Securityfixes werden üblicherweise zu den alten Paketversionen der noch gepflegten Distributionsversionen zurückportiert. Der Haken ist somit nur die Zeitfrage, wie lange das dauert.
Und speziell im Fall von Ubuntu bekommt man bei Paketen aus universe und multiverse in der Regel keine Updates mehr nach dem Release der Distribution, da die Community dafür nicht aktiv genug ist und Canonical diese Pakete selber nicht pflegt. Das schließt leider oft dann auch Sicherheitsfixes mit ein, die beim Ubuntunutzer dann nie ankommen und das installierte System dann zum anfälligen Sicherheitsloch werden lässt, wenn diese Software regelmäßig benutzt wird.
Und dann noch eine allgemeine Ergänzung zum ersten Abschnitt. Da die Sicherheitslücken für gewöhnlich erst im kleinen Kreis bekannt gemacht werden und eine Nachrichtensperre verhängt wird, haben die Softwareentwickler und Distributoren Zeit rechtzeitig darauf zu reagieren, so dass der Fix oftmals schon in den aktualisierten Paketen drin ist, bevor es irgendwo auf Newsseiten überhaupt bekannt gemacht wird. Die Schwachstelle ist hier nur, dass Kriminelle öffentliche Mailinglisten der Entwickler aktiv mitlesen könnten und es dann trotzdem vorher wissen, bevor es die Allgemeinheit über Nachrichtenseiten erfährt.
Dazu muss man sagen, dass sich längst nicht alle Upstreamfixes in veraltete Versionen zurückportieten lassen. Es gibt eben Fälle, für die man mehr ändern muss, als was z.B. gemäß Debian Stale als reines Sicherheitsupdate gelten könnte.
>> Securityfixes werden üblicherweise zu den alten Paketversionen der noch gepflegten Distributionsversionen zurückportiert. Der Haken ist somit nur die Zeitfrage, wie lange das dauert.
Grundsätzlich kann man sich leider nicht auf ein gutes Patchmanagement verlassen. Ich hatte vor etwa 10Jahren etwa bei Debian einen "bekannten" lighttpd bug in verbindungen mit mysql, so das sql-verbindungen irgendwann nach 1Tag verloren gingen. Das Problem war damals bereits bekannt, und es gab eine "korrektur" für den lighttpd source.
Also habe ich ein kleines PatchFile gebaut, es bei mir getestet und es den Paketmaintainern unter verweis zur Quelle zukommen lassen. Die haben sich dann Wochen später gemeldet - das sies testen werden, und hab dann niemehr etwas davon gehört. Statt dessen wurden andere Probleme gefixed und mein kompiliertes Package immer wieder erneut überdschrieben, so das ich mein Patchfile mehrfach wieder zurückportieren musste. Das war ein mehr als ernüchterndes Erlebnis.
Auch bei Ubuntu LTS hatte ich schon vor einigen Jahren selbst erlebt das kritische Sicherheitslücken bei FTP Servern welche über monate hinweg nicht gefixed wurden - obwohls z.B. bei Debian schon längt gefixed war. Auch hier brachte die Kommunikation mit den Maintainern wenig erfolg.
===================
Auch wär ich mir nicht sicher ob in "alten" LTS-Distributionen welche eventuell ältere Major-Releases einer Applikation/Desktops einsetzen SecurityFixes vom der aktuellen Major-Release gebackportet werden - und wenn ja, in welchem Umfang und in welcher Qualität. Das ist erstens nicht ganz trivial via Copy/Paste machbar, zweitens muss das jede Distro selbst machen, und meine o.g. Beispiele zeigen das die Praxis sicher nicht bei 100% liegt.
Securityfixes werden üblicherweise zu den alten Paketversionen der noch gepflegten Distributionsversionen zurückportiert.
Der Haken ist somit nur die Zeitfrage, wie lange das dauert.
Und speziell im Fall von Ubuntu bekommt man bei Paketen aus universe und multiverse in der Regel keine Updates mehr nach dem Release der Distribution, da die Community dafür nicht aktiv genug ist und Canonical diese Pakete selber nicht pflegt. Das schließt leider oft dann auch Sicherheitsfixes mit ein, die beim Ubuntunutzer dann nie ankommen und das installierte System dann zum anfälligen Sicherheitsloch werden lässt, wenn diese Software regelmäßig benutzt wird.
Und dann noch eine allgemeine Ergänzung zum ersten Abschnitt.
Da die Sicherheitslücken für gewöhnlich erst im kleinen Kreis bekannt gemacht werden und eine Nachrichtensperre verhängt wird, haben die Softwareentwickler und Distributoren Zeit rechtzeitig darauf zu reagieren, so dass der Fix oftmals schon in den aktualisierten Paketen drin ist, bevor es irgendwo auf Newsseiten überhaupt bekannt gemacht wird.
Die Schwachstelle ist hier nur, dass Kriminelle öffentliche Mailinglisten der Entwickler aktiv mitlesen könnten und es dann trotzdem vorher wissen, bevor es die Allgemeinheit über Nachrichtenseiten erfährt.
Dazu muss man sagen, dass sich längst nicht alle Upstreamfixes in veraltete Versionen zurückportieten lassen. Es gibt eben Fälle, für die man mehr ändern muss, als was z.B. gemäß Debian Stale als reines Sicherheitsupdate gelten könnte.
Du meinst doch sicher *Stable* - oder?
Vermutlich - 'stale' passt aber zufälligerweise auch ganz gut.
Na ja - "schal" oder "abgestanden" transportiert schon eine andere Botschaft als "stabil".
Eine passendere.
>> Securityfixes werden üblicherweise zu den alten Paketversionen der noch gepflegten Distributionsversionen zurückportiert.
Der Haken ist somit nur die Zeitfrage, wie lange das dauert.
Grundsätzlich kann man sich leider nicht auf ein gutes Patchmanagement verlassen. Ich hatte vor etwa 10Jahren etwa bei Debian einen "bekannten" lighttpd bug in verbindungen mit mysql, so das sql-verbindungen irgendwann nach 1Tag verloren gingen. Das Problem war damals bereits bekannt, und es gab eine "korrektur" für den lighttpd source.
Also habe ich ein kleines PatchFile gebaut, es bei mir getestet und es den Paketmaintainern unter verweis zur Quelle zukommen lassen. Die haben sich dann Wochen später gemeldet - das sies testen werden, und hab dann niemehr etwas davon gehört. Statt dessen wurden andere Probleme gefixed und mein kompiliertes Package immer wieder erneut überdschrieben, so das ich mein Patchfile mehrfach wieder zurückportieren musste. Das war ein mehr als ernüchterndes Erlebnis.
Auch bei Ubuntu LTS hatte ich schon vor einigen Jahren selbst erlebt das kritische Sicherheitslücken bei FTP Servern welche über monate hinweg nicht gefixed wurden - obwohls z.B. bei Debian schon längt gefixed war. Auch hier brachte die Kommunikation mit den Maintainern wenig erfolg.
===================
Auch wär ich mir nicht sicher ob in "alten" LTS-Distributionen welche eventuell ältere Major-Releases einer Applikation/Desktops einsetzen SecurityFixes vom der aktuellen Major-Release gebackportet werden - und wenn ja, in welchem Umfang und in welcher Qualität. Das ist erstens nicht ganz trivial via Copy/Paste machbar, zweitens muss das jede Distro selbst machen, und meine o.g. Beispiele zeigen das die Praxis sicher nicht bei 100% liegt.