In diesem Fall hat Debian recht gehabt. Das Iceweasel-Team scheint auch hervorragend und kompetent zu arbeiten.
In anderen Fällen ist das ja nachweislich nicht so. Leider gibt es gerade jetzt wieder eine Art Dejavu. Dieses Mal ist es nicht Openssl, sondern Openssh: http://lists.debian.org/debian-security-announce/2008/msg00227.html "The problem was originally corrected in OpenSSH 4.4p1 (CVE-2006-5051), but the patch backported to the version released with etch was incorrect."
Wurgs!
OpenSuse kann man eigentlich nicht nehmen wegen der EULA, Debian macht einiges mit wichtigen Basispaketen in gewissen zeitlichen Abständen "falsch", RedHat- und Fedora-Updateserver wurden jüngst gehackt.
Mich betrifft diese Openssh-Lücke in Debian übrigens nicht, da ich Debian seit der Openssl-Geschichte nicht mehr für wichtige Dinge einsetze. Etch zumindest installiert auf dem Desktop standardmäßig nicht den Openssh-Server. Ubuntu macht das zum Glück ja auch nicht.
Du siehst, "Selbst-Patchen" hat immer zwei Seiten.
Das Iceweasel-Team scheint auch hervorragend und kompetent zu arbeiten.
In anderen Fällen ist das ja nachweislich nicht so.
Leider gibt es gerade jetzt wieder eine Art Dejavu.
Dieses Mal ist es nicht Openssl, sondern Openssh:
http://lists.debian.org/debian-security-announce/2008/msg00227.html
"The problem was originally corrected in OpenSSH 4.4p1 (CVE-2006-5051),
but the patch backported to the version released with etch was
incorrect."
Wurgs!
OpenSuse kann man eigentlich nicht nehmen wegen der EULA, Debian macht einiges mit wichtigen Basispaketen in gewissen zeitlichen Abständen "falsch", RedHat- und Fedora-Updateserver wurden jüngst gehackt.
Mich betrifft diese Openssh-Lücke in Debian übrigens nicht, da ich Debian seit der Openssl-Geschichte nicht mehr für wichtige Dinge einsetze.
Etch zumindest installiert auf dem Desktop standardmäßig nicht den Openssh-Server. Ubuntu macht das zum Glück ja auch nicht.
Du siehst, "Selbst-Patchen" hat immer zwei Seiten.