Debians Sicherheitsinfrastruktur wieder intakt
Das Debian-Team erklärt, die Probleme bei der Bereitstellung von Sicherheits-Updates seien nun behoben. Ab sofort sei man wieder in der Lage, regelmäßig Updates für GNU/Linux 3.1 und 3.0 bereitzustellen.
Das Debian-Team erklärt in einem Anouncement, dass die Probleme bei der Bereitstellung von Sicherheits-Updates nun behoben seien und beteuert, dass man ab sofort wieder in der Lage sei, regelmäßig Updates für GNU/Linux 3.1 (Sarge) und 3.0 (Woody) bereitzustellen.
Tatsächlich sind in den vergangenen Tagen bereits eine ganze Reihe von Updates nachgereicht worden. Darunter findet sich beispielsweise ein Patch für eine Lücke im Concurrent Versions System (CVS), die bereits im April bekannt wurde, aber auch auf aktuelle Sicherheitsprobleme wie den gestern gemeldeten Pufferüberlauf in der Kompressionsbiliothek zlib hat das Team bereits reagiert. Andere Patches, wie der für die Lücke in SquirrelMail von vor zwei Wochen, warten allerdings noch auf ihre Freigabe.
heise Security hatte Ende Juni festgestellt, dass bereits seit geraumer Zeit keine Sicherheits-Patches für Debian mehr erschienen waren und das Security-Team nicht mehr auf E-Mails antwortete. In der folgenden Diskussion stellte sich heraus, dass es technische Probleme bei der Umstellung der Infrastruktur auf Debian GNU/Linux 3.1 gab und das Security-Team aus nur noch einem aktiven Mitglied bestand, das gerade anderweitig beschäftigt war. Debian beteuert nun: "Die Probleme wurden vollständig behoben und die Infrastruktur arbeitet wieder korrekt." Was das konkret für die weitere Arbeit des Teams bedeutet und insbesondere wie man sicherstellen will, dass keine weiteren derartigen Ausfälle auftreten, lässt das Announcement jedoch offen.
Debian GNU/Linux 3.0 alias Woody will das Debian-Team im Zweig "oldstable" noch bis Mai 2006 mit Updates versorgen, falls nicht vorher der Security-Support für das nächste Debian-Release mit dem Codenamen "etch" anläuft.
Siehe dazu auch: (ju)
- Debian Security Support in Place von Debian
- Übersicht der Security-Advisoriesvon Debian
- Debian seit mehreren Wochen ohne Sicherheits-Updates auf heise Security
- Debian diskutiert auf heise Security
- Joey's Logbook von Martin Schulze, Leiter des Security-Teams
