Debian Security Probleme?

[dafi81]

http://www.heise.de/newsticker/meldung/61076

in letzter Zeit häufen sich die Probleme scheinbar?

mfg Daniel

[blackm]

Siehe dazu auch

http://lists.debian.org/debian-user-ger ... 03009.html
http://www.infodrom.org/~joey/log/?200506142140
http://lists.debian.org/debian-security ... 00098.html
http://www.heise.de/security/news/foren ... m_id=80872

by, Martin

[MartinL25]

Erst wartet man auf Sarge wie auf Godot und wenn's dann endlich kommt, dann gehen noch nicht mal die Security-Updates. Super! Und dann muß man sich darüber auch noch in irgendwelchen Blogs und auf Heise informieren, eine Nachricht auf debian-security-announce oder http://www.debian.org wäre ja auch echt zuviel verlangt. Ist doch zum aus der Haut fahren (vorsichtig ausgedrückt)!

Gruß Martin

[123456]

Und dann muß man sich darüber auch noch in irgendwelchen Blogs und auf Heise informieren, eine Nachricht auf debian-security-announce oder http://www.debian.org wäre ja auch echt zuviel verlangt. Ist doch zum aus der Haut fahren (vorsichtig ausgedrückt)!

Den Heise-Ticker liest man doch sowieso, oder? Aber sonst echt schwache Kommunikationsrichtlinien. Na warten wir mal das offizielle Statement ab.

Das macht mich besonders nachdenklich:
http://www.heise.de/security/news/foren ... m_id=80872

Der Security Verantwortliche ist eine Woche auf der Messe und hat deshalb keine Zeit sich um sein Thema zu kümmern?
Das kann doch nicht sein...

[Snoopy]

Erst wartet man auf Sarge wie auf Godot und wenn's dann endlich kommt, dann gehen noch nicht mal die Security-Updates. Super![...]Ist doch zum aus der Haut fahren[...]

Der Security Verantwortliche ist eine Woche auf der Messe und hat deshalb keine Zeit sich um sein Thema zu kümmern?
Das kann doch nicht sein...

Hi

Ich glaube Ihr solltet mal darüber nachdenken WAS Debian ist.
Wenn Joey auf dem LinuxTag zu tun hat, dann ist dem so.

Die Jungs können sich nicht zerreissen.

Das Debian-Projekt ist eine Gemeinschaft von Individuen, die in Gemeinschaftsarbeit ein freies Betriebssystem entwickeln.

Wer meint, das hier etwas schief läuft und sich beschweren möchte, sollte dann selber aktiv daran mitarbeiten, damit es schneller / besser wird.

Die Momentane Situation ist sicherlich nicht optimal, aber ich denke man sollte schon allein aus Respekt vor den Personen, die dieses Betriebsystem möglich machen, vorsichtig sein mit dem was man sagt.

Sie kennen selber die Probleme und werden sie beseitigen, alles zu seiner Zeit.

Und wer noch ein wenig mehr über evtl. Personen erzählen will, die einfach mal eine Woche auf dem LinuxTag abhängen und nichts tun ( aus den Zitaten mein interpretiertes Ergebnis), kritisieren möchte, soll dies bitte auf den oben genannten Sites machen, die sind bekannt dafür.

Jeder weiss, dass der Release von Sarge nicht optimal war / ist und man wird Schritte unternehmen, dies in Zukunft besser zu machen.

[123456]

Ich glaube Ihr solltet mal darüber nachdenken WAS Debian ist.

Das ist schon lange passiert und deshalb nutze ich Debian.

Die Jungs können sich nicht zerreissen.

Das ist klar und darum geht es auch nicht. Es hat a) mit Prioriäten zu tun und b) mit Kommunikation und ein bisschen c) auch mit Image.

Die Momentane Situation ist sicherlich nicht optimal, aber ich denke man sollte schon allein aus Respekt vor den Personen, die dieses Betriebsystem möglich machen, vorsichtig sein mit dem was man sagt.

Wieso? Kritik, die angebracht ist sollte man äußern. Nicht geäußerte Kritik ist aus meiner Sicht mangelnder Respekt, aber darüber kann man streiten...

Und wer noch ein wenig mehr über evtl. Personen erzählen will, die einfach mal eine Woche auf dem LinuxTag abhängen und nichts tun

Das man einfach abhängt behauptet keiner. Aber Security ist aus meiner Sicht deutlich höher aufzuhängen und zeitnah zu handeln.

[AspeLin]

Ist zwar unschön, aber das kommt doch so oft nicht vor! Was Offizielles dazu wäre echt nett - ich habe bei dieser Ausnahmesituation jedenfalls Verständnis.

[blackm]

Passt nicht ganz zum Thema, aber...

Wer meint, das hier etwas schief läuft und sich beschweren möchte, sollte dann selber aktiv daran mitarbeiten, damit es schneller / besser wird.

Aktiv mitarbeiten wuerde ich schon gern, nur Debian wird irgendwie zu viel Polotik gemacht. Und zu wenig Leute habe zu viel zu sagen. Das Beste Beispiel ist das Sarge Release. Das haette alles auch schon vor ueber einem Jahr passieren koennen wenn sich da einige Leute nicht quer gestellt haetten...

by, Martin

[MartinL25]

@Snoopy: ich würde sagen, daß siehst Du falsch. Debian wird zwar von Freiwilligen gemacht, aber ist eben auch dem eigenen Anspruch nach etwas anderes, als Projekt wie Heretix (ein Entwickler) oder Arch Linux (knapp ein Dutzend Kernentwickler).

Das Sarge viel zu spät rausgekommen ist, sehen auch die Entwickler so. Okay, Entwickler überlegen wie's besser geht, User schreiben fleißig Bug-Reports und Patches für Etch und ansonsten "Schwamm drüber!".

Aber wenn ich mir Informationen über Sicherheitslücken und nicht funktionierende Security-Updates für Stable(!) irgendwo zusammensuchen muß, dann stimmt etwas ganz gewaltig nicht!

Gruß Martin

[xxy]

hi leute,
ein bisschen offtopic:
ich habe mich bisher immer gefragt, update ich überhaupt richtig??
stimmt es, dass ich mein Sarge einfach mit einem
apt-get update
apt-get upgrade updaten kann? Also ich meine die Sicherheits updates....
Im meiner sources list steht das security.debian.org ... drin.
funktioniert ein update auch so:
aptitude update
aptitude upgrade ? (Welches ist eigentlich das neuere programm? apt-get oder aptitude?)

und wie kann ich eigentlich überprüfen ob die updates auch installiert sind??

gruss xxy

[armin]

Ich glaube du solltest dafür eher einen neuen Thread aufmachen.
Ja, aptitude geht auch und ist die empfohlene Variante. Beim upgrade ist ja offensichtlich, das das neue Paket installiert wird. Außerdem kannst du dir in Aptitude die installierte Version ansehen.

[Schpock]

also ich muß auch sagen das ich ziemlich enttäuscht von Debian bzw den Leuten die dahinterstehen bin. Nicht weil sarge so spät released wurde sondern weils keine Sicherheitsupdates gibt.
Gerade in der aktuellen Zeit wo möchtegerndistris wie unbuntu Debian massig User abgraben und debian immer mehr verliert muß man doch wenigstens in der Lage sein ihr bestehendes System sicherheitstechnisch aktuell zu halten. Stattdessen tut sich seit Wochen garnix mehr.
Dabei gehts mir nichtmal um die Homeuser sondern viel eher um die Leute , die debian auf Produktivservern einsetzen und ewig auf sarge gewartet haben um dann festzustellen das diverse löcher nicht gestopft werden können weil sich die Debian-Maintainer grad in nem Streik befinden... sehr schade. Das wird dem Image von Debian sehr schaden. Lang aufgebautes Uservertrauen derart auf die Probe zu stellen ist fast Selbstmord.

[f0rtex]

Folgender Thread auf der debian-security-ML könnte von Interesse sein:
http://lists.debian.org/debian-security ... 00142.html

greets
f0rtex

[Prickelpit]

Folgender Thread auf der debian-security-ML könnte von Interesse sein:
http://lists.debian.org/debian-security ... 00142.html

greets
f0rtex

Die Signatur von Martin Krafft entbehrt (momentan) nicht einer gewissen Ironie:

Debian - when you have better things to do than fixing a system

[f0rtex]

@Prickelpit: *lol* das habe ich doch glatt übersehen...

Ich bin gespannt, welche Konsequenzen aus diesem "Vorfall" gezogen werden.

[peschmae]

Wer meint, das hier etwas schief läuft und sich beschweren möchte, sollte dann selber aktiv daran mitarbeiten, damit es schneller / besser wird.

Naja. Es kann ja nicht *jeder* der einfach mal möchte gleich beim Debian-Security Team mittun.
Ich meine schon nur mal DD zu werden scheint eine Höllensache zu sein.

Die Momentane Situation ist sicherlich nicht optimal, aber ich denke man sollte schon allein aus Respekt vor den Personen, die dieses Betriebsystem möglich machen, vorsichtig sein mit dem was man sagt.

Sie kennen selber die Probleme und werden sie beseitigen, alles zu seiner Zeit.

Einverstanden. Mit dem ersten Teil. Aber die Zeit um die Infrastruktur und all das Zeugs für die Security-Updates hinzukriegen wäre vor dem Release gewesen. Irgendwie hatten die ja schon bei Woody Probleme damit.
Interessant dass gleich beim Release plötzlich nix mehr geht.

Naja, lassen wir die Leute mal die Sachen beheben und gucken was aus dem Desaster (?) für Lehren gezogen werden. Ich nehme mal an in Zukunft wird as besser klappen :p

MfG Peschmä

[AspeLin]

Ist schon krass, falls Schulze der einzige Aktive im "Team" ist, und laut der Mailingliste sieht es wirklich so aus. Ich weiß nicht, ob man einzelnen die Schuld dafür geben kann - z.B. für zu restriktive Zugangsvoraussetzungen zum Security-Team -, aber ich bin doch der Meinung, diese Lage hätte verhindert werden können, wenn man nicht gedacht hätte, "der macht das schon". Das Desaster, das ich sehe, ist daß sich niemand darum gekümmert hat. Ich kenne solche Konstellationen. Alle bis auf einen stumpfen ab, der dann die ganze Arbeit macht, bis es zum Supergau kommt. Dafür trägt wohl die ganze Community die Verantwortung.

[rotwein]

Ein weiteres Problem scheint zu sein, dass es kein Verfahren gibt sich temporär aus dem Security Team abzumelden (z.B. hätte Joey es mehr Leuten zur Kenntnis bringen sollen die in Debian auch was bewirken können, aber sowas benötigt eine vorgegebene Mailgroup/Verfahrten etc) und danach hätten eigentlich die Alarmglocken angehen müssen.

Auch sollten Mitglieder des Security Teams, falls sie sich nicht selbst als temporär inaktiv kennzeichnen, von anderen Mitgleidern auf inaktiv gesetzt werden können falls sie auf entsprechende Mails bzw in ihrem Verhalten nicht reagieren.

Um es nicht mißzuverstehen:
Das Geldverdienen geht bei jedem vor, auch bei Mitglieder dieser Gruppen, nur scheint hier ein internes "Alarmsystem" zu fehlen, falls mehr als die Hälfte der Gruppe inaktiv ist.

Und vor Joey hab ich nen Heidenrespekt, aber alles bei einem sehr aktiven Mitglied der Gemeinschaft zu konzentrieren ist einfach falsch!

[mistersixt]

Vielleicht sollte mal Branden Robinson durchgreifen, manchmal kann sowas sehr hilfreich sein, weiss Jemand, ob er sich schon mal zu dem Problem geäussert hat, ich habe bisher nix gefunden.

Gruss, mistersixt.

[Hackmeck]

Debian diskutiert - nicht nur hier:

http://www.heise.de/newsticker/meldung/61125

[HardHat]

Vielleicht sollte mal Branden Robinson durchgreifen, manchmal kann sowas sehr hilfreich sein

Wie in der Politik... unser (Noch-)Kanzler nennt sowas dann immer "zur Chefsache erklären"

[Hackmeck]

Vielleicht sollte mal Branden Robinson durchgreifen, manchmal kann sowas sehr hilfreich sein

Wie in der Politik... unser (Noch-)Kanzler nennt sowas dann immer "zur Chefsache erklären"

Nein, das wäre dann eher "ein Machtwort sprechen" - Schröder wurde ja auch manchmal "Basta-Kanzler" genannt ...

[Hoshpak]

es scheint wieder bergauf zu gehen!
http://www.heise.de/newsticker/meldung/61270

[kellerpunk]

es scheint wieder bergauf zu gehen!
http://www.heise.de/newsticker/meldung/61270

Naja was heißt hier bergauf. Der tapfere Einzelkämpfer is nur wieder am Arbeiten. Ne Lösung des Problems gibts ja noch lange nicht und ich befürchte da wird in Debian Art auch erstmal wieder Monate diskutiert werden vorher

[xxy]

hi,
die Fehler in spamassasin und sudo wurden nun auch gelöst! Habe heute das E-Mail bekommen! Diesmal war es aber Michael Stone der das E-Mail schrieb.. Es ist also nicht *nur* 'Joey' Schulze.

gruss