Hallo,

ich habe einen Server, auf welchem schon seit einem halben Jahr Debian-Sarge läuft, bis vor kurzem war sarge ja auch noch testing, seit dem sarge aber stable ist, hab ich auch entsprechend meine sources.list angepannst, nur bekomm ich irgendwie aber seit der Zeit keine updates...

Hab ich was falsch gemacht?

Hier meine sources.list:



#deb file:///cdrom/ sarge main

deb http://ftp.de.debian.org/debian/ sarge main
deb-src http://ftp.de.debian.org/debian/ sarge main

deb http://security.debian.org/ sarge/updates main



gruß
doggpound

Hehe, ich glaube Sarge wurde so gründlich "entbuggt" bevor es stable wurde so dass erstmal Ruhe ist. Es kommen bald sicher wieder Updates...

Nachtrag: Hm, habe grade folgendes gefunden:

http://blog.zugschlus.de/archives/64-Sarge-ohne-Security-Updates.html
http://www.infodrom.org/~joey/log/?200506142140

Hört sich ja nicht gut an...

hmm...

kann das einer bestätigen?

Seit dem Sarge-Upgrade ist kein einziges Update mehr zur Verfügung gestellt worden. Mache täglich mit 2 Servern ein "apt-get update" und "apt-get -s upgrade". Kommt mir auch langsam merkwürdig vor, da gerade z. B. in squirrelmail eine Lücke gefunden wurde [1] ... :confused:

[1] http://www.heise.de/security/news/meldung/60908

könnte das damit zusammenhängen, dass es Sarge testing net mehr gibt und er nimmt kein Sarge, weil das eigendlich nu stabil ist und kein Etch, weil das kein Sarge is.....(nur so ne Theorie...)

könnte das damit zusammenhängen, dass es Sarge testing net mehr gibt und er nimmt kein Sarge, weil das eigendlich nu stabil ist und kein Etch, weil das kein Sarge is.....(nur so ne Theorie...)
Sorry, aber: HÄÄ???

@Natty: Das klingt ja übel, was ist denn da los bei den Debian Jungs?!

könnte das damit zusammenhängen, dass es Sarge testing net mehr gibt und er nimmt kein Sarge, weil das eigendlich nu stabil ist und kein Etch, weil das kein Sarge is.....(nur so ne Theorie...)
ist ja schon fast signatur-würdig ;)

Naja, er sucht halt nach Sarge testing, das gibts aber nicht mehr. Nu müsste er stable nehmen, das will er aber nicht, weil ist ja nach seiner "Meinung" veraltet. Aber Etch will er auch nicht, weil er ja eigendlich Sarge wollte.

Sarge ist nun stable, d.h. diese Zeile sollte sich in der sources.list befinden:

deb http://security.debian.org/ sarge/updates main contrib

oder

deb http://security.debian.org stable/updates main contrib

Das macht nach dem Release von Sarge kein Unterschied mehr, oder hab ich da was falsch verstanden?

@Jesaja Deine Aussagen verwirren mich :ugly:

Das macht nach dem Release von Sarge kein Unterschied mehr, oder hab ich da was falsch verstanden?
Nein, hast Du nicht.

Es ist völlig egal, ob Du "sarge" oder "stable" in Deine sources.list schreibst, genauso egal ist es, ob Du "etch" oder "testing" reinschreibst.
Der einzige Unterschied für den ersten Fall wäre, dass Du wenn Du "stable" reinschreibst und ein neuer Stable-release erfolgt, automatisch (nach einem dist-upgrade) auf das neue stable wanderst. Wenn Du Sarge drin stehen hast, dann bleibst Du bei Sarge. (etch/testing analog)
Da ein neues Stable-release aber sicher noch ein paar Tage auf sich warten lassen wird, dürfte das erstmal egal sein... ;)

@Jesaja Deine Aussagen verwirren mich :ugly:
Juhuu, habs geschafft alle zu verwirren :ugly: :cool:

So, nun etwas zur Entwirrung der Umstände ;) :

Auszug aus der heutigen Heiseticker Meldung (http://www.heise.de/newsticker/meldung/61076)


Das bislang letzte Advisory stammt vom 3. Juni, ist also noch vor der Freigabe von Debian GNU/Linux 3.1 (Sarge) erschienen. Auf diesbezügliche Anfragen von heise Security an die offizielle Security-E-Mail-Adresse und an den Herausgeber der Advisories vor vier Tagen kam bisher keine Antwort. Unseren Recherchen zufolge sind diverse sicherheitsrelevante Patches bereits von den Paket-Maintainern eingepflegt, in der Debian-Fehlerdatenbank als fertiggestellt vermerkt und an das Security-Team weitergereicht. Doch die fälligen Updates lassen auf sich warten, das Debian-Security-Team ist offenbar abgetaucht.

Debian-Insider bestätigen, dass es anfänglich Probleme mit der Testinfrastruktur für Debian 3.1 gab. Diese seien jedoch mittlerweile behoben. Die lange Auszeit könnte sich jedoch auf personelle Probleme und Differenzen innerhalb des Debian-Security-Teams zurückführen lassen.


:eek: ige Grüße Natty

ist ja schon fast signatur-würdig ;)


genau das hab ich mir auch überlegt :D

genau das hab ich mir auch überlegt :D

Jä jä dr Karo :)

Aber rächt hesch

r2k

@Natty Das wirft eigentlich mehr Fragen auf als es klärt...

Weiß jemand was das für personelle Differenzen sind? Klingt alles sehr seltsam...

Es hat den Anschein, das Problem gestaltet sich folgendermaßen:

Der größte Teil des Debian-Security-Teams arbeitet auch an Ubuntu.
Dabei scheint es, zumindest in einigen Fällen, so zu sein, daß Sicherheits-Patche in Ubuntu eingepflegt werden, die selben Patche aber bei Debian von den selben Leuten als unzureichend oder unbrauchbar zurückgewiesen werden.
http://lists.debian.org/debian-user-german/2005/06/msg03308.html
http://lists.debian.org/debian-user-german/2005/06/msg03346.html

Ob da tatsächlich, wie von einigen vermutet, absichtlich blokiert wird, vermag ich nicht zu beurteilen.
Zumindest scheint es dadurch aber massive Personalmangel zu geben, da die entsprechenden Personen ihre Aktivitäten vermehrt in Richtung Ubuntu verlagert haben.

Martin Schulze scheint mehr oder weniger der einzige zu sein, der zum einen wirklich aktiv und zum anderen ausschließlich für die Debian-Sicherheit tätig ist.
Dieser ist jedoch durch Mitarbeit beim Linuxtag etwas in Arbeitsrückstand geraten.
Er hat auf dem Linuxtag wohl eingeräumt, allein schon bei der Bearbeitung seiner Mails mittlerweile eine Woche hinterher zu hinken, was auch erklären würde, warum heise bisher keine Antwort erhalten hat.

Zur Zeit scheint bei Debian aber einiges im Argen zu sein. Von der einstigen vorzeige Distribution bleibt irgendwie nicht mehr viel über. Zumindest mit Sicherheit braucht man nun vorerst nicht zu werben.

Finde ich persönlich sehr schade dass man der lage da nicht Herr wird zumal Debian ja nicht so wenige Entwickler hat und die wirklich kritischen Patche sich ja in Grenzen halten.

Mann Mann, zur Zeit ist echt ziemlich viel im Argen. SW-Patente schweben in der Luft, dann habe ich am Samstag den eher frustrierenden Vortrag von Dirk Hohndel beim Linuxtag gehört und jetzt dies.

Muss man nun Ubuntu für den Server einsetzen, wenn die Leute reihenweise von Debian zu Ubuntu abwandern?

Sollte dann testing bald stabiler als stable sein? ;-) Ne, im Ernst, könnte man nicht notfalls testing einsetzen, um die nötigen Updates zu erhalten?

Sollte dann testing bald stabiler als stable sein? ;-) Ne, im Ernst, könnte man nicht notfalls testing einsetzen, um die nötigen Updates zu erhalten?

Schlechte Lösung, da:
http://www.debian.org/security/faq#testing

@Natty Das wirft eigentlich mehr Fragen auf als es klärt...



Was ich damit sagen wollte ist das die Verwirrung jetzt wenigstens offiziell ist. :o

Klar, ist mir bekannt, aberwenn stable keine Updates erfährt, sieht die Sache doch anders aus. Immerhin bekommt testing neuere Versionen der Pakete, in denen die Fehler dann schon von den jeweiligen Projekten behoben wurden.

Muss man nun Ubuntu für den Server einsetzen, wenn die Leute reihenweise von Debian zu Ubuntu abwandern?Und dann?

Wenn dann nächstes Jahr die nächste Debian- oder Ubuntu-basierte Hype-Distribution kommt, dann steht Ubuntu plötzlich ohne Sicherheits-Team da, weil selbiges dann weiter wandert.

Debian hat ein Sicherheits-Team. Nur weigert sich dieses offenbar, seinen Job zu machen.
Hätten die entsprechenden Leute, so wie es wohl zuvor schon von einigen gefordert worden war, ihren Job bei Debian offiziell an den Nagel gehängt, dann hätte man wahrscheinlich auch für Ersatz sorgen können.

Wenn die Leute aber im Team bleiben wollen, dann aber beschließen, einfach nichts mehr zu machen (zumindest nicht für Debian), dann
- kann der Rest des Debian-Teams nichts dafür
- ist damit auch nicht gesagt, daß Ubuntu mit diesem "Team" in Zukunft besser fährt

Hätten die entsprechenden Leute, so wie es wohl zuvor schon von einigen gefordert worden war, ihren Job bei Debian offiziell an den Nagel gehängt, dann hätte man wahrscheinlich auch für Ersatz sorgen können.

Also mal wieder ein Kommunikationsproblem. Vielleicht fehlt es an einem Projektleiter, der den Leuten mal in den A... tritt?



- ist damit auch nicht gesagt, daß Ubuntu mit diesem "Team" in Zukunft besser fährt

Ja, das ist die Frage.

EDIT:

Es kommen bereits Spekulationen auf, ob die Misere von Debian durch Ubuntu-Leute absichtlich herbeigeführt wurde. Andererseits muß man sich fragen, was es für einen Sinn für Ubuntu hätte, die Basis, auf die es baut, zu behindern. Ubuntu bezieht schließlich die meisten seiner Pakete aus Debian.
http://www.pro-linux.de/news/2005/8322.html

Ein Kindprojekt schadet seinem Vater. Herrlich, wir werden alle sterben :ugly:

Herrlich, wir werden alle sterben
wenigstens das ist definitiv sicher.

also irgendwie bin ich über die derzeitige situation besorgt...
eine öffentliche stellungnahme wäre mal was feines :(

ciao
psy

Ich glaubde DAS wäre mit Microsoft nicht passiert.
Klingt hart, jedoch denke ich, dass das Sicherheitsteam ordentlich Futter an Microsoft geliefert hat.

Ich finde das Verhalten dieses sogenannten Sicherheitsteams traurig und bedenklich.

Wenn ich kein Interesse mehr an Debian habe und mich Ubuntu widmen möchte, dann habe ich verdammt noch mal die Pflicht dies meinen Kollegen mitzuteilen und nicht stattdessen halbfertige bzw. überhaupt keine Arbeit abzuliefern.

Wirklich schade was hier abgeht, Debian ist gerade dabei den ganzen Kredit zu verspielen den es sich so hart erarbeitet hat :(

-hanky-

Ich glaubde DAS wäre mit Microsoft nicht passiert.
Klingt hart, jedoch denke ich, dass das Sicherheitsteam ordentlich Futter an Microsoft geliefert hat.

Genau so siehts aus. Ich setze Debian auf mehreren Intranetservern ein und bin recht besorgt - die personen die Debian direkt am internet hängen haben werden wohl noch um einiges besorgter sein.

Ich hoffe dass das Debian-Team die Misere schnellstens in den Griff bekommt - ansonsten wechsel ich alle meine Server zu Gentoo.

Bei solchen Problemen wird deutlich das man in hochverfügbaren oder sicherheitsrelevanten Bereichen warscheinlich doch besser auf kommerzielle Linux-Distributoren mit den damit verbundenen Service Level Agreements setzen sollte. Schade eigentlich da Debian mein Favorite ist.

Naja - mal ein wenig abwarten und schauen was es an offiziellen Stellungnahmen gibt...

Genau so siehts aus. Ich setze Debian auf mehreren Intranetservern ein und bin recht besorgt - die personen die Debian direkt am internet hängen haben werden wohl noch um einiges besorgter sein.

Ich hoffe dass das Debian-Team die Misere schnellstens in den Griff bekommt - ansonsten wechsel ich alle meine Server zu Gentoo.

Bei solchen Problemen wird deutlich das man in hochverfügbaren oder sicherheitsrelevanten Bereichen warscheinlich doch besser auf kommerzielle Linux-Distributoren mit den damit verbundenen Service Level Agreements setzen sollte. Schade eigentlich da Debian mein Favorite ist.

Naja - mal ein wenig abwarten und schauen was es an offiziellen Stellungnahmen gibt...


Auf heise.de gibt es nun ein vorläufiges Statement. [1]

Anscheinend ist es schon länger so, dass nur ein einziger Mitarbeiter sich um die Security-Updates gekümmert hat - und der war eben auf dem Linuxtag.

Warum man allerdings nicht eher etwas unternommen hat, bleibt mir ein Rätsel.

-hanky-

[1] http://www.heise.de/newsticker/meldung/61125