Toon posts:

Debian OpenSSL 0.9.8l

Pagina: 1
Acties:

dinsdag 17 november 2009 14:49

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 07:18

DiedX

Topicstarter
Gents,

Ik zit mij even te verbazen over Debian in combinatie met OpenSSL.

Vorige week is er een update uitkomen voor OpenSSL. Zoals jullie ongetwijfeld weten is in 0.9.8l een belangrijke patch gekomen waarmee een gat in OpenSSL is gedicht.

FreeBSD volgde redelijk snel met een update in de ports:
openssl-0.9.8l SSL and crypto library
Ik draai Debian op zakelijke systemen, en het verbaast me echt dat Debian nog geen update heeft uitgebracht. Op zoek naar meer informatie stuit ik op het testsysteem van Debian:

http://qa.debian.org/deve...40lists.alioth.debian.org

In dit testsysteem worden blijkbaar volautomatisch pakketten getest. Wat scherst mijn verbazing:
* Too young, only 3 of 10 days old
* Not considered
Like: what the fuck?

Zie ik dit nu goed? Het wordt niet getest omdat het 10 dagen oud moet zijn? Persoonlijk ben ik een groot aanhanger van FreeBSD, maar met dit soort geintjes kan ik Debian (door mijn collega ooit gekscherend Debilian genoemd) niet echt meer serieus nemen.

Hoe staan jullie hier tegenover?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 17 november 2009 14:53

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 18:19

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Er is helemaal geen security bug gepatcht met die nieuwe versie. De nieuwe OpenSSL versie heeft enkel standaard reauthentication uitgeschakeld staan, aangezien die functionaliteit te misbruiken is. Het is dus meer een workaround dan daadwerkelijk een bugfix.

Sowieso zijn er genoeg systemen waarbij functionaliteit stuk gaat als je die update zomaar door zou voeren.

Voor zover mij bekend is Debian over het algemeen gewoon snel met daadwerkelijke security fixes.

[ Voor 24% gewijzigd door Orion84 op 17-11-2009 15:05 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 17 november 2009 15:07

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 07:18

DiedX

Topicstarter
Orion84 schreef op dinsdag 17 november 2009 @ 14:53:
Er is helemaal geen security bug gepatcht met die nieuwe versie. De nieuwe OpenSSL versie heeft enkel standaard reauthentication uitgeschakeld staan, aangezien die functionaliteit te misbruiken is. Het is dus meer een workaround dan daadwerkelijk een bugfix.
Dat ben ik volledig met je eens. Ik weet het nog niet van de rest, ik ben daarom aan het zoeken, maar kan tot nu toe weinig vinden.

(overigens is Google eng. De trefwoorden debian openssl reauthentication geven deze post nu als eerste hit... In 10 minuten :X )

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 17 november 2009 15:09

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 18:19

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ja en verder heel veel Re:Authentication meuk waar je niks aan hebt :P

Ik heb mijn opmerking over die configfile trouwens ingetrokken, aangezien ik zo snel niet kon vinden dat het daadwerkelijk zo makkelijk zelf te fixen zou zijn :)

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 17 november 2009 15:14

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 07:18

DiedX

Topicstarter
Orion84 schreef op dinsdag 17 november 2009 @ 15:09:
Ik heb mijn opmerking over die configfile trouwens ingetrokken, aangezien ik zo snel niet kon vinden dat het daadwerkelijk zo makkelijk zelf te fixen zou zijn :)
Ik had het al gezien :) Ik vraag me ook af hoe snel applicaties daadwerkelijk breken, maar ik ben (helaas) geen expert op dat gebied.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 17 november 2009 15:18

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 18:19

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

* Orion84 vond dit wel een redelijk duidelijke uitleg :)

[ Voor 3% gewijzigd door Orion84 op 17-11-2009 15:18 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 17 november 2009 15:32

Acties:
  • Orion84
  • Registratie: April 2002
  • Laatst online: 18:19

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Er is trouwens schijnbaar wel een patch voor mod_ssl die een zekere mate van bescherming biedt:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=555829
(daar staat ook nog wat info over waarom ze de openssl update niet zomaar naar stable gooien)

offtopic:
Dit had ik natuurlijk in mijn vorige post kunnen toevoegen :X

[ Voor 13% gewijzigd door Orion84 op 17-11-2009 15:32 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 17 november 2009 15:49

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 07:18

DiedX

Topicstarter
Omdat ze het vermoeden hebben dat het toch setups gaat breken.

interessant:
We believe that the bug you reported is fixed in the latest version of
openssl, which is due to be installed in the Debian FTP archive:
.

Alleen staan die updates nog niet online...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 17 november 2009 16:29

Acties:
  • hostname
  • Registratie: April 2009
  • Laatst online: 18:21

hostname

Overigens gaan de security updates via een aparte repo (security.debian.org), welke niet aan de mainrepo hangt waarop qa.debian.org werkt. Een securityupdate wordt dus ook niet meegenomen op die site.

Neem als voorbeeld apache2. In het systeem dat jij aanhaalt zie ik dit:
* 9 days old (needed 5 days)
* Not considered
Echter, gisteren is er een security update uitgekomen met versienummer 2.2.9-10+lenny6, terwijl die versie daar nog niet erdoor is.

Het hele debian systeem zit redelijk ingewikkeld in elkaar. Een nieuwe versie komt terecht in unstable. Als er dan vervolgens na 5/10 dagen geen bugs met een bepaalde prioriteit zijn ingevuld tegen die versie, wordt hij gemigreerd naar testing, wat de nieuwe stable wordt. Dit proces wordt bijgehouden in de pagina die jij gaf.
Als een versie bugfixes bevat die belangerijk genoeg zijn om in stable te komen, wordt de nieuwe versie (of de oude versie met de bugfixes gebackport) ook geupload naar stable-new-proposed-updates. Vervolgens wordt hij hier ook weer X dagen getest. Als hij stabiel genoeg is gevonden wordt hij verplaatst naar stable-proposed-updates. Deze worden eens in de 3 maanden gebundeld en dan wordt er een nieuwe 'point release' uitgebracht (momenteel 5.0.3). De paketten worden dan ook verplaatst naar stable.
Security updates volgen weer een andere weg. Deze gaan eerst naar iets als security-proposed-updates, en worden daar dan snel getest. Binnen 1 a 2 dagen worden deze dan weer verplaatst naar de security repos op security.debian.org. Security updates worden ook naar stable-(new-?)proposed-updates geupload, zodat ze ook in de nieuwe 'point release' terecht komen.

Debian installaties gebruiken standaard de stable repo en security repo. Als er dus een security update komt via security.debian.org wordt deze geinstalleerd, evenals bugfixes (point release) in de stable repo.

[ Voor 55% gewijzigd door hostname op 17-11-2009 16:38 . Reden: algemene uitleg over debian archive ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq