* Christian Schulte ([EMAIL PROTECTED]) [050715 10:12]: > Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein > Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes > Sicherheitsloch.
Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für security.d.o, Sicherheitslöcher in clamav zu schliessen.) > Die Volatile Pakete müssten zeitgleich Sicherheitsupdates erfahren, wie > die Pakete in Stable, sonst hat man gegenüber Stable einfach (zeitliche) > Nachteile. In letzter Konsequenz führt das dazu, daß das Sicherheitsteam > sich ebenfalls um die Volatile-Pakete kümmern müsste und dann könnte man > auch gleich ein vollständiges Sicherheitsupdate in Stable bereitstellen. Spekulationen mögen sich nett anhören, sind aber nicht unbedingt hilfreich. Faktisch wurde das stable-security-Update von clamav vom volatile-Team gemacht, nicht umgekehrt. Und ja, zwischen volatile- und stable-security-Team gibt es Mailaustausch. > Der Text der Seite beschreibt dann eher den Soll-Zustand, aber nicht den > Ist-Zustand der ClamAV-Pakete. Es sind ja gerade eben keine > modifizierten Pakete aus Stable sondern Backports aus Unstable. Die > Volatile-Pakete verstossen momentan also gegen ihre eigenen Regeln! Ich > nehme mal an, daß sie das nicht tun würden, wären es offiziell zu Stable > gehörende Pakete. Warum sind es eigentlich keine offiziell zur > Distribution gehörenden Pakete ? > Und ganz nebenbei: Warum hat > apt-listbugs mir keine Bugs angezeigt, wenn es im BTS welche für das > Paket gibt ? Welche Bugs wurden explizit gegen volatile geöffnet, und hätten mit dem Upload geschlossen werden müssen? apt-listchanges hätte Dir die geschlossenen Sicherheitslücken gezeigt. > Ich hätte doch eigentlich während der Installation auf die > bekannten Bugs hingewiesen werden müssen. Siehe apt-listchanges. (Auf den Rest der Mail spare ich mir zu antworten, da dies im wesentlichen eine Iteration der obigen Anwürfe ist.) Grüße, Andi -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
