dedie
Seit Wochen sind keine aktuellen Advisories und, noch schlimmer, auch keine Security-Patches für Debian mehr erschienen. Dabei gab es eine ganze Reihe sicherheitsrelevanter Schwachstellen in Software, die sich auch auf Debian-Systemen findet: SquirrelMail gehört genauso dazu wie SpamAssassin und sudo.
Das bislang letzte Advisory stammt vom 3. Juni, ist also noch vor der Freigabe von Debian GNU/Linux 3.1 (Sarge) erschienen. Auf diesbezügliche Anfragen von heise Security an die offizielle Security-E-Mail-Adresse und an den Herausgeber der Advisories vor vier Tagen kam bisher keine Antwort. Unseren Recherchen zufolge sind diverse sicherheitsrelevante Patches bereits von den Paket-Maintainern eingepflegt, in der Debian-Fehlerdatenbank als fertiggestellt vermerkt und an das Security-Team weitergereicht. Doch die fälligen Updates lassen auf sich warten, das Debian-Security-Team ist offenbar abgetaucht.
Debian-Insider bestätigen, dass es anfänglich Probleme mit der Testinfrastruktur für Debian 3.1 gab. Diese seien jedoch mittlerweile behoben. Die lange Auszeit könnte sich jedoch auf personelle Probleme und Differenzen innerhalb des Debian-Security-Teams zurückführen lassen.
Adminstratoren von Debian-Systemen sollten sich momentan nicht auf das Debian-Update-System verlassen und müssen wohl oder übel selbst ein wachsames Auge auf mögliche Sicherheitsprobleme der eingesetzten Software haben. Bei einigen der ausstehenden Patches kann man die Wartezeit durch Workarounds überbrücken, bei anderen hilft eventuell ein von Hand eingespielter Patch weiter.
Bereits das Release von Debian 3.1 war von einer peinlichen Sicherheitspanne begleitet: Die erste Version enthielt keinen aktiven Eintrag für den Bezug von Sicherheits-Updates. Dieser wurde erst mit der schnell nachgereichten Version 3.1_r0a nachgerüstet. Das Debian-Team muss aufpassen, dass es nicht in wenigen Wochen das über die Jahre aufgebaute Vertrauen in die Sicherheitsphilosophie der konsequent auf Freie Software bauenden Linux-Distribution verspielt. (ju/c't)
QUELLE
Das bislang letzte Advisory stammt vom 3. Juni, ist also noch vor der Freigabe von Debian GNU/Linux 3.1 (Sarge) erschienen. Auf diesbezügliche Anfragen von heise Security an die offizielle Security-E-Mail-Adresse und an den Herausgeber der Advisories vor vier Tagen kam bisher keine Antwort. Unseren Recherchen zufolge sind diverse sicherheitsrelevante Patches bereits von den Paket-Maintainern eingepflegt, in der Debian-Fehlerdatenbank als fertiggestellt vermerkt und an das Security-Team weitergereicht. Doch die fälligen Updates lassen auf sich warten, das Debian-Security-Team ist offenbar abgetaucht.
Debian-Insider bestätigen, dass es anfänglich Probleme mit der Testinfrastruktur für Debian 3.1 gab. Diese seien jedoch mittlerweile behoben. Die lange Auszeit könnte sich jedoch auf personelle Probleme und Differenzen innerhalb des Debian-Security-Teams zurückführen lassen.
Adminstratoren von Debian-Systemen sollten sich momentan nicht auf das Debian-Update-System verlassen und müssen wohl oder übel selbst ein wachsames Auge auf mögliche Sicherheitsprobleme der eingesetzten Software haben. Bei einigen der ausstehenden Patches kann man die Wartezeit durch Workarounds überbrücken, bei anderen hilft eventuell ein von Hand eingespielter Patch weiter.
Bereits das Release von Debian 3.1 war von einer peinlichen Sicherheitspanne begleitet: Die erste Version enthielt keinen aktiven Eintrag für den Bezug von Sicherheits-Updates. Dieser wurde erst mit der schnell nachgereichten Version 3.1_r0a nachgerüstet. Das Debian-Team muss aufpassen, dass es nicht in wenigen Wochen das über die Jahre aufgebaute Vertrauen in die Sicherheitsphilosophie der konsequent auf Freie Software bauenden Linux-Distribution verspielt. (ju/c't)
QUELLE
Gute N8