/Sid benutzt. Und wenn man dieses benutzt, dann sollte man wissen, das von jetzt auf gleich alles zerbröseln kann. Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für Falten auf der Stirn sorgen, zumindest am Anfang. Von der Migration auf X.Org will ich erst gar nicht reden. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 29.Jun 2005 - 20:16:48, Sven Hartge wrote: Klaus Kocher [EMAIL PROTECTED] wrote: Ich bin in der c102-Umbruch-Phase zu Debian gestoßen und habe laut geflucht und es nicht verstanden warum mein KDE komplett ersetzt werden wollte und ich so einen Ärger mit libvorbis hatte. Hätte ich auf der Debian-HP eine große Warnbox gesehen, wäre mir geholfen gewesen. Das fördert Transparenz und genau so eine Warnbox hätte auch wegen den fehlenden Sicherheits-Updates auf der HP sein sollen. Dann wären die Leute informiert und könnten sich selber helfen. Von dem genannten Problem ist man aber nur betroffen gewesen (bzw. wird betroffen sein), wenn man Unstable/Sid benutzt. Und wenn man dieses benutzt, dann sollte man wissen, das von jetzt auf gleich alles zerbröseln kann. ?? Ich hatte damals das Problem in testing, denn vor allem dort treffen die neuen Libs nur nach und nach ein. Deswegen ist das groessere Problem, das in testing... Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für Falten auf der Stirn sorgen, zumindest am Anfang. Inwiefern? Also als Enduser meine ich? Von der Migration auf X.Org will ich erst gar nicht reden. Herbeisehn ;-) Andreas -- You would if you could but you can't so you won't. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, 29. Juni 2005 20:07 schrieb Andreas Pakulat: Aber guck dir mal unstable-Pakete an, da sind auch diverse dabei die gegen libgcc1 gelinkt sind, z.B. xlibmesa-glu, xbase-clients... Aber libgcc1 ist ja nunmal nur ne Support-Lib für den Compiler (lies mal die Beschreibung) und ich nehme stark an, dass die in C oder ASM geschrieben ist. Welchen C++-Compiler du benutzt hast, sieht man ganz eindeutig an der Abhaengigkeit auf libstdc++5, die heisst naemlich bei gcc-3.4 bzw. gcc-4.0 libstdc++6. Also prüf lieber nochmal deine Build-Umgebung, bzw. vllt. lieber nicht, denn dann laufen die C++-Pakete nirgends mehr... Ach so. Da sieht man mal wieder, das es über 2 Jahre her ist das ich selbst gecoded habe. Ich habe der Einfachheit halber keine dedizierte Buildumgebung gemacht. Das alles läuft über Bash-Scripte. Aber wenn ich mich recht errinner, dann hatte ich das letzte mal Probleme als ein neuer compiler kam, da dieser auch verwendet wurde, deswegen bin ich mal davon ausgegangen, das das jetzt auch so ist. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgp3lAERLInVl.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 29.Jun 2005 - 21:14:15, Werner Mahr wrote: Am Mittwoch, 29. Juni 2005 20:07 schrieb Andreas Pakulat: Aber guck dir mal unstable-Pakete an, da sind auch diverse dabei die gegen libgcc1 gelinkt sind, z.B. xlibmesa-glu, xbase-clients... Aber libgcc1 ist ja nunmal nur ne Support-Lib für den Compiler (lies mal die Beschreibung) und ich nehme stark an, dass die in C oder ASM geschrieben ist. Welchen C++-Compiler du benutzt hast, sieht man ganz eindeutig an der Abhaengigkeit auf libstdc++5, die heisst naemlich bei gcc-3.4 bzw. gcc-4.0 libstdc++6. Also prüf lieber nochmal deine Build-Umgebung, bzw. vllt. lieber nicht, denn dann laufen die C++-Pakete nirgends mehr... Ach so. Da sieht man mal wieder, das es über 2 Jahre her ist das ich selbst gecoded habe. Ich habe der Einfachheit halber keine dedizierte Buildumgebung gemacht. Das alles läuft über Bash-Scripte. Aber wenn ich mich recht errinner, dann hatte ich das letzte mal Probleme als ein neuer compiler kam, da dieser auch verwendet wurde, deswegen bin ich mal davon ausgegangen, das das jetzt auch so ist. Ich denke nicht, dass du ne richtige Buildumgebung brauchst um deine selbstgebauten Pakete inkompatibel zu Sarge zu machen. Alles was du machen musst, ist den Default-Compiler auf gcc-3.4 oder 4.0 umzustellen und nachzupruefen, dass die Pakete auch gcc nutzen und nicht nen versionierten (ala gcc-3.3 oder so). Ich habs selbst noch nicht probiert, aber ich hoffe mal das du schon beim Linken gegen C++-Libs die mit gcc-3.3 gebaut wurden kriegst - so das bei dir ueberhaupt auftritt. Denn wenn ich mir so angucke worauf libwxgtk2.4 depended ist da ausser der libstdc++ nix dabei, sprich es koennte sogar klappen, dass du libwxgtk2.5.3+amule mit gcc-4.0 baust... Andreas -- Your love life will be... interesting. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Andreas Pakulat [EMAIL PROTECTED] wrote: On 29.Jun 2005 - 20:16:48, Sven Hartge wrote: Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für Falten auf der Stirn sorgen, zumindest am Anfang. Inwiefern? Also als Enduser meine ich? Je nach Konfiguration prüft apt bzw. dpkg dann immer auf eine entsprechende Signatur. Hast du jetzt z.B. andere Quellen eingebunden, fragt das System jedes Mal nach, ob du wirklich die unsignierten DEBs installieren willst. Dieses Verhalten dürfte bei einigen für Verwunderung sorgen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 29.Jun 2005 - 22:44:15, Sven Hartge wrote: Andreas Pakulat [EMAIL PROTECTED] wrote: On 29.Jun 2005 - 20:16:48, Sven Hartge wrote: Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für Falten auf der Stirn sorgen, zumindest am Anfang. Inwiefern? Also als Enduser meine ich? Je nach Konfiguration prüft apt bzw. dpkg dann immer auf eine entsprechende Signatur. Hast du jetzt z.B. andere Quellen eingebunden, fragt das System jedes Mal nach, ob du wirklich die unsignierten DEBs installieren willst. Hmm, da werd ich wohl sehr schnell den Schalter zum Ausschalten suchen. Ich bau hier in letzter Zeit öfter mal Pakete aus unstable selbst nach um kleine Fixes einzupflegen. Da wäre das ganz schön nervig. Mal gleich noch ne Nachfrage an dich (bevor ich hier selbst ne Riesensuche veranstalte): Gibts ne Möglichkeit rauszukriegen ob ein deb mit oder ohne -us -uc Optionen bei dpkg-buildpackage gebaut wurde? Sprich ob die deb's signiert sind oder nicht? Dieses Verhalten dürfte bei einigen für Verwunderung sorgen. Jupp... Andreas -- Abandon the search for Truth; settle for a good fantasy. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, 29. Juni 2005 22:18 schrieb Andreas Pakulat: Ich denke nicht, dass du ne richtige Buildumgebung brauchst um deine selbstgebauten Pakete inkompatibel zu Sarge zu machen. Alles was du machen musst, ist den Default-Compiler auf gcc-3.4 oder 4.0 umzustellen und nachzupruefen, dass die Pakete auch gcc nutzen und nicht nen versionierten (ala gcc-3.3 oder so). Ich habs selbst noch nicht probiert, aber ich hoffe mal das du schon beim Linken gegen C++-Libs die mit gcc-3.3 gebaut wurden kriegst - so das bei dir ueberhaupt auftritt. Denn wenn ich mir so angucke worauf libwxgtk2.4 depended ist da ausser der libstdc++ nix dabei, sprich es koennte sogar klappen, dass du libwxgtk2.5.3+amule mit gcc-4.0 baust... Die Pakete für Sarge werden auf einem Sargesystem in Ungarn gebaut, da hat mir jemand einen SSH-Zugang zur Verfügung gestellt. wx-2.4 und wx-2.5 sind zwei verschiedene Geschichten, bei meinen 2.5-er Paketen siehts z.B. so aus: Depends: libatk1.0-0 (= 1.7.2), libc6 (= 2.3.2.ds1-4), libesd0 (= 0.2.29-1) | libesd-alsa0 (= 0.2.29-1), libexpat1 (= 1.95.8), libgcc1 (= 1:3.4.1-3), libglib2.0-0 (= 2.6.0), libgtk2.0-0 (= 2.6.0), libjpeg62, libpango1.0-0 (= 1.8.1), libpng12-0 (= 1.2.8rel), libstdc++5 (= 1:3.3.4-1), libtiff4, xlibmesa-gl | libgl1, xlibmesa-glu | libglu1, zlib1g (= 1:1.2.1) Sehr wahrscheinlich werde ich im Laufe der Woche auch noch wx-2.6 Pakete bauen, diese werden dann aber wohl als 2.5.99 gekennzeichnet sein, und auf alles mögliche Conflicten, damit es da keine Probleme gibt wenn Ron endlich den Arsch hochkriegt. Natürlich brauche ich nicht zu erwähnen, das diese weder schön, noch sinnvoll aufgeteilt sind, sie sollen nur den Zweck erfüllen. Bei testing werde ich mit dem gcc-4.0 wohl noch warten müssen, bis alles damit gebaut wurde. Da hatte ich wohl nochmal Glück, das er nicht als default genommen wurde. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgpVUO60JE7TD.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Andreas Pakulat [EMAIL PROTECTED] wrote: On 29.Jun 2005 - 22:44:15, Sven Hartge wrote: Andreas Pakulat [EMAIL PROTECTED] wrote: On 29.Jun 2005 - 20:16:48, Sven Hartge wrote: Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für Falten auf der Stirn sorgen, zumindest am Anfang. Inwiefern? Also als Enduser meine ich? Je nach Konfiguration prüft apt bzw. dpkg dann immer auf eine entsprechende Signatur. Hast du jetzt z.B. andere Quellen eingebunden, fragt das System jedes Mal nach, ob du wirklich die unsignierten DEBs installieren willst. Hmm, da werd ich wohl sehr schnell den Schalter zum Ausschalten suchen. Ich bau hier in letzter Zeit öfter mal Pakete aus unstable selbst nach um kleine Fixes einzupflegen. Da wäre das ganz schön nervig. apt-key update und apt-get install debian-keyring helfen zumindest, wenn man nur normale Archive eingetragen hat. Ich habe die Doku noch nicht studiert, aber es wäre gut, wenn man via Schalter explizit für bestimmte URLs die Prüfung abschalten könnte, so daß man Pakete direkt von Debian immer noch prüfen läßt. Aber keine Ahnung, ob das so vorgesehen ist. Mal gleich noch ne Nachfrage an dich (bevor ich hier selbst ne Riesensuche veranstalte): Gibts ne Möglichkeit rauszukriegen ob ein deb mit oder ohne -us -uc Optionen bei dpkg-buildpackage gebaut wurde? Sprich ob die deb's signiert sind oder nicht? Öhhh, da muss ich passen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, 29. Juni 2005 23:38 schrieb Andreas Pakulat: Mal gleich noch ne Nachfrage an dich (bevor ich hier selbst ne Riesensuche veranstalte): Gibts ne Möglichkeit rauszukriegen ob ein deb mit oder ohne -us -uc Optionen bei dpkg-buildpackage gebaut wurde? Sprich ob die deb's signiert sind oder nicht? -us ist recht leicht zu erkennen. Musst dir einfach die .dsc ansehen, und du weißt es. Guck dir einfach die hier an: www.vollstreckernet.de/debian/dists/testing/amule/source/amule_2.0.1+CVS20050530-1.dsc Bei -uc müsste ich nachgucken welche Datei signiert wird, das kann ich aber erst morgen, da in den Logs von heute nur ein 404 auftaucht, weil der Server mit den CVS-Tarballs heute einen Plattenschaden hatte. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgpOFjpsyvWkF.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 29.Jun 2005 - 23:48:09, Werner Mahr wrote: Am Mittwoch, 29. Juni 2005 22:18 schrieb Andreas Pakulat: wx-2.4 und wx-2.5 sind zwei verschiedene Geschichten, bei meinen 2.5-er Paketen siehts z.B. so aus: Naja, von den Abhaengigkeiten eigentlich nicht... Depends: libatk1.0-0 (= 1.7.2), libc6 (= 2.3.2.ds1-4), libesd0 (= 0.2.29-1) | libesd-alsa0 (= 0.2.29-1), libexpat1 (= 1.95.8), libgcc1 (= 1:3.4.1-3), libglib2.0-0 (= 2.6.0), libgtk2.0-0 (= 2.6.0), libjpeg62, libpango1.0-0 (= 1.8.1), libpng12-0 (= 1.2.8rel), libstdc++5 (= 1:3.3.4-1), libtiff4, xlibmesa-gl | libgl1, xlibmesa-glu | libglu1, zlib1g (= 1:1.2.1) Alles C, ausser die libstdc++... Bei testing werde ich mit dem gcc-4.0 wohl noch warten müssen, bis alles damit gebaut wurde. Da hatte ich wohl nochmal Glück, das er nicht als default genommen wurde. Wie gesagt: Weder wx-2.5 noch amule sollten da Probleme machen, solange die neuere libstdc++6 in Sarge verfügbar ist (was sie sein sollte von gcc-3.4 bzw 4.0 da sind). Andreas -- Things will be bright in P.M. A cop will shine a light in your face. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 30.Jun 2005 - 00:08:56, Werner Mahr wrote: -us ist recht leicht zu erkennen. Musst dir einfach die .dsc ansehen, und du weißt es. Guck dir einfach die hier an: Bei -uc müsste ich nachgucken welche Datei signiert wird Die .changes, lt. manpage von dpkg-buildpackage jedenfalls. Aber ich glaube keine der beiden Optionen hat Einfluss auf das neue apt-Zeugs, wenn da wirklich die deb's signiert werden... Andreas -- A visit to a strange place will bring fresh work. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, den 29.06.2005, 22:44 +0200 schrieb Sven Hartge: Andreas Pakulat [EMAIL PROTECTED] wrote: On 29.Jun 2005 - 20:16:48, Sven Hartge wrote: Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für Falten auf der Stirn sorgen, zumindest am Anfang. Inwiefern? Also als Enduser meine ich? Je nach Konfiguration prüft apt bzw. dpkg dann immer auf eine entsprechende Signatur. Hast du jetzt z.B. andere Quellen eingebunden, fragt das System jedes Mal nach, ob du wirklich die unsignierten DEBs installieren willst. Da die Pakete selbst nicht signiert sind, könnte es ein, dass apt einfach nur die signierten Release-Dateien (Release.gpg) prüft, so wie das ursprünglich auch mal vorgesehen war? apt-check-sigs script, http://www.debian.org/doc/manuals/securing-debian-howto/ch7.de.html#s-deb-pack-sign) Dieses Verhalten dürfte bei einigen für Verwunderung sorgen. Es wäre nur die Implementierung einer schon sehr lange diskutierten Lösung (stand schon länger im Securing Manual). MfG Daniel
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, den 29.06.2005, 23:38 +0200 schrieb Andreas Pakulat: On 29.Jun 2005 - 22:44:15, Sven Hartge wrote: Andreas Pakulat [EMAIL PROTECTED] wrote: On 29.Jun 2005 - 20:16:48, Sven Hartge wrote: Z.B. migriert gerade apt 0.6.0 nach Unstable, das dürfte auch ein paar Wellen schlagen, vor allem die Möglichkeit der kryptographischen Absicherung von Paketen (Ubuntu hat das schon länger) dürfte für Falten auf der Stirn sorgen, zumindest am Anfang. Inwiefern? Also als Enduser meine ich? Je nach Konfiguration prüft apt bzw. dpkg dann immer auf eine entsprechende Signatur. Hast du jetzt z.B. andere Quellen eingebunden, fragt das System jedes Mal nach, ob du wirklich die unsignierten DEBs installieren willst. Hmm, da werd ich wohl sehr schnell den Schalter zum Ausschalten suchen. Ich bau hier in letzter Zeit öfter mal Pakete aus unstable selbst nach um kleine Fixes einzupflegen. Da wäre das ganz schön nervig. Mal gleich noch ne Nachfrage an dich (bevor ich hier selbst ne Riesensuche veranstalte): Gibts ne Möglichkeit rauszukriegen ob ein deb mit oder ohne -us -uc Optionen bei dpkg-buildpackage gebaut wurde? Eigentlich nicht, weil man unsignierte Pakete (mit -us -uc gebaut) auch nachträglich mit debsign signieren kann :) Sprich ob die deb's signiert sind oder nicht? Die sind nicht signiert. Die .dsc und .changes sind. Außer irgend etwas grundsätzliches hat sich verändert. Davon habe ich aber nichts gehört. MfG Daniel
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Donnerstag, den 30.06.2005, 00:54 +0200 schrieb Daniel Leidert: Am Mittwoch, den 29.06.2005, 23:38 +0200 schrieb Andreas Pakulat: [snip] Sprich ob die deb's signiert sind oder nicht? Die sind nicht signiert. Die .dsc und .changes sind. Außer irgend etwas grundsätzliches hat sich verändert. Davon habe ich aber nichts gehört. Ups. Da muss ich mich revidieren. Die Möglichkeit besteht (debsigs/debsig-verify), wird aber wohl nicht standardmäßig eingesetzt. MfG Daniel
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Donnerstag, 30. Juni 2005 00:34 schrieb Andreas Pakulat: On 30.Jun 2005 - 00:08:56, Werner Mahr wrote: -us ist recht leicht zu erkennen. Musst dir einfach die .dsc ansehen, und du weißt es. Guck dir einfach die hier an: Bei -uc müsste ich nachgucken welche Datei signiert wird Die .changes, lt. manpage von dpkg-buildpackage jedenfalls. Dann hast du da aber wenig Chancen, ich weiß zwar nicht obs im offiziellen Repository gewünscht wird, das die verfügbar ist, nötig ist sie auf jeden Fall nicht. Aber ich glaube keine der beiden Optionen hat Einfluss auf das neue apt-Zeugs, wenn da wirklich die deb's signiert werden... Ich denke mal das da ein neues Feld im Control von dem Deb eingefügt wird, das ganze Deb durch gpg oder so zu jagen macht ja nicht wirklich Sinn. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgpFrq9WOQe1W.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Donnerstag, 30. Juni 2005 00:54 schrieb Daniel Leidert: Mal gleich noch ne Nachfrage an dich (bevor ich hier selbst ne Riesensuche veranstalte): Gibts ne Möglichkeit rauszukriegen ob ein deb mit oder ohne -us -uc Optionen bei dpkg-buildpackage gebaut wurde? Eigentlich nicht, weil man unsignierte Pakete (mit -us -uc gebaut) auch nachträglich mit debsign signieren kann :) Wobei man dann ja den selben Effekt hat, wie wenn man -us -uc gleich weg lässt. Man kann zwar alles nochmal von Hand prüfen, und es ist nicht so umständlich zu automatisieren (ich musste mir extra nen Wrapper basteln), aber für den Nutzer macht das keinen Unterschied. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgp9J35wGrvkO.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Dienstag, 28. Juni 2005 00:19 schrieb Markus Schulz: Ich habe dann vor 2 Wochen Ron wegen den 2.6er Paketen angeschrieben, und nach 5 Tagen bekam ich zur Antwort, das sie in Arbeit sind, er aber noch Probleme zu lösen hätte. Auf meine Frage, wo ich denn den aktuellen Stand einsehen könnte, da ich Arbeitslos bin hab ich ja Zeit Probleme zu lösen, kam bis heute keine Antwort. Wieso stört denn, das 2.5.3 parallel noch installiert sein kann? Das stört überhaupt nicht. Ich biete tägliche CVS-Builds von amule als deb an, und werde mit Anfragen nach 2.6 überhäuft. Dummerweise kann man nicht auf Pakete dependen, die es nicht gibt. Selbst machen will ich das ganze aber nicht, weil ich sonst wieder den Leuten erklären muss, wie sie die Originalen Pakete installieren wenn sie mal da sind. Ich kann nicht sicherstellen, das ein Upgrade auf orig-deb's funktioniert, solange ich nichtmal die Namen davon weiß. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgpo5Sg3PDEXP.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Ich ergreife i.d.R. ungerne Partei, aber hier redest schlicht Blödsinn. Oder plapperst irgendwelchen FUD von Leuten nach, die einen Sündenbock für ihr Versagen gefunden haben. Darf ich Dich an den Streit erinnern, den Madkiss mit dem KDE Projekt inziniert hatte ? Die Pakete, die von der KDE MAnnschaft kamen hatten ja perfekt funktioniert. Bis da ein Madkiss meinte, die qt3 Pakete müssten unbedingt ein c102 im Namen tragen, rrrums. apt-get upgrade hatte dann mal eben die gesammte KDE Installation gelöscht. DAS nenne ich ein Globalversagen. Darum ist meine Aussage kein FUD. Madkiss ist IMO eine der letzten Personen, die das taktische Auswarten gutheissen. Aber einen inkompatiblen und Unbrauchbaren Weg gewählt haben und sich nicht mit Argumenten überzeugen lassen oder Hilfe annehmen. Sein Verhalten hat dazu geführt, daß KDE in Debian nie aktuell war und je sein kann. Da sind ja kritische Fixes unter den Tisch gefallen. Madkiss als Maintainer der QTX.Y Pakete ist für mich einer der Gründe immer weniger Debian einzusetzen. Wer weiss welche krude Idee da als nächstes kommt ? c103 ? Wir setzen heute lieber KUbuntu ein. Debian kommt eh zu spät. Das ist leider wahr. Mir wäre das Debian an sich viel lieber. Aber die Super Verzögerungen sind einfach nicht hinnehmbar. sicher wir können die Dinge hier selber backen, aber das kann ja nicht der Sinn sein. Wir entwickeln individuelle Industrielösungen (Automatisierung von Kranen), da kann man nicht einfach mir nichts dir nichts mal eine Distri wechseln. Da ist Kontinuität gefragt, Stabilität, auch in manchen Dingen Aktualität. Gerade QT3 ist essentiel - wegen der herrvoragenden Datenbank API, seit heute arbeiten wir bereits an der Umstellung zum QT4. Jürgen Sauer -- Jürgen Sauer - AutomatiX GmbH, +49-4209-4699, [EMAIL PROTECTED] ** ** Das Linux Systemhaus - Service - Support - Server - Lösungen ** ** http://www.automatix.deICQ: #344389676 ** OpenOffice erhalten Sie hier kostenfrei http://de.openoffice.org/ pgpyKqc6Is18U.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On Mon, Jun 27, 2005 at 01:27:33PM +0200, Juergen Sauer wrote: Am Montag, 27. Juni 2005 13:05 schrieb Patrick Cornelissen: Fakt ist, daß es so nicht wirklich weitergehen kann. Ob die Manpower, die in Richtung Ubuntu abgewandert ist auch wieder zurück kommt ist mir nicht klar, schön wäre es natürlich, weil die Projekte ja doch arg verwand sind. Ich glaube kaum, das hier noch was zu bewegen ist. Debian ist zu starr geworden. Auss innovation wird Starre, Halsstarrigkeit, Rückschritt. Wenn wir Pech haben, dann stehen wir vor dem nächsten Evolutionsschritt von Debian, der in einer Teilung des Projektes endet. Hoffen wir mal, daß ich nicht recht behalte. Die Methodik in allem etwas sehr zu spät zu sein, trägt allmählich zu diesen Ergebnissen bei. Das Monster Release Sarge, das eigentlich schon veraltet ist (Warum eigentlich kein KDE 3.4.x ?), kein X.org ... Warum eigentlich ? Der verrückte Madkiss, der die KDE Releases immer wieder verzögert im 3Debian Strang verzögert und unmöglich gemacht hatte. (Maintainer vom QT mit c102 Releases ...) Wir setzen heute lieber KUbuntu ein. Debian kommt eh zu spät. Ausserdem werden Verbesserungsvorschläge im Ubuntu auch mal ernst genommen und nicht im eigenen Saft verlabert. Das scheint mir ja alles wie in der Soziokultur zu sein. Diesen Eindruck hatte ich schon letztens im linuxmagazin als es um die debian Wahl ging. Diese Projekte laufen am Anfang ganz gut. Nur irgendwann verlabert man sich zunehmens und tritt auf der stelle. - Meiner Erfahrung nach hat es oft mit den niederen Beweggründen des Menschen zu tun, Macht, Anerkennung, Neid usw. -- So wie in Berlin da tritt man auch auf der Stelle -- Später kommt der Realitätsverlust dazu. Entschuldigt bitte, wenn ich mich so hart und pesimistisch ausdrücke. Der Vorteil den ich gegenüber geschlossenen Projekten sehe ist das hier jeder kommen und gehen kann. Mit anderen Worten wenn wir der Meinung sind debian ist gegen die Wand gefahren, könnten wir gehen. Das wäre durchaus schade. Ich persönlich benutze debian schon seit mitte '90 Naja, c-toph -- best regards Schoene Gruesse Christoph Marcel Hilberg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 28.Jun 2005 - 08:38:23, Werner Mahr wrote: Am Dienstag, 28. Juni 2005 00:19 schrieb Markus Schulz: Ich habe dann vor 2 Wochen Ron wegen den 2.6er Paketen angeschrieben, und nach 5 Tagen bekam ich zur Antwort, das sie in Arbeit sind, er aber noch Probleme zu lösen hätte. Auf meine Frage, wo ich denn den aktuellen Stand einsehen könnte, da ich Arbeitslos bin hab ich ja Zeit Probleme zu lösen, kam bis heute keine Antwort. Wieso stört denn, das 2.5.3 parallel noch installiert sein kann? Das stört überhaupt nicht. Ich biete tägliche CVS-Builds von amule als deb an, und werde mit Anfragen nach 2.6 überhäuft. Dummerweise kann man nicht auf Pakete dependen, die es nicht gibt. Doch das geht. Brauch ich nur mal nen passenden Suchfilter in aptitude setzen - da gibts einige in unstable die auf nicht-existente Pakete dependen... (oder conflicten...) Andreas -- You will be awarded some great honor. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Dienstag, 28. Juni 2005 10:19 schrieb Andreas Pakulat: Das stört überhaupt nicht. Ich biete tägliche CVS-Builds von amule als deb an, und werde mit Anfragen nach 2.6 überhäuft. Dummerweise kann man nicht auf Pakete dependen, die es nicht gibt. Doch das geht. Brauch ich nur mal nen passenden Suchfilter in aptitude setzen - da gibts einige in unstable die auf nicht-existente Pakete dependen... (oder conflicten...) Conflicten ist ja kein Problem, aber in testing sollten schon alle dependencies erfüllt sein. Im Laufe der Woche, kommen auch noch Pakete für Sarge dazu, da sollte erst recht alles auflösbar sein. Ich denke da aber eher an die Zeit, wenn Ron endlich die Pakete fertig hat. Wenn ich jetzt Pakete zusammenstell, und bei einem passt der Name nicht zu denen von Ron, dann fangen die Probleme an. Beim Upate werden sicher einige Pakete meckern, das Dateien aus anderen Paketen überschrieben werden sollen. Conflicten kann ich auch nicht, da ich dafür auch den Namen wissen müsste. Und an wen wenden sich dann die Leute die Probleme haben? An mich. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgp4Snliqz3u6.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 28.Jun 2005 - 10:50:48, Werner Mahr wrote: Am Dienstag, 28. Juni 2005 10:19 schrieb Andreas Pakulat: Das stört überhaupt nicht. Ich biete tägliche CVS-Builds von amule als deb an, und werde mit Anfragen nach 2.6 überhäuft. Dummerweise kann man nicht auf Pakete dependen, die es nicht gibt. Doch das geht. Brauch ich nur mal nen passenden Suchfilter in aptitude setzen - da gibts einige in unstable die auf nicht-existente Pakete dependen... (oder conflicten...) Conflicten ist ja kein Problem, aber in testing sollten schon alle dependencies erfüllt sein. In testing schon, deswegen sprach ich von unstable... Achja und einen ;-) hab ich auch vergessen ;-) Andreas -- You'll be called to a post requiring ability in handling groups of people. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Juergen Sauer [EMAIL PROTECTED] wrote: Die Pakete, die von der KDE MAnnschaft kamen hatten ja perfekt funktioniert. Bis da ein Madkiss meinte, die qt3 Pakete müssten unbedingt ein c102 im Namen tragen, rrrums. apt-get upgrade hatte dann mal eben die gesammte KDE Installation gelöscht. DAS nenne ich ein Globalversagen. Darum ist meine Aussage kein FUD. Du weisst aber schon, warum das c102 nötig war, ja? S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
* Juergen Sauer wrote: Die Pakete, die von der KDE Mannschaft kamen hatten ja perfekt funktioniert. Bis da ein Madkiss meinte, die qt3 Pakete müssten unbedingt ein c102 im Namen tragen, rrrums. Du hast offenbar _keine_ Ahnung warum das damals noetig war. Also sei vorsichtig mit dem was du hier ablaesst, es koennte nach hinten los gehen. DAS nenne ich ein Globalversagen. Darum ist meine Aussage kein FUD. Das ist Bullshit. Informiere dich. Norbert -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Norbert Tretkowski wrote: * Juergen Sauer wrote: Die Pakete, die von der KDE Mannschaft kamen hatten ja perfekt funktioniert. Bis da ein Madkiss meinte, die qt3 Pakete müssten unbedingt ein c102 im Namen tragen, rrrums. Du hast offenbar _keine_ Ahnung warum das damals noetig war. Also sei vorsichtig mit dem was du hier ablaesst, es koennte nach hinten los gehen. DAS nenne ich ein Globalversagen. Darum ist meine Aussage kein FUD. Das ist Bullshit. Informiere dich. Norbert Ich habe nicht alles in diesem Thread gelesen, aber könnte mir jemand sagen, was c102 ist? Danke Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 28.Jun 2005 - 15:14:26, Thomas Grieder wrote: Norbert Tretkowski wrote: * Juergen Sauer wrote: Die Pakete, die von der KDE Mannschaft kamen hatten ja perfekt funktioniert. Bis da ein Madkiss meinte, die qt3 Pakete müssten unbedingt ein c102 im Namen tragen, rrrums. Du hast offenbar _keine_ Ahnung warum das damals noetig war. Also sei vorsichtig mit dem was du hier ablaesst, es koennte nach hinten los gehen. DAS nenne ich ein Globalversagen. Darum ist meine Aussage kein FUD. Das ist Bullshit. Informiere dich. Norbert Ich habe nicht alles in diesem Thread gelesen, aber könnte mir jemand sagen, was c102 ist? Guck mal ins Archiv, so Winter 2003 (IIRC). Es ging um die Aenderung von gcc-2.95 auf gcc-3.2 als Standardcompiler. Dabei hat sich das Binaer-Interface von C++Programmen/Libs geaendert und aus dem Grund haben die C++-Libs alle ein c102 bekommen. Genaueres koennen Norbert und Sven oder Ingo sicher noch zu den Gruenden sagen... Andreas -- Your supervisor is thinking about you. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Andreas Pakulat wrote: On 28.Jun 2005 - 15:14:26, Thomas Grieder wrote: [...] Ich habe nicht alles in diesem Thread gelesen, aber könnte mir jemand sagen, was c102 ist? Guck mal ins Archiv, so Winter 2003 (IIRC). Es ging um die Aenderung von gcc-2.95 auf gcc-3.2 als Standardcompiler. Dabei hat sich das Binaer-Interface von C++Programmen/Libs geaendert und aus dem Grund haben die C++-Libs alle ein c102 bekommen. Genaueres koennen Norbert und Sven oder Ingo sicher noch zu den Gruenden sagen... Andreas Alles klar. Danke! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Thomas Grieder [EMAIL PROTECTED] wrote: Ich habe nicht alles in diesem Thread gelesen, aber könnte mir jemand sagen, was c102 ist? Das hing mit der ABI-Änderung (Application Binary Interface) des C++-Binärcodes zusammen, welcher beim Wechsel von gcc-2.95 auf gcc-3.2 als Default-Kompiler anfiel. Dabei waren neue Paket-Namen für Libraries nötig, damit apt/dpkg die Updates korrekt handhaben konnten. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Juergen Sauer wrote: Mir wäre das Debian an sich viel lieber. Aber die Super Verzögerungen sind einfach nicht hinnehmbar. sicher wir können die Dinge hier selber backen, aber das kann ja nicht der Sinn sein. Was spricht gegen backports? Wird eigentlich der ubuntu und kbuntu-desktop backgeported? Wie gehts bei backports.org weiter? mfg Markus -- http://www.markus-raab.org | Es gibt keine einfachen Lösungen für sehr -o) | komplizierte Probleme. Man muß den Faden Kernel 2.6.11.10 /\ | geduldig entwirren, damit er nicht reißt. on a i686 _\_v | -- Michail Sergejewitsch Gorbatschow -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
* Markus Raab wrote: Wie gehts bei backports.org weiter? http://www.inittab.de/blog/2005/04/29#20050429_status Norbert -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Moin, Am Dienstag, den 28.06.2005, 20:57 +0200 schrieb Markus Raab: Was spricht gegen backports? 1. Das Mischen von Backports aus verschiedenen Quellen kann dir Probleme einhandeln, die sonst keiner hat. Der Backporter hat ja keine Chance, alle möglichen Zusammenhänge zu testen. 2. Einem Backport fehlt der Rückhalt einer Distribution. Wenn der Maintainer nachts aus der Kneipe kommt und in einen Gully fällt, springt möglicherweise niemand ein und man steht doof da mit seiner Kiste. Backports sind eine schöne Sache - man sollte aber einmal mehr überlegen, ob man das wirklich will. Ein Backport eines Screensavers ist etwas anderes als des kompletten Apache. Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/ signature.asc Description: This is a digitally signed message part
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 2005-06-27 23:23:43 +0200, Andreas Pakulat wrote: On 27.Jun 2005 - 21:52:56, Michael Bienia wrote: On 2005-06-27 19:15:25 +0200, Andreas Pakulat wrote: On 27.Jun 2005 - 13:51:13, Philipp Kern wrote: Lasst die Ubuntu-Leute werkeln... Kein Problem, ich hab ja auch nix gegen Ubuntu (wenn ein dist-upgrade moeglich waer wuerde ich vllt. sogar wechseln) https://www.ubuntulinux.org/support/documentation/faq/upgrade-sarge Dumm nur, dass ich sid+experimental+marillat+muttng hier laufen hab :-( Ich bin auch von sid+experimental (gnome 2.10) zu Ubuntu gewechselt. Bei Marillat hängt es davon ab, ob du Hoary oder Breezy nutzen willst, da in Breezy gerade auf gcc-4.0/g++-4.0 gewechselt wird. Zu muttng kann ich nichts sagen, im schlimmsten Fall darfst du es neu kompilieren. Ich habe nach dieser Anleitung zwei Rechner erfolgreich von Debian unstable zu Ubuntu Hoary migriert. Hach, ich sollte erst lesen und dann anfangen zu schreiben... Interessant, hat (K)Ubuntu schon KDE3.4.1? Wie siehts mit Paketen aus die nicht in Ubuntu enthalten sind - kann man da sid-Pakete nutzen? (Oder haben die alle 11000 die auch in Debian sind?) In Breezy gibt es KDE 3.4.1. Ubuntu hat wie Debian auch mehrere Archive: - main, das eigentliche Ubuntu - restricted, non-free Pakete für main - universe, die restlichen Pakete aus Debian - multiverse, non-free + contrib, aber hier bin ich mir nicht sicher, so richtig blicke ich noch nicht durch. Bezüglich der Paketeauswahl dürfte im Vergleich zu Debian auch nichts fehlen: $ dpkg -l '*' | wc -l 20858 bei Breezy main+restriced+universe+multiverse. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Ich bin auch von sid+experimental (gnome 2.10) zu Ubuntu gewechselt. Bei Marillat hängt es davon ab, ob du Hoary oder Breezy nutzen willst, da in Breezy gerade auf gcc-4.0/g++-4.0 gewechselt wird. Zu muttng kann ich nichts sagen, im schlimmsten Fall darfst du es neu kompilieren. Moin, Liste! Ich habe da mal ein paar Fragen: - Gibt es mit dem Übergang von gcc3.x auf gcc4.x auch eine ABI-Änderung? - Ist ein Wechsel auf gcc4 auch bei Debian schon eingeplant? - Wäre jetzt nicht ein guter Zeitpunkt? Ich habe KDE 3.4.1 schon im experimental gesehen. Da könnte man gleich einen Schritt nach vorne machen... - Wer würde bei Debian einen Wechsel bestimmen? (Das zu Thema Transparenz) MfG, Klaus
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mittwoch, 29. Juni 2005 00:32 schrieb Klaus Kocher: - Gibt es mit dem Übergang von gcc3.x auf gcc4.x auch eine ABI-Änderung? Ich denke mal nicht. Meine wx-2.5.3 Pakete sind nich mit gcc3.x gebaut, seit gcc4.x in testing ist, baue ich die amule Pakete damit, und kann nicht mehr Probleme beklagen als vorher. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgptbEFzJlIs5.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Klaus Kocher [EMAIL PROTECTED] wrote: Ich bin auch von sid+experimental (gnome 2.10) zu Ubuntu gewechselt. Bei Marillat hängt es davon ab, ob du Hoary oder Breezy nutzen willst, da in Breezy gerade auf gcc-4.0/g++-4.0 gewechselt wird. Zu muttng kann ich nichts sagen, im schlimmsten Fall darfst du es neu kompilieren. - Gibt es mit dem Übergang von gcc3.x auf gcc4.x auch eine ABI-Änderung? Von 3.3 auf 3.4/4.0, ja. - Ist ein Wechsel auf gcc4 auch bei Debian schon eingeplant? Ja. - Wäre jetzt nicht ein guter Zeitpunkt? Ich habe KDE 3.4.1 schon im experimental gesehen. Da könnte man gleich einen Schritt nach vorne machen... Ja. Unstable ist derzeit für C++-Libs eingefroren. - Wer würde bei Debian einen Wechsel bestimmen? (Das zu Thema Transparenz) Das Release-Team in Kombination mit den GCC-Maintainern. Das abstimmen zu lassen macht keinen Sinn, da es sich hier um eine technische Notwendigkeit, die gemacht werden muss, demokratische Elemente haben also dabei nicht zu suchen, da es keinen Konsensgrund gibt. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 29.Jun 2005 - 01:16:51, Werner Mahr wrote: Am Mittwoch, 29. Juni 2005 00:32 schrieb Klaus Kocher: - Gibt es mit dem Übergang von gcc3.x auf gcc4.x auch eine ABI-Änderung? Ich denke mal nicht. Erst informieren dann posten ;-) Klaro gibts ne ABI-Aenderung, sonst wäre 3.4/4.0 schon laengst Standard in Debian (naja kurz nach dem Sarge-Release) und KDE3.4 auch schon in unstable. Meine wx-2.5.3 Pakete sind nich mit gcc3.x gebaut, seit gcc4.x in testing ist, baue ich die amule Pakete damit, und kann nicht mehr Probleme beklagen als vorher. Sind amule oder wx in C++ geschrieben? Denn die C-ABI hat sich seit Äonen nicht mehr geändert (und das wird sie auch nicht), wohingegen die C++-ABI deutlich instabiler ist (da der Standard noch nicht sehr alt ist, z.B.). Natürlich kann man auch C++-Programme mit gcc-4.0 oder 3.4 bauen die in unstable oder testing laufen, sofern sie keine weiteren C++-Libs benutzen die mit gcc-3.3 kompiliert sind. Andreas -- If you think last Tuesday was a drag, wait till you see what happens tomorrow! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 28.Jun 2005 - 23:19:35, Michael Bienia wrote: On 2005-06-27 23:23:43 +0200, Andreas Pakulat wrote: On 27.Jun 2005 - 21:52:56, Michael Bienia wrote: On 2005-06-27 19:15:25 +0200, Andreas Pakulat wrote: On 27.Jun 2005 - 13:51:13, Philipp Kern wrote: Lasst die Ubuntu-Leute werkeln... Kein Problem, ich hab ja auch nix gegen Ubuntu (wenn ein dist-upgrade moeglich waer wuerde ich vllt. sogar wechseln) https://www.ubuntulinux.org/support/documentation/faq/upgrade-sarge Dumm nur, dass ich sid+experimental+marillat+muttng hier laufen hab :-( Ich bin auch von sid+experimental (gnome 2.10) zu Ubuntu gewechselt. Bei Marillat hängt es davon ab, ob du Hoary oder Breezy nutzen willst, da in Breezy gerade auf gcc-4.0/g++-4.0 gewechselt wird. Inwiefern? Ich hab grad keine Lust nachzuschauen... Ich hole mir von Marillat vor allem die DVD-libs und die win32-Codecs. Mplayer brauch ich nicht. Aber in jedem Fall dachte ich o.g. waeren in C geschrieben, da macht der Umstieg ja eh keine Probleme... Zu muttng kann ich nichts sagen, im schlimmsten Fall darfst du es neu kompilieren. Auch der ist in C geschrieben, da sollte es also eigentlich auch keine Probleme geben... $ dpkg -l '*' | wc -l 20858 bei Breezy main+restriced+universe+multiverse. [EMAIL PROTECTED]:~dpkg -l '*' | wc -l 18261 ;-( Andreas -- Alimony and bribes will engage a large share of your wealth. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Servus, lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Grüsse, Patrick Wunderlich http://www.xkill.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Montag, 27. Juni 2005 12:24 schrieb Patrick Wunderlich: lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Ich denke mal das ist einfach nur persönliche Überlastung. Wir sollten nicht meckern, sondern mit anpacken, damit die Kuh vom Eis kommt. OpenSource und freie Software heisst auch sich engagieren und mit zufassen, nicht nur konsumieren. Jojo -- Jürgen Sauer - AutomatiX GmbH, +49-4209-4699, [EMAIL PROTECTED] ** ** Das Linux Systemhaus - Service - Support - Server - Lösungen ** ** http://www.automatix.deICQ: #344389676 ** OpenOffice erhalten Sie hier kostenfrei http://de.openoffice.org/ pgpDKnAY0XBxC.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Patrick Wunderlich wrote: lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Ich finde, daß dies schon als ernste Krise zu werten ist. Gerade die Security Infrastruktur ist IMHO das Herzstück einer guten Distribution und ich hoffe, daß viele Newsseiten, das Thema aufgreifen, damit hier einmal Bewegung in die Sache kommt. Ich habe das Gefühl, daß die hohen Tiere bei Debian zu viel Höhenluft geschnuppert haben und daher an Sauerstoffmangel leiden... Ich sehe das als Chance auf Besserung, da die Publicity dieses Problems, evtl. den Leidensdruck so stark erhöht, daß gehandelt werden muss. Fakt ist, daß es so nicht wirklich weitergehen kann. Ob die Manpower, die in Richtung Ubuntu abgewandert ist auch wieder zurück kommt ist mir nicht klar, schön wäre es natürlich, weil die Projekte ja doch arg verwand sind. Wenn wir Pech haben, dann stehen wir vor dem nächsten Evolutionsschritt von Debian, der in einer Teilung des Projektes endet. Hoffen wir mal, daß ich nicht recht behalte. -- MfG, Patrick Cornelissen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 27.Jun 2005 - 12:24:50, Patrick Wunderlich wrote: Servus, lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Zu dem ganzen faellt mir eigentlich nur eines ein: Die abtruennigen DM feuern. Den Account sperren und schnellstens Ersatz suchen. Alles andere wird nichts bringen. Andreas -- You have a deep appreciation of the arts and music. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Montag, 27. Juni 2005 13:05 schrieb Patrick Cornelissen: Fakt ist, daß es so nicht wirklich weitergehen kann. Ob die Manpower, die in Richtung Ubuntu abgewandert ist auch wieder zurück kommt ist mir nicht klar, schön wäre es natürlich, weil die Projekte ja doch arg verwand sind. Ich glaube kaum, das hier noch was zu bewegen ist. Debian ist zu starr geworden. Auss innovation wird Starre, Halsstarrigkeit, Rückschritt. Wenn wir Pech haben, dann stehen wir vor dem nächsten Evolutionsschritt von Debian, der in einer Teilung des Projektes endet. Hoffen wir mal, daß ich nicht recht behalte. Die Methodik in allem etwas sehr zu spät zu sein, trägt allmählich zu diesen Ergebnissen bei. Das Monster Release Sarge, das eigentlich schon veraltet ist (Warum eigentlich kein KDE 3.4.x ?), kein X.org ... Warum eigentlich ? Der verrückte Madkiss, der die KDE Releases immer wieder verzögert im 3Debian Strang verzögert und unmöglich gemacht hatte. (Maintainer vom QT mit c102 Releases ...) Wir setzen heute lieber KUbuntu ein. Debian kommt eh zu spät. Ausserdem werden Verbesserungsvorschläge im Ubuntu auch mal ernst genommen und nicht im eigenen Saft verlabert. Jojo -- Jürgen Sauer - AutomatiX GmbH, +49-4209-4699, [EMAIL PROTECTED] ** ** Das Linux Systemhaus - Service - Support - Server - Lösungen ** ** http://www.automatix.deICQ: #344389676 ** OpenOffice erhalten Sie hier kostenfrei http://de.openoffice.org/ pgpVjgB1mJgAW.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Juergen Sauer [EMAIL PROTECTED] wrote: Am Montag, 27. Juni 2005 12:24 schrieb Patrick Wunderlich: lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Ich denke mal das ist einfach nur persönliche Überlastung. Wir sollten nicht meckern, sondern mit anpacken, damit die Kuh vom Eis kommt. IIRC haben immer wieder Leute angeboten, dem Security zu helfen, diese Hilfe wurde aber immer ausgeschlagen. Das Ergebnis ist nun zu bewundern. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Andreas Pakulat wrote: Zu dem ganzen faellt mir eigentlich nur eines ein: Die abtruennigen DM feuern. Den Account sperren und schnellstens Ersatz suchen. Alles andere wird nichts bringen. Oh man... Was soll denn das? Das erinnert mich irgendwie an den DD, der auf dem LinuxTag einen Ubuntu-Dev vom Stand vertreiben wollte, unter dem Motto Ich war mit Ubuntu noch nie einverstanden. Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian abgezogen werden. Aber seit wann wollen wir die Weltherrschaft? Debian hat ein anderes Ziel als Ubuntu, nämlich ein universelles Betriebssystem zu entwickeln. Dazu gehören nun mal auch verschiedene Architekturen. So ist das nun mal. Der Kernpunkt von Debian liegt auch auf Stabilität, und wenn dies durch alte Pakete erreicht werden muss. Ubuntu versucht auch wieder mit Debian zu mergen und die Änderungen zurückfließen zu lassen, aber mir würde das auch keinen Spaß machen, wenn mir nur Antipathie entgegenstößt (abgesehen davon, dass es für Ubuntu nur Vorteile hat, es so zu machen). Lasst die Ubuntu-Leute werkeln... Wenn ihnen was an Debian liegt, wird Debian davon profitieren, ansonsten kann man es auch nicht ändern. Dass Entwickler von Debian abwandern ist nachzuvollziehen, aber es wird erwartet, dass sie das klar darlegen und verantwortungsvoll in Positionen bei Debian zurücktreten, wenn sie es zeitlich nicht mehr schaffen. Nur ein Feuern bringt nichts, und würde ich auch nicht befürworten[1]. Ciao, Philipp Kern [1] Ich glaube auch, dass das nicht einfach wäre, da soweit ich das sehe, ein Verstoß gegen die Debian Machine Usage Policies so ziemlich das einzige ist, was einen aus dem Projekt kickt. -BEGIN PGP SIGNATURE- Comment: Fingerprint: 1710 7DB1 9A28 42FF B699 7654 ED1A 3933 B2CF CDD8 Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iEYEARECAAYFAkK/6DEACgkQ7Ro5M7LPzdge9wCgpFStTT+fkmfe/DxSpHWEX0L4 QYoAoJ0t3MoTs5K9inHsUo3CeZ5+MGSa =y7mk -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
* Sven Hartge ([EMAIL PROTECTED]) [050627 13:51]: Juergen Sauer [EMAIL PROTECTED] wrote: Am Montag, 27. Juni 2005 12:24 schrieb Patrick Wunderlich: lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Ich denke mal das ist einfach nur persönliche Überlastung. Wir sollten nicht meckern, sondern mit anpacken, damit die Kuh vom Eis kommt. IIRC haben immer wieder Leute angeboten, dem Security zu helfen, diese Hilfe wurde aber immer ausgeschlagen. Das Ergebnis ist nun zu bewundern. Das Problem liegt nicht beim Security-Team in diesem Fall. (Das mehr Leute in das security-Team sollten, ist ein anderer Fall. Und Joey hat auch angekündigt, das bald neue Leute dort aufgenommen werden.) Grüße, Andi -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
* Philipp Kern ([EMAIL PROTECTED]) [050627 13:52]: Ubuntu versucht auch wieder mit Debian zu mergen und die Änderungen zurückfließen zu lassen, aber mir würde das auch keinen Spaß machen, wenn mir nur Antipathie entgegenstößt (abgesehen davon, dass es für Ubuntu nur Vorteile hat, es so zu machen). In der Theorie ist das so. In der Praxis habe ich da einen etwas anderen Eindruck. Grüße, Andi -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 2005-06-27, Andreas Pakulat [EMAIL PROTECTED] wrote: On 27.Jun 2005 - 12:24:50, Patrick Wunderlich wrote: Servus, lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Zu dem ganzen faellt mir eigentlich nur eines ein: Die abtruennigen DM feuern. Den Account sperren und schnellstens Ersatz suchen. Alles andere wird nichts bringen. [x] du weisst nicht von wem und über was du sprichst. bye, - michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Andreas Barth [EMAIL PROTECTED] wrote: * Sven Hartge ([EMAIL PROTECTED]) [050627 13:51]: IIRC haben immer wieder Leute angeboten, dem Security zu helfen, diese Hilfe wurde aber immer ausgeschlagen. Das Ergebnis ist nun zu bewundern. Das Problem liegt nicht beim Security-Team in diesem Fall. (Das mehr Leute in das security-Team sollten, ist ein anderer Fall. Und Joey hat auch angekündigt, das bald neue Leute dort aufgenommen werden.) Wo liegt es denn? Och Leute, lasst euch doch nicht immer alles einzeln aus der Nase ziehen. Mehr Transparenz (wo möglich) bitte. Wird ja nicht nur von mir als wichtig empfunden, sondern auch von DDs selbst. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Sven Hartge wrote: Wo liegt es denn? Och Leute, lasst euch doch nicht immer alles einzeln aus der Nase ziehen. Mehr Transparenz (wo möglich) bitte. Wird ja nicht nur von mir als wichtig empfunden, sondern auch von DDs selbst. Das Sicherheitsteam ist der einzige Bereich in Debian, der nicht transparent laufen kann. Viele Sicherheitsprobleme müssen im Stillen gefixt werden, um an einem bestimmten Zeitpunkt veröffentlicht zu werden (- vendor-sec). Aber ich hoffe, dass es das Team selbst schafft, sich wieder auf die Beine zu bringen und Leute zu rekrutieren. Ciao, Philipp Kern -BEGIN PGP SIGNATURE- Comment: Fingerprint: 1710 7DB1 9A28 42FF B699 7654 ED1A 3933 B2CF CDD8 Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iEYEARECAAYFAkK//9UACgkQ7Ro5M7LPzdgAhgCfZATnSMV+7JXoif1A6V52gtKQ Xw8AoILPXBOsybQFlNVHmcXVlV5+5dJ3 =S35V -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Philipp Kern [EMAIL PROTECTED] wrote: Sven Hartge wrote: Wo liegt es denn? Och Leute, lasst euch doch nicht immer alles einzeln aus der Nase ziehen. Mehr Transparenz (wo möglich) bitte. Wird ja nicht nur von mir als wichtig empfunden, sondern auch von DDs selbst. Das Sicherheitsteam ist der einzige Bereich in Debian, der nicht transparent laufen kann. Viele Sicherheitsprobleme müssen im Stillen gefixt werden, um an einem bestimmten Zeitpunkt veröffentlicht zu werden (- vendor-sec). Das ist mir alles bekannt. Aber der Grund, woran die Verzögerungen derzeit liegen, dürfte wohl kaum unter diese Vereinbarung fallen. Zuerst waren es technische Probleme. Das wurde aber auch nicht kommuniziert, selbst DDs waren darüber nur unzureichend informiert. Dann hieß es, der LinuxTag wäre ein Problem, weil dies Personenn (z.B. Joey) zeitlich zu stark belasten würde (was ja auch korrekt ist, allerdings zeigt dies nur einmal mehr die mehr als unzureichende Personaldecke im Security-Team). Und jetzt heißt es, die Probleme liegen woanders. Ja, wo denn? polemik Gibt es den Debian-Ausredenkalender auch irgendwo zu kaufen? /polemik Ja, ich weiss, das dies unfair gegenüber all denen ist, die sich mehr als nur den Arsch aufreissen, die gegen den Strom schwimmen, die hinter den Kulissen als undankbaren Job alles am Laufen halten. Aber die Leute, die Debian einsetzen, also die Leute, für die Debian eigentlich gemacht wird (was sogar in den Statuten steht: Zuerst kommt bei Debian der User!), fühlen derzeit ein wenig verschaukelt, weil es scheinbar tiefgreifende Probleme gibt, die aber nur hinter der vorgehaltenen Hand kommuniziert werden. Ich als Debian-Verfechter finde das sehr traurig. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
ja hallo erstmal,.. Am Montag, 27. Juni 2005 15:32 schrieb Philipp Kern: Sven Hartge wrote: Wo liegt es denn? Och Leute, lasst euch doch nicht immer alles einzeln aus der Nase ziehen. Mehr Transparenz (wo möglich) bitte. Wird ja nicht nur von mir als wichtig empfunden, sondern auch von DDs selbst. Das Sicherheitsteam ist der einzige Bereich in Debian, der nicht transparent laufen kann. Viele Sicherheitsprobleme müssen im Stillen gefixt werden, um an einem bestimmten Zeitpunkt veröffentlicht zu werden (- vendor-sec). Auch dieser Bereich MUSS aber nach dem Debian social contract transparent geführt werden. Dies ist - ohne Änderung des d-s-c - keine Diskussionsgrundlage, sondern VERTRAGLICH vereinbart. Keep smiling yanosz
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
ja hallo erstmal,... Am Montag, 27. Juni 2005 12:24 schrieb Patrick Wunderlich: Servus, lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? business as usual. Debian IST VERDAMMT unsicher. So wurde der letzte Samba _remote_ _root_ _exploit_ 4 Monate nach Suse / off. Tarball co gefixt. Viele Pakete aus woody wie mozilla und kernel-image-*/source-* wurden am Ende gar nicht mehr gepflegt. Also: Debian IST unsicher, WAR unsicher, und WIRD in naher Zukunft verdammt unsicher sein.. Jeder der anderes glaubt, sollte debian-security verfolgen. Keep smiling yanosz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Jan Lühr wrote: Auch dieser Bereich MUSS aber nach dem Debian social contract transparent geführt werden. Dies ist - ohne Änderung des d-s-c - keine Diskussionsgrundlage, sondern VERTRAGLICH vereinbart. Ach ja? Aber Bugs, die nicht im BTS stehen, weil sie noch nicht veröffentlicht sind, zählen nicht dazu: We will keep our entire bug report database open for public view at all times. Reports that people file online will promptly become visible to others. Koordination bei Sicherheitsupdates ist wichtig. Es zählt nicht, dass einer erster ist mit dem Fix, sondern eher, dass alle gleichzeitig den Bug fixen und somit der Zeitraum vom Bekanntwerden bis zum Fix möglichst gering gehalten wird. Das ist im Interessen aller. Ciao, Philipp Kern -BEGIN PGP SIGNATURE- Comment: Fingerprint: 1710 7DB1 9A28 42FF B699 7654 ED1A 3933 B2CF CDD8 Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iEYEARECAAYFAkLACmcACgkQ7Ro5M7LPzdjnrACg33eWm1DisjUrTGAevaSDxYyX RUwAoNr8wfr/Cy5e3WxcidQe+w7EWBOR =IF3+ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
ja hallo erstmal,.. Am Montag, 27. Juni 2005 16:17 schrieb Philipp Kern: Jan Lühr wrote: Auch dieser Bereich MUSS aber nach dem Debian social contract transparent geführt werden. Dies ist - ohne Änderung des d-s-c - keine Diskussionsgrundlage, sondern VERTRAGLICH vereinbart. Ach ja? Aber Bugs, die nicht im BTS stehen, weil sie noch nicht veröffentlicht sind, zählen nicht dazu: We will keep our entire bug report database open for public view at all times. Reports that people file online will promptly become visible to others. Nein. Hier steht, dass die gesamte Bug Report Datenbank offen für die öffentlichkeit ist. Das Debian-Security-Team pflegt ihre eigene, inder die nicht offenen Dinge behandelt werden. Genau genommen heißt dies: Alles was ihr an Bugs veröffentlichen wollt, können wir nicht unterbinden, aber alles was ihr nicht veröffentlichen könnt veröffentlichen wir auch nicht. Es ist nicht möglich den dsc so zu beugen, dass hier nur vom d-s-c gesprochen wird. Btw. Der D-S-C sieht vor, dass alle Probleme im debian bts gepostet werden. Wenn offizielle Debian Kreise, dies nicht tun, trifft We will not hide problems definitiv nicht zu. Koordination bei Sicherheitsupdates ist wichtig. Es zählt nicht, dass einer erster ist mit dem Fix, sondern eher, dass alle gleichzeitig den Bug fixen und somit der Zeitraum vom Bekanntwerden bis zum Fix möglichst gering gehalten wird. Das ist im Interessen aller. Och ne - nicht full-disclosure gegen non-disclosure. (Ich bin sowieso für ersteres) fup2 /dev/null, falls fd vs. nd Keep smiling yanosz
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
da hast du leider recht ! ich habe dies auch so verfolgt - aber grund dafür gab es wirklich keinen. anfragen diesbezüglich verliefen im wald und hilfestellungen wurden nicht angenommen komisch komisch komisch bei sarge geht es gleich so los :-/ Jan Lühr wrote: ja hallo erstmal,... Am Montag, 27. Juni 2005 12:24 schrieb Patrick Wunderlich: Servus, lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? business as usual. Debian IST VERDAMMT unsicher. So wurde der letzte Samba _remote_ _root_ _exploit_ 4 Monate nach Suse / off. Tarball co gefixt. Viele Pakete aus woody wie mozilla und kernel-image-*/source-* wurden am Ende gar nicht mehr gepflegt. Also: Debian IST unsicher, WAR unsicher, und WIRD in naher Zukunft verdammt unsicher sein.. Jeder der anderes glaubt, sollte debian-security verfolgen. Keep smiling yanosz -- Harald Krammer Brucknerstrasse 33 A - 4020 Linz AUSTRIA Mobil +43.(0) 664. 130 59 58 Mail: hkrammer at a1.net Please avoid sending me Word or PowerPoint attachments. See http://www.fsf.org/philosophy/no-word-attachments.html -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Hallo, Am Montag, 27. Juni 2005 13:51 schrieb Philipp Kern: Andreas Pakulat wrote: Zu dem ganzen faellt mir eigentlich nur eines ein: Die abtruennigen DM feuern. Den Account sperren und schnellstens Ersatz suchen. Alles andere wird nichts bringen. [...] Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian abgezogen werden. Aber seit wann wollen wir die Weltherrschaft? Für alle, die Debian einsetzen ist die derzeitige Entwicklung und die zugehörige Diskussion schon etwas beunruhigend. Wenn die bezahlte Arbeit für Ubuntu ein Argument ist (was ich sofort verstehen würde, denn jeder muss ja von was leben), würde dann nicht eine freiwillige Lizenzgebühr für debian was bringen? Gruß W. Scharinger -- Werner Scharinger - Geschäftsführender Gesellschafter der soft hard Computerservice GmbH * Am Erlenbach 8 * 94032 Passau Tel. +49 851 33025 * Fax. +49 851 31725 * www.shcs.de Fördermitglied der Wirtschaftsjunioren Passau Mitglied der Strategiekommissionen der Wirtschaftsjunioren Bayern (www.wj-bayern.de) und Deutschland (www.wjd.de) c/o IHK für Niederbayern in Passau * Nibelungenstr. 15 * 94032 Passau
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Mon, 27 Jun 2005 17:53:06 +0200 schrieb Werner Scharinger [EMAIL PROTECTED]: Hallo, Am Montag, 27. Juni 2005 13:51 schrieb Philipp Kern: Andreas Pakulat wrote: Zu dem ganzen faellt mir eigentlich nur eines ein: Die abtruennigen DM feuern. Den Account sperren und schnellstens Ersatz suchen. Alles andere wird nichts bringen. [...] Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian abgezogen werden. Aber seit wann wollen wir die Weltherrschaft? Für alle, die Debian einsetzen ist die derzeitige Entwicklung und die zugehörige Diskussion schon etwas beunruhigend. Wenn die bezahlte Arbeit für Ubuntu ein Argument ist (was ich sofort verstehen würde, denn jeder muss ja von was leben), würde dann nicht eine freiwillige Lizenzgebühr für debian was bringen? Ich meine nein - freiwillige Spenden kann man auch jetzt schon einreichen Gruß W. Scharinger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Werner Scharinger schrieb: Hallo, Am Montag, 27. Juni 2005 13:51 schrieb Philipp Kern: Andreas Pakulat wrote: Zu dem ganzen faellt mir eigentlich nur eines ein: Die abtruennigen DM feuern. Den Account sperren und schnellstens Ersatz suchen. Alles andere wird nichts bringen. [...] Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian abgezogen werden. Aber seit wann wollen wir die Weltherrschaft? Für alle, die Debian einsetzen ist die derzeitige Entwicklung und die zugehörige Diskussion schon etwas beunruhigend. Wenn die bezahlte Arbeit für Ubuntu ein Argument ist (was ich sofort verstehen würde, denn jeder muss ja von was leben), würde dann nicht eine freiwillige Lizenzgebühr für debian was bringen? Das würde den Todesstoß für Debian bedeuten !! Hilfreicher währe es wenn die endsprechenden Informationen ur Programmierung in Deutsch verfügbar werden , es ist manschmal sehr hinderlich sich durch englische Beschreibungen wühlen zu müßen . Um in Programiersprache zu arbeiten sind keinerlei Englischkenntnisse nötig , mann muß nur wissen was man tuen möchte und wie es getan werden muß. Mit freundlichen Grüßen Dirk Finkeldey Gruß W. Scharinger
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On Mon, Jun 27, 2005 at 05:55:10PM +0200, dirk.finkeldey wrote: Hilfreicher währe es wenn die endsprechenden Informationen ur Programmierung in Deutsch verfügbar werden , es ist manschmal sehr hinderlich sich durch englische Beschreibungen wühlen zu müßen . Um in Programiersprache zu arbeiten sind keinerlei Englischkenntnisse nötig , mann muß nur wissen was man tuen möchte und wie es getan werden muß. Klar... Wenn Du nur ein Programm fuer dich alleine erstellst, mag das zutreffen. Wenn Du aber an einem weltweiten Projekt mitarbeiten willst, ist Englisch ganz schlicht und ergreifend ein Muss... -- Ciao... // Fon: 0381-2744150 Ingo \X/SIP: [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Ingo Juergensmann schrieb: On Mon, Jun 27, 2005 at 05:55:10PM +0200, dirk.finkeldey wrote: Hilfreicher währe es wenn die endsprechenden Informationen ur Programmierung in Deutsch verfügbar werden , es ist manschmal sehr hinderlich sich durch englische Beschreibungen wühlen zu müßen . Um in Programiersprache zu arbeiten sind keinerlei Englischkenntnisse nötig , mann muß nur wissen was man tuen möchte und wie es getan werden muß. Klar... Wenn Du nur ein Programm fuer dich alleine erstellst, mag das zutreffen. Wenn Du aber an einem weltweiten Projekt mitarbeiten willst, ist Englisch ganz schlicht und ergreifend ein Muss... Nur für die Komunication der an der Endwicklung beteidigten Persohnen , während der Convertierung und zusammen Stellung der Packete ist es völlig unerheblich . Gibt es nicht inzwischen Software zur simultan Übersetzung aus jeder Sprache in jede Sprache ? Das ist nur mal eine Anfrage da ich sowas schonn lange suche , währe auch nicht schlecht das als deb in Debian zu integrieren da viele Beschreibungen und Hilfstexte nach der Hälfte in Englisch sind . Mit freundlichen Grüßen Dirk Finkeldey
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 6/27/05, dirk.finkeldey [EMAIL PROTECTED] wrote: Gibt es nicht inzwischen Software zur simultan Übersetzung aus jeder Sprache in jede Sprache ? Es gibt Übersetzungssoftware. Aber die erzeugten Texte reichen höchstens zum Erahnen des Sinnes des Originaltextes. Viel mehr geht nicht. Und mit OpenSource leider schon gar nicht. Ich würde nicht über ein solches System kommunizieren wollen. MfG, Jim
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
dirk.finkeldey wrote: Hilfreicher währe es wenn die endsprechenden Informationen ur Programmierung in Deutsch verfügbar werden , es ist manschmal sehr hinderlich sich durch englische Beschreibungen wühlen zu müßen . Um in Programiersprache zu arbeiten sind keinerlei Englischkenntnisse nötig , mann muß nur wissen was man tuen möchte und wie es getan werden muß. Ohne Englischkenntnisse geht es in der IT nicht. Die letzten Projekte, an denen ich hier in Wien mit deutschsprachigen Partnern für deutschsprachige Unternehmen abgewickelt habe, waren von schriftlicher und mündlicher Kommunikation alle Englisch. Englisch ist zur Berufsprache geworden, Deutsch Alltagssprache. Helmut Wollmersdorfer -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 27.Jun 2005 - 13:51:13, Philipp Kern wrote: Andreas Pakulat wrote: Zu dem ganzen faellt mir eigentlich nur eines ein: Die abtruennigen DM feuern. Den Account sperren und schnellstens Ersatz suchen. Alles andere wird nichts bringen. Oh man... Was soll denn das? Das erinnert mich irgendwie an den DD, der auf dem LinuxTag einen Ubuntu-Dev vom Stand vertreiben wollte, unter dem Motto Ich war mit Ubuntu noch nie einverstanden. Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian abgezogen werden. Aber seit wann wollen wir die Weltherrschaft? Natürlich nicht, es ging mir darum, das nach Aussage von Ingo DD's des Debian-Security-Teams sich ebend nicht um die Patches gekümmert haben, sondern lieber bei Ubuntu werkeln. Bei normalen DD's ist das ja auch Ok, aber das Sec-Team hat da einen etwas anderen Stellenwert IMHO. Wer dort drin steckt, sollte sich auch vorrangig darum kümmern und nicht um seine Pakete bei Ubuntu. Lasst die Ubuntu-Leute werkeln... Kein Problem, ich hab ja auch nix gegen Ubuntu (wenn ein dist-upgrade moeglich waer wuerde ich vllt. sogar wechseln) Wenn ihnen was an Debian liegt, wird Debian davon profitieren, ansonsten kann man es auch nicht ändern. Dass Entwickler von Debian abwandern ist nachzuvollziehen, Das Abwandern habe ich nicht gemeint, es ging um DD's die nach wie vor bei Debian arbeiten aber parallel auch an Ubuntu und in Debian einfach nichts mehr investieren. Diese Leute sollen dann einfach wirklich Debian verlassen, das wollte ich ausdruecken, insbesondere im Sec-Team. Dann wuesste man wenigstens das nur noch 1 DD im Sec-Team arbeitet... aber es wird erwartet, dass sie das klar darlegen und verantwortungsvoll in Positionen bei Debian zurücktreten, wenn sie es zeitlich nicht mehr schaffen. Offensichtlich (nach den Aussagen von Ingo, ich hab nicht selbst recherchiert) sind aber einige DD's nicht derart verantwortungsvoll gewesen Andreas -- Today is the last day of your life so far. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Hi. lest mal die Meldung auf Heise http://www.heise.de/newsticker/meldung/61076 und sagt eure Meinung dazu? Na ja. Ich fand immer, das Debian gerade wegen der security-infrastruktur so ist. Oder war. Das die Mitglieder des Security-Teams einfach so verschwinden (so läuft doch das aktuelle Gerücht, oder?) ist eine Schweinerei, und die ganze Sache ist doch sehr peinlich für Debian. Warum kann man denn auch nicht, wenn das anscheinend einzig aktive Mitglied des Security-Teams für über eine Woche nicht in der Lage ist, sich darum zu kümmern, einen Ersatz bestimmen? Jetzt sind es keine schwerwiegenden Sicherheitslücken, aber was wäre, wenn ein remote-root Exploit für Apache aufgetaucht wäre? Ich mag es mir gar nicht ausmalen... Aber was soll man machen? Mehr als Bugreports schreiben kann man als Nicht-DD ja nicht tun. Wenn doch, warum bekommt man davon als langjähriger Benutzer nichts mit? -- Simon Eilting -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Moin Juergen! Juergen Sauer schrieb am Montag, den 27. Juni 2005: Der verrückte Madkiss, der die KDE Releases immer wieder verzögert im 3Debian Strang verzögert und unmöglich gemacht hatte. (Maintainer vom QT mit c102 Releases ...) Ich ergreife i.d.R. ungerne Partei, aber hier redest schlicht Blödsinn. Oder plapperst irgendwelchen FUD von Leuten nach, die einen Sündenbock für ihr Versagen gefunden haben. Madkiss ist IMO eine der letzten Personen, die das taktische Auswarten gutheissen. Wir setzen heute lieber KUbuntu ein. Debian kommt eh zu spät. Das ist leider wahr. Ausserdem werden Verbesserungsvorschläge im Ubuntu auch mal ernst genommen und nicht im eigenen Saft verlabert. Würde ich auch nicht pauschal behaupten. Andere Schwerpunkte, anderes Verständnis für bestimmte Problemstellungen, und scheint deinem Standpunkt sehr nah zu liegen. Bei anderen sieht es vielleicht etwas anders aus. Gruss, Eduard. -- Es kann vorkommen, daß die Nachkommen zu früh kommen und mit den Einkommen nicht auskommen. signature.asc Description: Digital signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Simon Eilting wrote: Aber was soll man machen? Mehr als Bugreports schreiben kann man als Nicht-DD ja nicht tun. Wenn doch, warum bekommt man davon als langjähriger Benutzer nichts mit? Einen Patch für das Problem schreiben oder an den Bugreport hängen. Schade, dass die Folien von Joeys Vortrag mit dem Ablaufdiagramm noch nicht hochgeladen sind. Nun gut, klar, es ist immernoch ein ziemlicher Aufwand, das Paket dann letztendlich auf security.debian.org zu bringen, aber eine Analyse, ob das Problem wirklich ein Problem ist und ein Fix dazu würden wohl schon Arbeit sparen helfen. Theoretisch müsste man bei Debian kein DD sein, auch wenn die Realität mit den Sponsoren leider anders aussieht. Ciao, Philipp Kern -BEGIN PGP SIGNATURE- Comment: Fingerprint: 1710 7DB1 9A28 42FF B699 7654 ED1A 3933 B2CF CDD8 Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iEYEARECAAYFAkLAOVkACgkQ7Ro5M7LPzdhPEQCgzrMolVclRJfsGekmpBbJtqxl a8QAoNOSsba1vY5Z1k5E4uXTnfLDDt6y =wpjc -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Malte Schirmacher schrieb: Ich meine nein - freiwillige Spenden kann man auch jetzt schon einreichen Die kommen IIRC aber nicht bei den DDs an. - -- Bye, Patrick Cornelissen http://www.p-c-software.de ICQ:15885533 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCwD9+4/Hplayn3Y8RAnT/AJ4/xgj0MHEnRQyWoQAmv6O50+vHPwCeK3uU Pjx3tP7gE5VjYnfQZEbRWX0= =gcmo -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On Mon, Jun 27, 2005 at 07:15:25PM +0200, Andreas Pakulat wrote: Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian abgezogen werden. Aber seit wann wollen wir die Weltherrschaft? Natürlich nicht, es ging mir darum, das nach Aussage von Ingo DD's des Debian-Security-Teams sich ebend nicht um die Patches gekümmert haben, sondern lieber bei Ubuntu werkeln. Bei normalen DD's ist das ja auch Ok, aber das Sec-Team hat da einen etwas anderen Stellenwert IMHO. Wer dort drin steckt, sollte sich auch vorrangig darum kümmern und nicht um seine Pakete bei Ubuntu. Naja, so speziell hab ich das ja nun nicht auf das Security-Team bezogen. Joey macht da schon sehr gute Arbeit - aber offensichtlich weitestgehend nur Joey. Von den Logins fuer Security Builds auf Arrakis (meinem buildd damals), war auch bloss Joey, der sich dort vornehmlich einloggte und was am bauen war. Sehr sehr selten tauchte mal ein anderer aus dem Team auf, obwohl alle einen Login hatten. Aber allgemein betrifft das Problem nicht nur das Security-Team, sondern auch andere Positionen bei Debian. Noch immer kleben einige Leute so dermassen an ihren Stuehlen, dass ohne sie gar nix geht. Ein riesen Fehler, IMHO. (Das Problem betrifft irgendwie auch Joey, wobei dieser IMHO nicht an seinem Stuhl klebt, sondern einfach macht und voellig ueberlastet ist. Ich will nicht wissen, was sein wuerde, wenn Joey mal aus irgendwelchen Gruenden fuer eine laengere Zeit ausfallen wuerde?) Letztendlich sollte es auch keine Aemterhaeufung in Debian geben. Ich denke, max. 2 Posten innerhalb des Projekts sollte reichen und mehr sollte niemand haben. Dann muss man halt eben aktiv nach potentiellen Leuten Ausschau halten, die fuer den Job geeignet erscheinen und diese auch aktiv in die Arbeit einweisen. Beim m68k port haben wir auch nicht grossartig was anderes gemacht und ich glaube sagen zu koennen, dass der m68k einer der am besten gefuehrten und gemanageten Ports in Debian ist. aber es wird erwartet, dass sie das klar darlegen und verantwortungsvoll in Positionen bei Debian zurücktreten, wenn sie es zeitlich nicht mehr schaffen. Offensichtlich (nach den Aussagen von Ingo, ich hab nicht selbst recherchiert) sind aber einige DD's nicht derart verantwortungsvoll gewesen Es kann jedenfalls nicht sein, dass das ganze Projekt (und die User) darunter zu leiden haben, dass ein DD so dermassen ueberlastet ist, dass wochenlang wichtige Taetigkeiten nicht erledigt werden. Stattdessen heisst es dann haeufig nur, dass Debian Arbeit von Freiwilligen ist und man nichts von diesen verlangen koenne. Das mag fuer einen normalen Maintainer ja noch zutreffend sein, aber nicht mehr fuer einen Posteninhaber. Solange solche Leute in Debian noch was zu sagen haben, wird sich IMHO leider nichts aendern... -- Ciao... // Fon: 0381-2744150 Ingo \X/SIP: [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On Mon, Jun 27, 2005 at 07:37:29PM +0200, Philipp Kern wrote: Schade, dass die Folien von Joeys Vortrag mit dem Ablaufdiagramm noch nicht hochgeladen sind. http://www.infodrom.org/~joey/Vortraege/2005-06-25/index.html Wolf -- Alles XN--mller-kva oder was?[x] Gegen non-ASCII-Domains -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 27.Jun 2005 - 20:10:03, Ingo Juergensmann wrote: On Mon, Jun 27, 2005 at 07:15:25PM +0200, Andreas Pakulat wrote: Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian abgezogen werden. Aber seit wann wollen wir die Weltherrschaft? Natürlich nicht, es ging mir darum, das nach Aussage von Ingo DD's des Debian-Security-Teams sich ebend nicht um die Patches gekümmert haben, sondern lieber bei Ubuntu werkeln. Bei normalen DD's ist das ja auch Ok, aber das Sec-Team hat da einen etwas anderen Stellenwert IMHO. Wer dort drin steckt, sollte sich auch vorrangig darum kümmern und nicht um seine Pakete bei Ubuntu. Naja, so speziell hab ich das ja nun nicht auf das Security-Team bezogen. Joey macht da schon sehr gute Arbeit - aber offensichtlich weitestgehend nur Joey. Von den Logins fuer Security Builds auf Arrakis (meinem buildd damals), war auch bloss Joey, der sich dort vornehmlich einloggte und was am bauen war. Sehr sehr selten tauchte mal ein anderer aus dem Team auf, obwohl alle einen Login hatten. Hmm, hab ich dich vllt. falsch verstanden... Von deinen Mails hatte ich den Eindruck das u.a. die Sec-Team-Mitglieder (oder ein Teil derer) einfach nicht mehr bei Debian was tun (obwohl sie immernoch die Posten innehaben) sondern weils mehr Spass macht (oder warum auch immer) an Ubuntu mitarbeiten. Andreas -- You are as I am with You. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Moin, Am Montag, den 27.06.2005, 13:59 +0200 schrieb Michael Ablassmeier: On 2005-06-27, Andreas Pakulat [EMAIL PROTECTED] wrote: Zu dem ganzen faellt mir eigentlich nur eines ein: Die abtruennigen DM feuern. Den Account sperren und schnellstens Ersatz suchen. Alles andere wird nichts bringen. [x] du weisst nicht von wem und über was du sprichst. Da hast du Recht, und genau das ist Teil des Problems: Nichts genaues weiss man nicht, und genau das ist die SCH. Von einem dicken, bösen Unternehmen hätte ich es ja erwarten, dass es nach einem Störfall heisst: Da ist nichts passiert, eigentlich ist überhaupt nichts ausgelaufen, und harmlos ist es auch... Das, was heute auf heise.de steht, hätte vor einer Woche auf debian.org stehen müssen. Stand es aber nicht, und das ist ein Vertrauensmissbrauch. Man muss sehr vorsichtig sein, Aktive in Sachen Freie Software zu kritisieren. Ich habe sie nicht bezahlt, ich kann ja ein anderes Produkt verwenden, jeder Handschlag ist ein Geschenk. Punkt. Stimmt. Aber ein Versprechen ist auch ein Versprechen: Wenn ich mich hinstelle und sage, ich kümmere mich um etwas, dann muss ich das auch machen. Ich habe jederzeit das Recht, von dieser Tätigkeit zurückzutreten - nur, bitte: Zurücktreten ist eine Aktivität. Man sagt: Ich mache das nicht mehr. Man bekommt sein Blumen, sein Schulterklopfen, gut ist. Das hat mit Freier Software nichts zu tun, das gehört sich einfach so. Unter Linux-Maintainern ebenso wie unter Kassenwarten von Fischereiverbänden und Tennisplatzwarten. Jemand hat ein Versprechen abgegeben und sich dann verpisst. Die Leute sind sauer. Wer will es ihnen verdenken? ...und der grösste Mist daran ist, dass das alles intern vereinsmeiert wird. Ich habe an diesem Wochenende Stunden damit verbracht, wo das Problem liegt. Habe mehrere Mirrors auf Dateidatum gecheckt, habe von etlichen Mailinglisten die Webarchive durchstöbert, und nirgendwo stand Es gibt ein Problem.. Muss das wirklich so sein? Die Wahrheit wäre hier wichtig gewesen. Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/ signature.asc Description: This is a digitally signed message part
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Moin, Am Montag, den 27.06.2005, 19:37 +0200 schrieb Philipp Kern: Simon Eilting wrote: Aber was soll man machen? Mehr als Bugreports schreiben kann man als Nicht-DD ja nicht tun. Wenn doch, warum bekommt man davon als langjähriger Benutzer nichts mit? Einen Patch für das Problem schreiben oder an den Bugreport hängen. Das ist natürlich immer prima, wenn man sowas kann. Aber bitte schau dir mal den entsprechenden Bugreport zu spamassassin an. Am 16.Juni(!) wurde die gefixte(!) Software an das Security-Team weitergeleitet. Und trotzdem existiert das Paket noch nicht (Jedenfalls gestern Abend nicht). Alles zuarbeiten mit Reports und Patches ist hier offensichtlich nicht das Problem, wenn fertige Fixes auf stehenden Fliessbändern vergammeln. Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/ signature.asc Description: This is a digitally signed message part
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On Mon, Jun 27, 2005 at 08:52:13PM +0200, Andreas Pakulat wrote: Naja, so speziell hab ich das ja nun nicht auf das Security-Team bezogen. Joey macht da schon sehr gute Arbeit - aber offensichtlich weitestgehend nur Joey. Von den Logins fuer Security Builds auf Arrakis (meinem buildd damals), war auch bloss Joey, der sich dort vornehmlich einloggte und was am bauen war. Sehr sehr selten tauchte mal ein anderer aus dem Team auf, obwohl alle einen Login hatten. Hmm, hab ich dich vllt. falsch verstanden... Von deinen Mails hatte ich den Eindruck das u.a. die Sec-Team-Mitglieder (oder ein Teil derer) einfach nicht mehr bei Debian was tun (obwohl sie immernoch die Posten innehaben) sondern weils mehr Spass macht (oder warum auch immer) an Ubuntu mitarbeiten. Ist ja auch durchaus richtig so. Matt Zimmermann wurde ja z.B. schon als einer dieser Ubuntler angefuehrt. Auf #debian.de wird Ubuntu uebrigens auch als JudasLinux tituliert, wobei dieser Begriff nicht von mir stammt (ausnahmsweise ;)... Der Begriff wird aber durchaus auch entsprechend von DDs benutzt. -- Ciao... // Fon: 0381-2744150 Ingo \X/SIP: [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Philipp Kern [EMAIL PROTECTED] wrote: Jan Lühr wrote: Auch dieser Bereich MUSS aber nach dem Debian social contract transparent geführt werden. Dies ist - ohne Änderung des d-s-c - keine Diskussionsgrundlage, sondern VERTRAGLICH vereinbart. Koordination bei Sicherheitsupdates ist wichtig. Es zählt nicht, dass einer erster ist mit dem Fix, sondern eher, dass alle gleichzeitig den Bug fixen Ist das nicht Verschwendung von Resourcen? und somit der Zeitraum vom Bekanntwerden bis zum Fix möglichst gering gehalten wird. Das ist im Interessen aller. Naja, ich hätte schon ein Interesse daran, so früh wie möglich von einem Bug zu wissen, damit ich ihn eventuell mit entsprechenden Workarounds umgehen kann. Einen Bug möglichst lange geheim zu halten und dann mit dem Fix den Supercoup zu landen, klingt für mich ein bischen nach Security by obscurity. Gruß, Jörg. -- Das Ganze ist mehr als die Summe seiner Teile. (Aristoteles) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Montag, 27. Juni 2005 19:29 schrieb Eduard Bloch: Wir setzen heute lieber KUbuntu ein. Debian kommt eh zu spät. Das ist leider wahr. Das würde ich so nicht unterschreiben. Ich warte schon sehr lange auf wx-2.6 und auch in Ubuntu ist das nicht vorhanden. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgpi9I7xGwYFI.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 2005-06-27 19:15:25 +0200, Andreas Pakulat wrote: On 27.Jun 2005 - 13:51:13, Philipp Kern wrote: Lasst die Ubuntu-Leute werkeln... Kein Problem, ich hab ja auch nix gegen Ubuntu (wenn ein dist-upgrade moeglich waer wuerde ich vllt. sogar wechseln) https://www.ubuntulinux.org/support/documentation/faq/upgrade-sarge Ich habe nach dieser Anleitung zwei Rechner erfolgreich von Debian unstable zu Ubuntu Hoary migriert. Auf meinem Hauptrechner läuft mittlerweile Ubuntu Breezy. Großartige Probleme, die auf die Migrierung zurückzuführen sind, gab es nicht. Ich kann dir aber nicht garantieren, dass es bei dir auch so problemlos klappt. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Montag, den 27.06.2005, 20:52 +0200 schrieb Andreas Pakulat: On 27.Jun 2005 - 20:10:03, Ingo Juergensmann wrote: On Mon, Jun 27, 2005 at 07:15:25PM +0200, Andreas Pakulat wrote: Ich glaube immernoch daran, dass die bezahlte Arbeit an Ubuntu auch Debian zu Gute kommt, auch wenn natürlich erstmal User von Debian abgezogen werden. Aber seit wann wollen wir die Weltherrschaft? Natürlich nicht, es ging mir darum, das nach Aussage von Ingo DD's des Debian-Security-Teams sich ebend nicht um die Patches gekümmert haben, sondern lieber bei Ubuntu werkeln. Bei normalen DD's ist das ja auch Ok, aber das Sec-Team hat da einen etwas anderen Stellenwert IMHO. Wer dort drin steckt, sollte sich auch vorrangig darum kümmern und nicht um seine Pakete bei Ubuntu. Naja, so speziell hab ich das ja nun nicht auf das Security-Team bezogen. Joey macht da schon sehr gute Arbeit - aber offensichtlich weitestgehend nur Joey. Von den Logins fuer Security Builds auf Arrakis (meinem buildd damals), war auch bloss Joey, der sich dort vornehmlich einloggte und was am bauen war. Sehr sehr selten tauchte mal ein anderer aus dem Team auf, obwohl alle einen Login hatten. Hmm, hab ich dich vllt. falsch verstanden... Von deinen Mails hatte ich den Eindruck das u.a. die Sec-Team-Mitglieder (oder ein Teil derer) einfach nicht mehr bei Debian was tun (obwohl sie immernoch die Posten innehaben) sondern weils mehr Spass macht (oder warum auch immer) an Ubuntu mitarbeiten. Lies Matt Zimmermann selbst: [EMAIL PROTECTED] bzw. http://groups.google.de/group/linux.debian.security/msg/3a68e42bad6d9907?dmode=source Dann stellt sich mir nur die Frage, warum diese Leute immer noch als Mitglied des Teams geführt werden, wenn das Team so eigentlich schon lange nicht mehr existiert. Wie können Leute, die de facto inactive for various reasons sind, eigentlich A strong level of trust erreichen? Wenn wegen hauptamtlicher Inaktivität der Team-Mitglieder, exploitbare Anwendungen/Pakete nicht gefixt werden, kann man wohl kaum von Vertrauen sprechen, andernfalls hätten wir diese Situation und diese Diskussionen nicht. Wer hat da versagt? Und BTW: Ich stimme Andreas zu: Sagt den Leuten Danke und entlasst sie höflich aus dem Security-Team. Wenn dann nur noch Martin 'Joey' Schulze als einziges Mitglied auf der Liste steht, ändert sich vielleicht was (und das hoffentlich schnell). MfG Daniel
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Am Montag, 27. Juni 2005 19:37 schrieb Philipp Kern: Einen Patch für das Problem schreiben oder an den Bugreport hängen. Schade, dass die Folien von Joeys Vortrag mit dem Ablaufdiagramm noch nicht hochgeladen sind. Nun gut, klar, es ist immernoch ein ziemlicher Aufwand, das Paket dann letztendlich auf security.debian.org zu bringen, aber eine Analyse, ob das Problem wirklich ein Problem ist und ein Fix dazu würden wohl schon Arbeit sparen helfen. Nicht nur da. Ich hatte einen Patch für wx-2.5.3 als Antowrt auf einen 2 Monate alten Bugreport geschrieben. War wirklich nur ne kleinigkeit, die mit kompilieren nichtmak eine Stunde gedauert hat. Ich hatte in der Zeit auch mit dem Ubuntumaintainer für diese Paket gesprochen. Und was ist dabei rausgekommen? In Ubuntu waren am nächsten Tag aktualisierte Pakete vorhanden. Als nach einer Woche bei Debian immernoch nichts passiert ist, habe ich mal Ron direkt angeschrieben, und siehe da, er sagt das er lieber wartet, bis 6 Wochen später wx-2.6 released wird. Mal abgesehen davon, das 3 Tage später auch wx-2.5.3 aus dem Pool verschwunden ist, habe ich nichts mehr davon gehört. Ich habe dann vor 2 Wochen Ron wegen den 2.6er Paketen angeschrieben, und nach 5 Tagen bekam ich zur Antwort, das sie in Arbeit sind, er aber noch Probleme zu lösen hätte. Auf meine Frage, wo ich denn den aktuellen Stand einsehen könnte, da ich Arbeitslos bin hab ich ja Zeit Probleme zu lösen, kam bis heute keine Antwort. -- MfG usw. Werner Mahr registered Linuxuser: 295882 pgp6NeYwJVdmQ.pgp Description: PGP signature
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On Mon, Jun 27, 2005 at 10:13:42PM +0200, Daniel Leidert wrote: Lies Matt Zimmermann selbst: [EMAIL PROTECTED] bzw. http://groups.google.de/group/linux.debian.security/msg/3a68e42bad6d9907?dmode=source Dann stellt sich mir nur die Frage, warum diese Leute immer noch als Mitglied des Teams geführt werden, wenn das Team so eigentlich schon lange nicht mehr existiert. Wie können Leute, die de facto inactive for various reasons sind, eigentlich A strong level of trust erreichen? Inaktiv != zuruecktreten/Posten abgeben Es ist ein Unterschied zwischen Hey, ich bin momentan mit was anderem ausgelastet und kann deswegen fuer einen gewissen Zeitraum nicht im Team mitarbeiten. und Hey, ich kann leider den Posten nicht mehr so ausfuellen, wie es noetig waere und trete deshalb lieber von diesem Posten zurueck, um den Weg fuer jemand anderes freizumachen, der sich mehr einbringen kann als ich. Ersteres ist inaktiv sein und letzteres ein zuruecktreten. Wenn Matt nur von inactive redet, aber letztendlich sich gar nicht mehr involviert, dann sollte er zuruecktreten und dies auch kundtun. Letztendlich ist er selber schuld, wenn andere Leute ihn noch zum Team zaehlen. Wenn wegen hauptamtlicher Inaktivität der Team-Mitglieder, exploitbare Anwendungen/Pakete nicht gefixt werden, kann man wohl kaum von Vertrauen sprechen, andernfalls hätten wir diese Situation und diese Diskussionen nicht. Wer hat da versagt? Und BTW: Ich stimme Andreas zu: Sagt den Leuten Danke und entlasst sie höflich aus dem Security-Team. Wenn dann nur noch Martin 'Joey' Schulze als einziges Mitglied auf der Liste steht, ändert sich vielleicht was (und das hoffentlich schnell). Aber auch dann bleibt ein generisches Problem bei Debian bestehen: man wartet, bis irgendwann ein Freiwilliger zufaelligerweise sich mal selber aufrafft und taetig wird. Das ist in etwa so, als wenn ich eine Firma aufmache und warte, dass von der Strasse Leute hereinkommen und anfangen zu arbeiten. Oder wenn Arbeitslose darauf warten, dass Firmen sich bei ihnen melden und von sich aus Jobs anbieten. Je nach Sichtweise. -- Ciao... // Fon: 0381-2744150 Ingo \X/SIP: [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 27.Jun 2005 - 22:36:27, Ingo Juergensmann wrote: On Mon, Jun 27, 2005 at 10:13:42PM +0200, Daniel Leidert wrote: Lies Matt Zimmermann selbst: [EMAIL PROTECTED] bzw. http://groups.google.de/group/linux.debian.security/msg/3a68e42bad6d9907?dmode=source Dann stellt sich mir nur die Frage, warum diese Leute immer noch als Mitglied des Teams geführt werden, wenn das Team so eigentlich schon lange nicht mehr existiert. Wie können Leute, die de facto inactive for various reasons sind, eigentlich A strong level of trust erreichen? Inaktiv != zuruecktreten/Posten abgeben Da sollte es einen Mechanismus geben, so dass jemand nach einer gewissen Zeit von Inaktiv in Zuruecktreten ueberfuehrt wird... Es ist ein Unterschied zwischen Hey, ich bin momentan mit was anderem ausgelastet und kann deswegen fuer einen gewissen Zeitraum nicht im Team mitarbeiten. und Hey, ich kann leider den Posten nicht mehr so ausfuellen, wie es noetig waere und trete deshalb lieber von diesem Posten zurueck, um den Weg fuer jemand anderes freizumachen, der sich mehr einbringen kann als ich. Ja, vollkommen klar (mir jedenfalls) und auch vollkommen in Ordnung, wenn die Leute das letztere auch wirklich sagen. Wenn Matt nur von inactive redet, aber letztendlich sich gar nicht mehr involviert, dann sollte er zuruecktreten und dies auch kundtun. Letztendlich ist er selber schuld, wenn andere Leute ihn noch zum Team zaehlen. IMHO ist er nicht alleine Schuld, es ist natuerlich nicht sehr verantwortungsvoll von ihm dies nicht kund zu tun. Andersrum muessen aber die entsprechenden Leute bei Debian sich auch mal ein wenig umgucken ob denn die DD's auch wirklich was tun. Klaro ist das alles Freiwillig und wie schon gesagt bei normalen DD's sollte da auch kein Druck herrschen. Aber wer im Security-Team arbeitet (oder an anderen wichtigen Stellen im Team) der sollte auch Druck bekommen, entweder was zu tun oder den Posten aufzugeben. Wenn wegen hauptamtlicher Inaktivität der Team-Mitglieder, exploitbare Anwendungen/Pakete nicht gefixt werden, kann man wohl kaum von Vertrauen sprechen, andernfalls hätten wir diese Situation und diese Diskussionen nicht. Wer hat da versagt? Und BTW: Ich stimme Andreas zu: Sagt den Leuten Danke und entlasst sie höflich aus dem Security-Team. Wenn dann nur noch Martin 'Joey' Schulze als einziges Mitglied auf der Liste steht, ändert sich vielleicht was (und das hoffentlich schnell). Aber auch dann bleibt ein generisches Problem bei Debian bestehen: man wartet, bis irgendwann ein Freiwilliger zufaelligerweise sich mal selber aufrafft und taetig wird. Jetzt ernsthaft? Mein Einblick in die Interna des Projekts sind reichlich beschraenkt (nur das was man hier manchmal so mitkriegt), aber ich dachte wengistens bei solchen Dingen wie Sec-Team gaebe es so ne Art Call-For-DD's auf debian-devel, wo halt das Projekt die Entwickler fragt ob sie nicht ein bisschen Zeit für Security-Fixes übrig haben... Andreas PS: Ach Ingo, sag mal kannst du das CC an mich abstellen? -- You are sick, twisted and perverted. I like that in a person. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On 27.Jun 2005 - 21:52:56, Michael Bienia wrote: On 2005-06-27 19:15:25 +0200, Andreas Pakulat wrote: On 27.Jun 2005 - 13:51:13, Philipp Kern wrote: Lasst die Ubuntu-Leute werkeln... Kein Problem, ich hab ja auch nix gegen Ubuntu (wenn ein dist-upgrade moeglich waer wuerde ich vllt. sogar wechseln) https://www.ubuntulinux.org/support/documentation/faq/upgrade-sarge Dumm nur, dass ich sid+experimental+marillat+muttng hier laufen hab :-( (Und ausserdem kein Spielsystem zum Austesten) Ich habe nach dieser Anleitung zwei Rechner erfolgreich von Debian unstable zu Ubuntu Hoary migriert. Hach, ich sollte erst lesen und dann anfangen zu schreiben... Interessant, hat (K)Ubuntu schon KDE3.4.1? Wie siehts mit Paketen aus die nicht in Ubuntu enthalten sind - kann man da sid-Pakete nutzen? (Oder haben die alle 11000 die auch in Debian sind?) Andreas -- You are a bundle of energy, always on the go. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
On Mon, Jun 27, 2005 at 11:23:43PM +0200, Andreas Pakulat wrote: On 27.Jun 2005 - 21:52:56, Michael Bienia wrote: On 2005-06-27 19:15:25 +0200, Andreas Pakulat wrote: On 27.Jun 2005 - 13:51:13, Philipp Kern wrote: Lasst die Ubuntu-Leute werkeln... Kein Problem, ich hab ja auch nix gegen Ubuntu (wenn ein dist-upgrade moeglich waer wuerde ich vllt. sogar wechseln) https://www.ubuntulinux.org/support/documentation/faq/upgrade-sarge Dumm nur, dass ich sid+experimental+marillat+muttng hier laufen hab :-( (Und ausserdem kein Spielsystem zum Austesten) War das jetzt Ironie? Wenn das kein Spielsystem ist was ist es dann? Sven -- Das Fernsehen ist die größte kulturelle Katastrophe, die die Erde in der Zeit, an die wir uns erinnern können, erlebt hat. [ Joseph Weizenbaum ]
