Debian Security Probleme?
Debian Security Probleme?
http://www.heise.de/newsticker/meldung/61076
in letzter Zeit häufen sich die Probleme scheinbar?
mfg Daniel
in letzter Zeit häufen sich die Probleme scheinbar?
mfg Daniel
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Siehe dazu auch
http://lists.debian.org/debian-user-ger ... 03009.html
http://www.infodrom.org/~joey/log/?200506142140
http://lists.debian.org/debian-security ... 00098.html
http://www.heise.de/security/news/foren ... m_id=80872
by, Martin
http://lists.debian.org/debian-user-ger ... 03009.html
http://www.infodrom.org/~joey/log/?200506142140
http://lists.debian.org/debian-security ... 00098.html
http://www.heise.de/security/news/foren ... m_id=80872
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Erst wartet man auf Sarge wie auf Godot und wenn's dann endlich kommt, dann gehen noch nicht mal die Security-Updates. Super! Und dann muß man sich darüber auch noch in irgendwelchen Blogs und auf Heise informieren, eine Nachricht auf debian-security-announce oder http://www.debian.org wäre ja auch echt zuviel verlangt. Ist doch zum aus der Haut fahren (vorsichtig ausgedrückt)!
Gruß Martin
Gruß Martin
Den Heise-Ticker liest man doch sowieso, oder? Aber sonst echt schwache Kommunikationsrichtlinien. Na warten wir mal das offizielle Statement ab.MartinL25 hat geschrieben:Und dann muß man sich darüber auch noch in irgendwelchen Blogs und auf Heise informieren, eine Nachricht auf debian-security-announce oder http://www.debian.org wäre ja auch echt zuviel verlangt. Ist doch zum aus der Haut fahren (vorsichtig ausgedrückt)!
Das macht mich besonders nachdenklich:
http://www.heise.de/security/news/foren ... m_id=80872
Der Security Verantwortliche ist eine Woche auf der Messe und hat deshalb keine Zeit sich um sein Thema zu kümmern?
Das kann doch nicht sein...
- Snoopy
- Beiträge: 4297
- Registriert: 17.11.2003 18:26:56
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Rh.- Pflz.
Erst wartet man auf Sarge wie auf Godot und wenn's dann endlich kommt, dann gehen noch nicht mal die Security-Updates. Super![...]Ist doch zum aus der Haut fahren[...]
HiDer Security Verantwortliche ist eine Woche auf der Messe und hat deshalb keine Zeit sich um sein Thema zu kümmern?
Das kann doch nicht sein...
Ich glaube Ihr solltet mal darüber nachdenken WAS Debian ist.
Wenn Joey auf dem LinuxTag zu tun hat, dann ist dem so.
Die Jungs können sich nicht zerreissen.
Wer meint, das hier etwas schief läuft und sich beschweren möchte, sollte dann selber aktiv daran mitarbeiten, damit es schneller / besser wird.Das Debian-Projekt ist eine Gemeinschaft von Individuen, die in Gemeinschaftsarbeit ein freies Betriebssystem entwickeln.
Die Momentane Situation ist sicherlich nicht optimal, aber ich denke man sollte schon allein aus Respekt vor den Personen, die dieses Betriebsystem möglich machen, vorsichtig sein mit dem was man sagt.
Sie kennen selber die Probleme und werden sie beseitigen, alles zu seiner Zeit.
Und wer noch ein wenig mehr über evtl. Personen erzählen will, die einfach mal eine Woche auf dem LinuxTag abhängen und nichts tun ( aus den Zitaten mein interpretiertes Ergebnis), kritisieren möchte, soll dies bitte auf den oben genannten Sites machen, die sind bekannt dafür.
Jeder weiss, dass der Release von Sarge nicht optimal war / ist und man wird Schritte unternehmen, dies in Zukunft besser zu machen.
Das ist schon lange passiert und deshalb nutze ich Debian.Snoopy hat geschrieben:Ich glaube Ihr solltet mal darüber nachdenken WAS Debian ist.
Das ist klar und darum geht es auch nicht. Es hat a) mit Prioriäten zu tun und b) mit Kommunikation und ein bisschen c) auch mit Image.Die Jungs können sich nicht zerreissen.
Wieso? Kritik, die angebracht ist sollte man äußern. Nicht geäußerte Kritik ist aus meiner Sicht mangelnder Respekt, aber darüber kann man streiten...Die Momentane Situation ist sicherlich nicht optimal, aber ich denke man sollte schon allein aus Respekt vor den Personen, die dieses Betriebsystem möglich machen, vorsichtig sein mit dem was man sagt.
Das man einfach abhängt behauptet keiner. Aber Security ist aus meiner Sicht deutlich höher aufzuhängen und zeitnah zu handeln.Und wer noch ein wenig mehr über evtl. Personen erzählen will, die einfach mal eine Woche auf dem LinuxTag abhängen und nichts tun
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Passt nicht ganz zum Thema, aber...
by, Martin
Aktiv mitarbeiten wuerde ich schon gern, nur Debian wird irgendwie zu viel Polotik gemacht. Und zu wenig Leute habe zu viel zu sagen. Das Beste Beispiel ist das Sarge Release. Das haette alles auch schon vor ueber einem Jahr passieren koennen wenn sich da einige Leute nicht quer gestellt haetten...Snoopy hat geschrieben:Wer meint, das hier etwas schief läuft und sich beschweren möchte, sollte dann selber aktiv daran mitarbeiten, damit es schneller / besser wird.
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
@Snoopy: ich würde sagen, daß siehst Du falsch. Debian wird zwar von Freiwilligen gemacht, aber ist eben auch dem eigenen Anspruch nach etwas anderes, als Projekt wie Heretix (ein Entwickler) oder Arch Linux (knapp ein Dutzend Kernentwickler).
Das Sarge viel zu spät rausgekommen ist, sehen auch die Entwickler so. Okay, Entwickler überlegen wie's besser geht, User schreiben fleißig Bug-Reports und Patches für Etch und ansonsten "Schwamm drüber!".
Aber wenn ich mir Informationen über Sicherheitslücken und nicht funktionierende Security-Updates für Stable(!) irgendwo zusammensuchen muß, dann stimmt etwas ganz gewaltig nicht!
Gruß Martin
Das Sarge viel zu spät rausgekommen ist, sehen auch die Entwickler so. Okay, Entwickler überlegen wie's besser geht, User schreiben fleißig Bug-Reports und Patches für Etch und ansonsten "Schwamm drüber!".
Aber wenn ich mir Informationen über Sicherheitslücken und nicht funktionierende Security-Updates für Stable(!) irgendwo zusammensuchen muß, dann stimmt etwas ganz gewaltig nicht!
Gruß Martin
hi leute,
ein bisschen offtopic:
ich habe mich bisher immer gefragt, update ich überhaupt richtig??
stimmt es, dass ich mein Sarge einfach mit einem
apt-get update
apt-get upgrade updaten kann? Also ich meine die Sicherheits updates....
Im meiner sources list steht das security.debian.org ... drin.
funktioniert ein update auch so:
aptitude update
aptitude upgrade ? (Welches ist eigentlich das neuere programm? apt-get oder aptitude?)
und wie kann ich eigentlich überprüfen ob die updates auch installiert sind??
gruss xxy
ein bisschen offtopic:
ich habe mich bisher immer gefragt, update ich überhaupt richtig??
stimmt es, dass ich mein Sarge einfach mit einem
apt-get update
apt-get upgrade updaten kann? Also ich meine die Sicherheits updates....
Im meiner sources list steht das security.debian.org ... drin.
funktioniert ein update auch so:
aptitude update
aptitude upgrade ? (Welches ist eigentlich das neuere programm? apt-get oder aptitude?)
und wie kann ich eigentlich überprüfen ob die updates auch installiert sind??
gruss xxy
Ich glaube du solltest dafür eher einen neuen Thread aufmachen.
Ja, aptitude geht auch und ist die empfohlene Variante. Beim upgrade ist ja offensichtlich, das das neue Paket installiert wird. Außerdem kannst du dir in Aptitude die installierte Version ansehen.
Ja, aptitude geht auch und ist die empfohlene Variante. Beim upgrade ist ja offensichtlich, das das neue Paket installiert wird. Außerdem kannst du dir in Aptitude die installierte Version ansehen.
Formerly known as Trigger.
HP 8510p - Debian Sid
Mitglied des Debian-KDE-Teams
HP 8510p - Debian Sid
Mitglied des Debian-KDE-Teams
also ich muß auch sagen das ich ziemlich enttäuscht von Debian bzw den Leuten die dahinterstehen bin. Nicht weil sarge so spät released wurde sondern weils keine Sicherheitsupdates gibt.
Gerade in der aktuellen Zeit wo möchtegerndistris wie unbuntu Debian massig User abgraben und debian immer mehr verliert muß man doch wenigstens in der Lage sein ihr bestehendes System sicherheitstechnisch aktuell zu halten. Stattdessen tut sich seit Wochen garnix mehr.
Dabei gehts mir nichtmal um die Homeuser sondern viel eher um die Leute , die debian auf Produktivservern einsetzen und ewig auf sarge gewartet haben um dann festzustellen das diverse löcher nicht gestopft werden können weil sich die Debian-Maintainer grad in nem Streik befinden... sehr schade. Das wird dem Image von Debian sehr schaden. Lang aufgebautes Uservertrauen derart auf die Probe zu stellen ist fast Selbstmord.
Gerade in der aktuellen Zeit wo möchtegerndistris wie unbuntu Debian massig User abgraben und debian immer mehr verliert muß man doch wenigstens in der Lage sein ihr bestehendes System sicherheitstechnisch aktuell zu halten. Stattdessen tut sich seit Wochen garnix mehr.
Dabei gehts mir nichtmal um die Homeuser sondern viel eher um die Leute , die debian auf Produktivservern einsetzen und ewig auf sarge gewartet haben um dann festzustellen das diverse löcher nicht gestopft werden können weil sich die Debian-Maintainer grad in nem Streik befinden... sehr schade. Das wird dem Image von Debian sehr schaden. Lang aufgebautes Uservertrauen derart auf die Probe zu stellen ist fast Selbstmord.
Folgender Thread auf der debian-security-ML könnte von Interesse sein:
http://lists.debian.org/debian-security ... 00142.html
greets
f0rtex
http://lists.debian.org/debian-security ... 00142.html
greets
f0rtex
Doctrína est fructus dulcis radícis amárae.
- Prickelpit
- Beiträge: 89
- Registriert: 29.07.2003 17:22:04
- Wohnort: Dreiländereck
Die Signatur von Martin Krafft entbehrt (momentan) nicht einer gewissen Ironie:f0rtex hat geschrieben:Folgender Thread auf der debian-security-ML könnte von Interesse sein:
http://lists.debian.org/debian-security ... 00142.html
greets
f0rtex
Debian - when you have better things to do than fixing a system
"Wenn Sie den Sturz einer größeren Regierung planen, dann halten Sie sich an die erprobten Algorithmen am Ende des Buchs"
(Bruce Schneider)
(Bruce Schneider)
- peschmae
- Beiträge: 4844
- Registriert: 07.01.2003 12:50:33
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: nirgendwo im irgendwo
Naja. Es kann ja nicht *jeder* der einfach mal möchte gleich beim Debian-Security Team mittun.Snoopy hat geschrieben: Wer meint, das hier etwas schief läuft und sich beschweren möchte, sollte dann selber aktiv daran mitarbeiten, damit es schneller / besser wird.
Ich meine schon nur mal DD zu werden scheint eine Höllensache zu sein.
Einverstanden. Mit dem ersten Teil. Aber die Zeit um die Infrastruktur und all das Zeugs für die Security-Updates hinzukriegen wäre vor dem Release gewesen. Irgendwie hatten die ja schon bei Woody Probleme damit.Die Momentane Situation ist sicherlich nicht optimal, aber ich denke man sollte schon allein aus Respekt vor den Personen, die dieses Betriebsystem möglich machen, vorsichtig sein mit dem was man sagt.
Sie kennen selber die Probleme und werden sie beseitigen, alles zu seiner Zeit.
Interessant dass gleich beim Release plötzlich nix mehr geht.
Naja, lassen wir die Leute mal die Sachen beheben und gucken was aus dem Desaster (?) für Lehren gezogen werden. Ich nehme mal an in Zukunft wird as besser klappen :p
MfG Peschmä
"er hätte nicht in die usa ziehen dürfen - die versauen alles" -- Snoopy
Ist schon krass, falls Schulze der einzige Aktive im "Team" ist, und laut der Mailingliste sieht es wirklich so aus. Ich weiß nicht, ob man einzelnen die Schuld dafür geben kann - z.B. für zu restriktive Zugangsvoraussetzungen zum Security-Team -, aber ich bin doch der Meinung, diese Lage hätte verhindert werden können, wenn man nicht gedacht hätte, "der macht das schon". Das Desaster, das ich sehe, ist daß sich niemand darum gekümmert hat. Ich kenne solche Konstellationen. Alle bis auf einen stumpfen ab, der dann die ganze Arbeit macht, bis es zum Supergau kommt. Dafür trägt wohl die ganze Community die Verantwortung.
Täuschung ist das Silikon der Postmoderne.
- rotwein
- Beiträge: 619
- Registriert: 03.06.2003 12:22:51
- Wohnort: Altdorf (bei Nürtingen -> bei Stuttgart)
Ein weiteres Problem scheint zu sein, dass es kein Verfahren gibt sich temporär aus dem Security Team abzumelden (z.B. hätte Joey es mehr Leuten zur Kenntnis bringen sollen die in Debian auch was bewirken können, aber sowas benötigt eine vorgegebene Mailgroup/Verfahrten etc) und danach hätten eigentlich die Alarmglocken angehen müssen.
Auch sollten Mitglieder des Security Teams, falls sie sich nicht selbst als temporär inaktiv kennzeichnen, von anderen Mitgleidern auf inaktiv gesetzt werden können falls sie auf entsprechende Mails bzw in ihrem Verhalten nicht reagieren.
Um es nicht mißzuverstehen:
Das Geldverdienen geht bei jedem vor, auch bei Mitglieder dieser Gruppen, nur scheint hier ein internes "Alarmsystem" zu fehlen, falls mehr als die Hälfte der Gruppe inaktiv ist.
Und vor Joey hab ich nen Heidenrespekt, aber alles bei einem sehr aktiven Mitglied der Gemeinschaft zu konzentrieren ist einfach falsch!
Auch sollten Mitglieder des Security Teams, falls sie sich nicht selbst als temporär inaktiv kennzeichnen, von anderen Mitgleidern auf inaktiv gesetzt werden können falls sie auf entsprechende Mails bzw in ihrem Verhalten nicht reagieren.
Um es nicht mißzuverstehen:
Das Geldverdienen geht bei jedem vor, auch bei Mitglieder dieser Gruppen, nur scheint hier ein internes "Alarmsystem" zu fehlen, falls mehr als die Hälfte der Gruppe inaktiv ist.
Und vor Joey hab ich nen Heidenrespekt, aber alles bei einem sehr aktiven Mitglied der Gemeinschaft zu konzentrieren ist einfach falsch!
- mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Vielleicht sollte mal Branden Robinson durchgreifen, manchmal kann sowas sehr hilfreich sein, weiss Jemand, ob er sich schon mal zu dem Problem geäussert hat, ich habe bisher nix gefunden.
Gruss, mistersixt.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
- Hackmeck
- Beiträge: 1397
- Registriert: 22.10.2002 19:14:02
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Düsseldorf
-
Kontaktdaten:
Nein, das wäre dann eher "ein Machtwort sprechen" - Schröder wurde ja auch manchmal "Basta-Kanzler" genannt ...HardHat hat geschrieben:Wie in der Politik... unser (Noch-)Kanzler nennt sowas dann immer "zur Chefsache erklären"mistersixt hat geschrieben:Vielleicht sollte mal Branden Robinson durchgreifen, manchmal kann sowas sehr hilfreich sein
-
- Beiträge: 58
- Registriert: 09.12.2003 21:04:59
-
Kontaktdaten:
Naja was heißt hier bergauf. Der tapfere Einzelkämpfer is nur wieder am Arbeiten. Ne Lösung des Problems gibts ja noch lange nicht und ich befürchte da wird in Debian Art auch erstmal wieder Monate diskutiert werden vorherHoshpak hat geschrieben:es scheint wieder bergauf zu gehen!
http://www.heise.de/newsticker/meldung/61270
hi,
die Fehler in spamassasin und sudo wurden nun auch gelöst! Habe heute das E-Mail bekommen! Diesmal war es aber Michael Stone der das E-Mail schrieb.. Es ist also nicht *nur* 'Joey' Schulze.
gruss
die Fehler in spamassasin und sudo wurden nun auch gelöst! Habe heute das E-Mail bekommen! Diesmal war es aber Michael Stone der das E-Mail schrieb.. Es ist also nicht *nur* 'Joey' Schulze.
gruss
Zuletzt geändert von xxy am 01.07.2005 09:18:45, insgesamt 1-mal geändert.