Debian seit mehreren Wochen ohne Sicherheits-Updates [Update]

Seit Wochen sind keine aktuellen Advisories -- und noch schlimmer -- auch keine Security-Patches für Debian mehr erschienen. Administratoren müssen ihre Systeme selber schützen.

In Pocket speichern vorlesen Druckansicht 927 Kommentare lesen
Lesezeit: 2 Min.

Seit Wochen sind keine aktuellen Advisories und, noch schlimmer, auch keine Security-Patches für Debian mehr erschienen. Dabei gab es eine ganze Reihe sicherheitsrelevanter Schwachstellen in Software, die sich auch auf Debian-Systemen findet: SquirrelMail gehört genauso dazu wie SpamAssassin und sudo.

Das bislang letzte Advisory stammt vom 3. Juni, ist also noch vor der Freigabe von Debian GNU/Linux 3.1 (Sarge) erschienen. Auf diesbezügliche Anfragen von heise Security an die offizielle Security-E-Mail-Adresse und an den Herausgeber der Advisories vor vier Tagen kam bisher keine Antwort. Unseren Recherchen zufolge sind diverse sicherheitsrelevante Patches bereits von den Paket-Maintainern eingepflegt, in der Debian-Fehlerdatenbank als fertiggestellt vermerkt und an das Security-Team weitergereicht. Doch die fälligen Updates lassen auf sich warten, das Debian-Security-Team ist offenbar abgetaucht.

Debian-Insider bestätigen, dass es anfänglich Probleme mit der Testinfrastruktur für Debian 3.1 gab. Diese seien jedoch mittlerweile behoben. Die lange Auszeit könnte sich jedoch auf personelle Probleme und Differenzen innerhalb des Debian-Security-Teams zurückführen lassen.

Adminstratoren von Debian-Systemen sollten sich momentan nicht auf das Debian-Update-System verlassen und müssen wohl oder übel selbst ein wachsames Auge auf mögliche Sicherheitsprobleme der eingesetzten Software haben. Bei einigen der ausstehenden Patches kann man die Wartezeit durch Workarounds überbrücken, bei anderen hilft eventuell ein von Hand eingespielter Patch weiter.

Als Behelf würden sich sich Repositories wie sarge-proposed-updates beziehungsweise stable-proposed-updates anbieten. Die Universität Essen stellt einen Spiegel dieser Repositories bereit, der sich durch den Eintrag

deb http://debian.uni-essen.de/debian/ sarge-proposed-updates main contrib non-free

in /etc/apt/sources.list aktivieren lässt. Allerdings finden sich auch dort -- wohl mangels Freigabe -- die ausstehendenen Sicherheits-Updates noch nicht.

Bereits das Release von Debian 3.1 war von einer peinlichen Sicherheitspanne begleitet: Die erste Version enthielt keinen aktiven Eintrag für den Bezug von Sicherheits-Updates. Dieser wurde erst mit der schnell nachgereichten Version 3.1_r0a nachgerüstet. Das Debian-Team muss aufpassen, dass es nicht in wenigen Wochen das über die Jahre aufgebaute Vertrauen in die Sicherheitsphilosophie der konsequent auf Freie Software bauenden Linux-Distribution verspielt. (ju)