Seit Wochen sind keine aktuellen Advisories und, noch schlimmer, auch keine Security-Patches für Debian mehr erschienen. Dabei gab es eine ganze Reihe sicherheitsrelevanter Schwachstellen in Software, die sich auch auf Debian-Systemen findet: SquirrelMail gehört genauso dazu wie SpamAssassin und sudo.
Das bislang letzte Advisory stammt vom 3. Juni, ist also noch vor der Freigabe von Debian GNU/Linux 3.1 (Sarge) erschienen. Auf diesbezügliche Anfragen von heise Security an die offizielle Security-E-Mail-Adresse und an den Herausgeber der Advisories vor vier Tagen kam bisher keine Antwort. Unseren Recherchen zufolge sind diverse sicherheitsrelevante Patches bereits von den Paket-Maintainern eingepflegt, in der Debian-Fehlerdatenbank als fertiggestellt vermerkt und an das Security-Team weitergereicht. Doch die fälligen Updates lassen auf sich warten, das Debian-Security-Team ist offenbar abgetaucht.

Debian-Insider bestätigen, dass es anfänglich Probleme mit der Testinfrastruktur für Debian 3.1 gab. Diese seien jedoch mittlerweile behoben. Die lange Auszeit könnte sich jedoch auf personelle Probleme und Differenzen innerhalb des Debian-Security-Teams zurückführen lassen.

Adminstratoren von Debian-Systemen sollten sich momentan nicht auf das Debian-Update-System verlassen und müssen wohl oder übel selbst ein wachsames Auge auf mögliche Sicherheitsprobleme der eingesetzten Software haben. Bei einigen der ausstehenden Patches kann man die Wartezeit durch Workarounds überbrücken, bei anderen hilft eventuell ein von Hand eingespielter Patch weiter.

Bereits das Release von Debian 3.1 war von einer peinlichen Sicherheitspanne begleitet: Die erste Version enthielt keinen aktiven Eintrag für den Bezug von Sicherheits-Updates. Dieser wurde erst mit der schnell nachgereichten Version 3.1_r0a nachgerüstet. Das Debian-Team muss aufpassen, dass es nicht in wenigen Wochen das über die Jahre aufgebaute Vertrauen in die Sicherheitsphilosophie der konsequent auf Freie Software bauenden Linux-Distribution verspielt. (ju/c't)


QUELLE

Ich liebe das sachliche Heise-Forum

@ Vimes
Bitte nicht.

Ist Euch das schon einmal aufgefallen? Die schönsten Orte auf dieser Welt sind die, die nicht ganz menschenleer sind, aber auch nicht vollkommen überfüllt.

Also, irgendwo zwischen diesem Forum und dem einen oder anderen anderen Forum - da liegt...der heilige Gral...oder so...

Und, um nicht gänzlich OT zu posten:
Je länger ich mich mit der ganzen Thematik und Problematik der Systemsicherheit beschäftige, umso mehr manifestieren sich in mir Murphys-Gesetze. Und daraus folgend, erwächst in mir der Drang nach einer evolutionären Entwicklung. Nicht MS, nicht SUSE, nicht DEBIAN, nein, ICH programmiere mein neues Betriebssystem. Bis dahin wird's zwar noch etwas dauern, aber spätestens dann bin ich selber für die Sicherheit meines Systems verantwortlich.

Naja, ist ja auch schon spät, und ich fange schon fast an zu träumen..

Gute N8

Zitat:

Als Reaktion auf die heise-Security-Meldung über die fehlenden Security-Updates ist auf der Debian Sicherheits-Mailingliste eine heftige Diskussion entbrannt. Überrascht zeigt man sich dabei höchstens vom Ausmaß der Probleme -- nach dem ersten "das war nur eine Frage der Zeit" ging es zunächst vor allem darum, den aktuellen Status des Security-Teams zu ermitteln. Dabei stellte sich heraus, dass von den nominell fünf Mitgliedern des Security-Teams bereits seit geraumer Zeit de facto vier nicht mehr aktiv sind -- falls sie das überhaupt jemals waren.

Quelle und mehr zum Thema

Joey's back! Nachdem die Security-Infrastruktur von Debian in den letzten Wochen lahm gelegt war, wurde nun der erste Security-Patch für Debian GNU/Linux 3.1 (Sarge) veröffentlicht. Er adressiert eine lokale Schwachstelle in dem CD-Ripper Crip. Es ist damit zu rechnen, dass in naher Zukunft auch Updates für die weiteren Schwachstellen wie die in sudo, SquirrelMail und SpamAssassin nachgereicht werden.

Weiter gehts bei HEISE