Erster Security-Patch für Debian/Sarge [Update]
Nachdem die Security-Infrastruktur von Debian in den letzten Wochen lahm gelegt war, wurde nun der erste Security-Patch für Debian GNU/Linux 3.1 (Sarge) veröffentlicht. Er betrifft eine lokale Schwachstelle in Crip.
Joey's back! Nachdem die Security-Infrastruktur von Debian in den letzten Wochen lahm gelegt war, wurde nun der erste Security-Patch für Debian GNU/Linux 3.1 (Sarge) veröffentlicht. Er adressiert eine lokale Schwachstelle in dem CD-Ripper Crip. Es ist damit zu rechnen, dass in naher Zukunft auch Updates für die weiteren Schwachstellen wie die in sudo, SquirrelMail und SpamAssassin nachgereicht werden.
Der Leiter des Security-Teams Martin Schulze aka Joey hatte bereits vor Wochen auf technische Probleme mit der Testinfrastruktur hingewiesen und war letzte Woche durch seine Aktivitäten auf dem LinuxTag absorbiert. Da er das einzig verbliebene, aktive Mitglied des Security-Teams war, wurden folglich keine Security-Advisories und -Patches für Debian GNU/Linux herausgegeben, Mails an die Security-Adressen stauten sich in seiner Inbox.
Derzeit arbeitet Joey fieberhaft daran, den Rückstand aufzuarbeiten, kämpft aber immer noch mit technischen Problemen. Da eine offizielle Stellungnahme des Debian-Teams noch aussteht, ist noch nicht klar, welche technischen und organisatorischen Veränderungen jetzt vorgenommen werden, um solche Ausfälle zukünftig zu vermeiden.
Update:
Offenbar hat Joey Unterstützung erhalten. Auf der Debian-Mailingliste finden sich mittlerweile auch Advisories zu sudo und SpamAssassin, die von Michael Stone erstellt wurden.
Siehe dazu auch: (ju)
- Security Advisory zu Crip von Debian
- Debian seit mehreren Wochen ohne Sicherheits-Updates auf heise Security
- Debian diskutiert auf heise Security
