Der wohl dümmste Kommentar den es gibt :/ Ich bin sowohl Hobby- als auch Beruflicherentwickler und weiß wie einfach es ist ein System durch einfache Änderungen komplett zu zerstören. Dies sieht auch der Projektleiter so und ich würde ihm auch dieses vertrauen schenken.
Den er ist letztendlich auch nur ein Mensch und kann genauso Fehler machen wie du und ich. Und wenn die Debianer intern ihn nicht akzeptieren, dann wird er sich entweder zurückziehen oder trotz aller Proteste seine Sache machen. Solang er Sie gut macht ist dies auch okay.
Der "Openssl-Fehler" wurde zwar von einer einzelnen Person "begangen". Viel schlimmer ist aber, dass die ganze "Kontrolle" durch die Debian- und letztlich durch die OpenSource-Gemeinde jahrelang jämmerlich versagt hat. Du bist schuld, ich bin schuld, der Openssl-Maintainer ist schuld. Auch die Upstreamentwickler, die sich nicht wirklich für Fragen auf ihrer Mailingliste interessiert haben, sind schuld. Für Microsoft ist das eigentlich das Paradegegenbeispiel, wenn jemand daher kommt und erzählt, dass freie Software ja so viel sicherer als Closed Source-Software sei, weil angeblich immer so viele fähige Äuglein auf den Sourcecode schauen.
Von Flying Circus am Mi, 25. Februar 2009 um 16:02 #
Auch die Upstreamentwickler, die sich nicht wirklich für Fragen auf ihrer Mailingliste interessiert haben, sind schuld.
Da gab es wohl Mißverständnisse. Was mE nicht unbedingt den Upstreamentwicklern anzulasten ist. Wenn einer in ihrem Source rumpatchen will, muß er eben wissen, was er tut.
Das mag sein. Wenn ich aber auf der eigenen Mailingliste sehen würde, dass jemand Gefahr läuft, Sch... zu bauen, dann würde ich ihm das sofort sagen, vorausgesetzt, es fällt mir auf. Leider hat der Debian-Maintainer damals seinen finalen Patch nicht nach Upstream geschickt, um ihn vielleicht sogar "einpflegen" zu lassen.
"The Debian Mozilla maintainers don't have the resources to support Iceape over the timeframe of Lenny security support. Other people have been asked on debian-devel to help out, but with no effect. (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=505565#10)"
Bände spricht auch dieses jüngere Iceape-Update für Etch: http://www.debian.org/security/2009/dsa-1697 Vielen Dank demjenigen, der sich zu diesem gigantischen Kraftakt aufgerappelt hat, um die mittlerweile aufgelaufenen 45 (!) Sicherheitslücken in Iceape doch noch zu schließen.
Wenn sich jemand mit der Materie auskennt und in der Lage ist, z.B. RedHat-Patches aus RHEL 2.1, 3 bzw. 4 für Seamonkey auf Debians Iceape zu "übertragen", dann könnte das doch seine nächste temporäre Bestimmung sein?
Das "Problem" betrifft ja mittlerweile Upstream selbst. So sind die Sicherheitslücken, die in Firefox 3.0.6 behoben wurden, zur Zeit weder im aktuellen Seamonkey 1.1.14 noch im aktuellen Thunderbird 2.0.0.19 gefixt. Letztendlich patcht RedHat seine Seamonkeyversionen im Hinblick auf Sicherheitslücken wohl bald früher als Upstream, was ja nicht so schlimm ist, da auch Upstream zur Zeit Hilfe bei der Pflege der alten Versionen gut gebrauchen kann. Die ganze Chose wird wohl irgendwann damit enden, dass es auch Upstream irgendwann einmal kein Seamonkey oder Thunderbird mehr geben wird.
Dieser Mega-Iceape-Patch für Etch hat die Iceape-Maintainer anscheinend so mitgenommen, dass sie das gleiche Spiel nicht noch einmal mit Lenny wiederholen wollten. Auf diesem Hintergrund ist das eine sehr vernünftige Entscheidung. Auch ist klar, was das für Etchs Mozillaprodukte bedeutet: Mit Patches für Iceweasel 2.0, Icedove 1.5 und Iceape 1.0.9 ist bestimmt bald Schluss.
Von Sepps Rache am Mi, 25. Februar 2009 um 22:00 #
Und was bedeutet das für die Nutzer? Daß Debian sich mit dem Support der Mozilla-Software um der Ideologie Willen kräftig verhoben hat und die User bald im Regen stehen lässt?
Für die Nutzer bedeutet das wahrscheinlich (ich weiß es nicht definitiv, ich mutmaße nur):
1. Sehr bald keine Sicherheitsupdates mehr für Mozilla-Produkte in Debian Etch. Es wird wahrscheinlich eine kurze Übergangsphase wie damals für Debian Sarge geben, Firefox 1.0.x wurde noch etwa drei bis vier Monate nach dem Etch-Release unterstützt.
2. Es gibt vollen Support für Iceweasel 3 in Debian Lenny.
3. Iceape ist in Lenny nicht mehr dabei, dieser Support entfällt also.
4. Icedove 2.0.0.19 ist zwar in Lenny mit dabei. Aber in http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=511477 werden ernsthafte Zweifel daran geäußert, ob Icedove auch wirklich supportet werden kann: "I'm not sure icedove / xulrunner 1.8 will be maintainable for a long period."
Das Problem ist, dass Mozilla nicht mehr Firefox 2 unterstützt. Seamonkey 1.1.x und Thunderbird 2.x haben aber dessen "Engine". Da Seamonkey 2.0 und Thunderbird 3.0 mit der Firefox 3-Engine noch nicht fertig sind, fehlt praktisch von jetzt auf nachher die bisherige "bequeme" Versorgung mit Firefox 2-Sicherheitsupdates durch die Mozilla Foundation. Dieser Mißstand pflanzt sich fort bis in die "angeschlossenen" Linux-Distros. Seamonkey 1.1.14 und Thunderbird 2.0.0.19 haben definitiv Sicherheitslücken, die in Firefox 3.0.6 schon gefixt wurden. Die betroffenen Teams müssen das nun alles von Grund auf selbst machen, weshalb Hilfe von einem großen Distributor (OpenSuse, RedHat) sehr hilfreich wäre. So versorgt RedHat seine RHEL-Versionen 2.1 bis 4, in denen Seamonkey 1.0.9 enthalten ist, selbständig mit Sicherheitsupdates. Debian kann IMHO nicht Mozillas Scharte auswetzen. Mozilla setzt voll auf Firefox, nicht (mehr) auf Seamonkey und Thunderbird. Debian wird wohl bald das Gleiche tun. Das ist auch sehr vernünftig, denn Linux hat Legionen von Emailprogrammen und Webbrowsern, so dass ein Wegfallen von Seamonkey aka Iceape und vielleicht auch Thunderbird aka Icedove nicht wirklich ins Gewicht fallen würde. Natürlich wäre das sehr schade, Seamonkey und Thunderbird sind gute Software. Nur leider kann man beide Programme mit bekannten Sicherheitslücken auf die Dauer keinesfalls benutzen, auch nicht unter Linux.
Ich bin sowohl Hobby- als auch Beruflicherentwickler und weiß wie einfach es ist ein System durch einfache Änderungen komplett zu zerstören.
Dies sieht auch der Projektleiter so und ich würde ihm auch dieses vertrauen schenken.
Den er ist letztendlich auch nur ein Mensch und kann genauso Fehler machen wie du und ich.
Und wenn die Debianer intern ihn nicht akzeptieren, dann wird er sich entweder zurückziehen oder trotz aller Proteste seine Sache machen.
Solang er Sie gut macht ist dies auch okay.
T-Virus
Viel schlimmer ist aber, dass die ganze "Kontrolle" durch die Debian- und letztlich durch die OpenSource-Gemeinde jahrelang jämmerlich versagt hat.
Du bist schuld, ich bin schuld, der Openssl-Maintainer ist schuld.
Auch die Upstreamentwickler, die sich nicht wirklich für Fragen auf ihrer Mailingliste interessiert haben, sind schuld.
Für Microsoft ist das eigentlich das Paradegegenbeispiel, wenn jemand daher kommt und erzählt, dass freie Software ja so viel sicherer als Closed Source-Software sei, weil angeblich immer so viele fähige Äuglein auf den Sourcecode schauen.
Da gab es wohl Mißverständnisse. Was mE nicht unbedingt den Upstreamentwicklern anzulasten ist. Wenn einer in ihrem Source rumpatchen will, muß er eben wissen, was er tut.
Wenn ich aber auf der eigenen Mailingliste sehen würde, dass jemand Gefahr läuft, Sch... zu bauen, dann würde ich ihm das sofort sagen, vorausgesetzt, es fällt mir auf.
Leider hat der Debian-Maintainer damals seinen finalen Patch nicht nach Upstream geschickt, um ihn vielleicht sogar "einpflegen" zu lassen.
Der Grund: Mangel an Freiwilligen.
Siehe
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=511477
"The Debian Mozilla maintainers don't have the resources to support Iceape
over the timeframe of Lenny security support. Other people have been asked
on debian-devel to help out, but with no effect.
(http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=505565#10)"
Bände spricht auch dieses jüngere Iceape-Update für Etch:
http://www.debian.org/security/2009/dsa-1697
Vielen Dank demjenigen, der sich zu diesem gigantischen Kraftakt aufgerappelt hat, um die mittlerweile aufgelaufenen 45 (!) Sicherheitslücken in Iceape doch noch zu schließen.
Wenn sich jemand mit der Materie auskennt und in der Lage ist, z.B. RedHat-Patches aus RHEL 2.1, 3 bzw. 4 für Seamonkey auf Debians Iceape zu "übertragen", dann könnte das doch seine nächste temporäre Bestimmung sein?
So sind die Sicherheitslücken, die in Firefox 3.0.6 behoben wurden, zur Zeit weder im aktuellen Seamonkey 1.1.14 noch im aktuellen Thunderbird 2.0.0.19 gefixt.
Letztendlich patcht RedHat seine Seamonkeyversionen im Hinblick auf Sicherheitslücken wohl bald früher als Upstream, was ja nicht so schlimm ist, da auch Upstream zur Zeit Hilfe bei der Pflege der alten Versionen gut gebrauchen kann.
Die ganze Chose wird wohl irgendwann damit enden, dass es auch Upstream irgendwann einmal kein Seamonkey oder Thunderbird mehr geben wird.
Auf diesem Hintergrund ist das eine sehr vernünftige Entscheidung.
Auch ist klar, was das für Etchs Mozillaprodukte bedeutet: Mit Patches für Iceweasel 2.0, Icedove 1.5 und Iceape 1.0.9 ist bestimmt bald Schluss.
Btw warum habe ich zuerst gelesen Kurt röckz (im Sinne von rockt :D)!
1. Sehr bald keine Sicherheitsupdates mehr für Mozilla-Produkte in Debian Etch. Es wird wahrscheinlich eine kurze Übergangsphase wie damals für Debian Sarge geben, Firefox 1.0.x wurde noch etwa drei bis vier Monate nach dem Etch-Release unterstützt.
2. Es gibt vollen Support für Iceweasel 3 in Debian Lenny.
3. Iceape ist in Lenny nicht mehr dabei, dieser Support entfällt also.
4. Icedove 2.0.0.19 ist zwar in Lenny mit dabei. Aber in
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=511477
werden ernsthafte Zweifel daran geäußert, ob Icedove auch wirklich supportet werden kann:
"I'm not sure icedove / xulrunner 1.8 will be maintainable for a long period."
Seamonkey 1.1.x und Thunderbird 2.x haben aber dessen "Engine".
Da Seamonkey 2.0 und Thunderbird 3.0 mit der Firefox 3-Engine noch nicht fertig sind, fehlt praktisch von jetzt auf nachher die bisherige "bequeme" Versorgung mit Firefox 2-Sicherheitsupdates durch die Mozilla Foundation.
Dieser Mißstand pflanzt sich fort bis in die "angeschlossenen" Linux-Distros.
Seamonkey 1.1.14 und Thunderbird 2.0.0.19 haben definitiv Sicherheitslücken, die in Firefox 3.0.6 schon gefixt wurden. Die betroffenen Teams müssen das nun alles von Grund auf selbst machen, weshalb Hilfe von einem großen Distributor (OpenSuse, RedHat) sehr hilfreich wäre. So versorgt RedHat seine RHEL-Versionen 2.1 bis 4, in denen Seamonkey 1.0.9 enthalten ist, selbständig mit Sicherheitsupdates.
Debian kann IMHO nicht Mozillas Scharte auswetzen. Mozilla setzt voll auf Firefox, nicht (mehr) auf Seamonkey und Thunderbird.
Debian wird wohl bald das Gleiche tun.
Das ist auch sehr vernünftig, denn Linux hat Legionen von Emailprogrammen und Webbrowsern, so dass ein Wegfallen von Seamonkey aka Iceape und vielleicht auch Thunderbird aka Icedove nicht wirklich ins Gewicht fallen würde.
Natürlich wäre das sehr schade, Seamonkey und Thunderbird sind gute Software. Nur leider kann man beide Programme mit bekannten Sicherheitslücken auf die Dauer keinesfalls benutzen, auch nicht unter Linux.