Am Freitag, den 15.07.2005, 11:03 +0200 schrieb Andreas Barth: > * Christian Schulte ([EMAIL PROTECTED]) [050715 10:12]: > > Im Fall von ClamAV ist Volatile dann aber nichts anderes als ein > > Backport von Unstable. Es enthält ein in Sarge bereits geschlossenes > > Sicherheitsloch. > > Welches in Sarge bereits geschlossenes Sicherheitsloch ist in volatile > nicht geschlossen? (Im Gegenteil, volatile war der Anstoß für > security.d.o, Sicherheitslöcher in clamav zu schliessen.)
Sieht sogar danach aus, als wäre der in http://www.idefense.com/application/poi/display?id=275&type=vulnerabilities&flashstatus=true als angreifbar bezeichnete Code auch noch in Sarge vorhanden (Vergleich zwischen clamav-0.84/libclamav/mspack/mszipd.c und genanntem Schriftstück zeigt keinerlei Differenzen). Tatsächlich findet sich in den Release-Notes für ClamAV 0.86.x ebenfalls keinerlei Hinweis darauf, dass genannte Schwachstelle beseitigt wurde. Sollte also Stephen Gran in http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=316401 Recht haben, dann kann ein Fix für CAN-2005-1923 gar nicht portiert wurden sein. > > Die Volatile Pakete müssten zeitgleich Sicherheitsupdates erfahren, wie > > die Pakete in Stable, sonst hat man gegenüber Stable einfach (zeitliche) > > Nachteile. In letzter Konsequenz führt das dazu, daß das Sicherheitsteam > > sich ebenfalls um die Volatile-Pakete kümmern müsste und dann könnte man > > auch gleich ein vollständiges Sicherheitsupdate in Stable bereitstellen. > > Spekulationen mögen sich nett anhören, sind aber nicht unbedingt > hilfreich. Faktisch wurde das stable-security-Update von clamav vom > volatile-Team gemacht, nicht umgekehrt. BTW: Wer garantiert, dass dies für alle (zukünftig) in Volatile zu findenden Pakete der Fall sein wird; dass Volatile also _nicht_ hinter Sarge herhinken wird (ganz abgesehen davon, dass neuer Code auch neue Sicherheitslücken mit sich bringen kann). PS: Das Update betraf neben CAN-2005-1923 und CAN-2005-1922 auch 2 schon länger bekannte und in 0.86 tatsächlich gefixte Sicherheitslücken. Ich bin nicht überzeugt, dass CAN-2005-1923 tatsächlich gefixt wurde. > Und ja, zwischen volatile- und > stable-security-Team gibt es Mailaustausch. Und trotzdem ist es kein offizieller Service - Mailaustausch hin oder her. "There will be no support by the official security-team ...". Macht wieder einen hübschen Mix zwischen offiziellen und inoffiziellen Paketen, bei dem die Kommunikation zwischen dem Volatile- und dem Security-Team _reibungslos_ verlaufen muss, damit es so wie geplant funktioniert. Das Ziel ist durchaus lobenswert. Die praktischen Probleme sind IMHO jedoch die gleichen wie bei Backports. Wie gut es funktioniert, wird die Zukunft zeigen. [..] > Welche Bugs wurden explizit gegen volatile geöffnet, und hätten mit dem > Upload geschlossen werden müssen? apt-listchanges hätte Dir die > geschlossenen Sicherheitslücken gezeigt. Kurze Frage: Wie öffnest du Bugs gegen Volatile? Mir ist kein derartiger Tag bekannt. Soll/wird Volatile überhaupt ins BTS einbezogen? Und die genannten Sicherheitslücken (libclamav1) sind "nur" mit "important" gekennzeichnet. apt-listchanges zeigt sie daher nicht standardmäßig an. MfG Daniel
