Hallo! On 31 May 2004 at 11:18 +0200, Peter Kuechler wrote:
> Am Sonntag, 30. Mai 2004 22:04 schrieb Andreas Pakulat: > > Ja und bei Sid musst du selber Patchen oder hoffen das der > > Maintainer nicht schlaeft und nen fix bereitstellt... > > Du scheinst keine besonders hohe Meinung über die Entwickler zu > haben... Es liegt schon in ihrem eigenen Interesse, solche > Sicherheitslöcher in ihrem aktuellen Code zu stopfen, findest Du > nicht? Ich glaube, dass Andreas eher Folgendes gemeint hat: Es ist (z.B. wegen Krankheit, Urlaub, ...) möglich, dass der Zeitpunkt, zu dem in sid gefixte Pakete auftauchen, deutlich hinter dem Veröffentlichungszeitpunkt der Fixes durch die Upstream-Autoren liegt. Und das ist ein Fall, den man durchaus berücksichtigen muss. Zum Beispiel, indem man (wo ihr beide euch wohl einig seid) bei Bedarf die betroffenen Pakete selbst aktualisiert. > Es muß doch jedem einleuchten, das an einen Rechner, der Dienste ins > Internet zur Verfügung stellt, ander Anforderungen gestellt werden wie > an einen Rechner, der solchen Gefahren nicht direkt ausgesetzt ist. Daraus ergibt sich in der Tat eine deutlich geringere Gefährdung. Trotzdem ist natürlich im Auge zu behalten, dass potenziell jede Anwendung, die Daten aus nicht unter deiner Kontrolle liegenden Quellen verarbeitet, ein Einsprungpunkt für den Angreifer sein kann. Und sei es, indem er speziell präpariert E-Mails schickt, an denen sich der MUA auf den Clientrechnern verschluckt. Das alles hat nun aber mit der Wahl unstable/stable nur wenig zu tun. Bei stable hat man den Vorteil, dass das Security-Team in der Regel sehr prompt kompetent gefixte Pakete verteilt. Bei unstable gibt es diesen Service halt nicht, da muss man eben selbst ein Auge auf kritische Anwendungen haben und im Einzelfall entscheiden, ob man noch auf das neue sid-Paket warten kann oder dringend selbst Hand anlegen muss. Gruß, Elmar -- [ GnuPG: D8A88C0D / 2407 063C 1C92 90E9 4766 B170 5E95 0D7F D8A8 8C0D ] ······································································· An apple a day makes 365 apples a year.
pgprLjGBurG0a.pgp
Description: PGP signature