Software::Distributionen::Debian
Debian plant verlängerte Unterstützung
Das Debian-Sicherheitsteam traf sich jüngst im Linux-Hotel in Essen, um organisatorische Dinge zu klären. Dabei stand auch eine LTS-Version zur Debatte, welche bereits mit Debian 6.0 »Squeeze« beginnen könnte.
Software in the Public Interest (SPI)
Das Team berichtete bereits am 5. März von den
Ergebnissen des Treffens. Offenbar besteht in der Gemeinschaft ein wachsender Wunsch nach längerer Unterstützung der Debian-Versionen, da Debian vielfach in Unternehmen oder als Grundlage von Unternehmens-Distributionen eingesetzt wird. Das Sicherheitsteam ist bereit, diesen Wunsch mitzutragen, die eigentliche Arbeit der Sicherheitsupdates müssen jedoch Mitglieder aus der Gemeinschaft erledigen.
Es sieht nach Einschätzung des Teams danach aus, als wäre eine LTS-Version bereits bei Debian 6.0 »Squeeze« möglich. Der Plan wird jedenfalls im Moment weiter verfolgt und Details werden geklärt. Voraussetzung ist allerdings, dass sich genug Betreuer für die LTS-Version finden - hier sind besonders auch alle interessierten Firmen gefordert. Sollte »Squeeze LTS« ein Erfolg werden, wird das gleiche auch für die aktuelle Version 7 »Wheezy« angepeilt.
In den letzten Jahren hatte Debian neue Versionen der Distribution ungefähr alle zwei Jahre veröffentlicht. Da jede Distribution bis ein Jahr nach Veröffentlichung der Folgeversion unterstützt wird, bedeutete das drei Jahre Support für jede Version. Für viele Anwender war dies ein zumutbarer Kompromiss, andere Distributionen kommen mit Zeiträumen von fünf bis 13 Jahren verschiedenen Anwendern, die möglichst selten etwas umstellen wollen, stärker entgegen.
Wheezy wurde am 5. Mai 2013 veröffentlicht, somit sollte die Unterstützung für das am 6. Februar 2011 freigegebene Squeeze im Mai 2014 enden. Anwender, die immer noch Squeeze einsetzen, sollten nun möglicherweise vor dem Update noch etwas warten, da sich vielleicht eine LTS-Version von Squeeze materialisiert. Dieser verlängerte Support wird sich allerdings auf die Architektur x86 mit 32 und 64 Bit beschränken. Die Details werden wohl bald in einer separaten Ankündigung publiziert.
Weitere Ergebnisse des Treffens betreffen organisatorische oder interne Abläufe. Das Team will sich verstärkt darum bemühen, dass alle entdeckten Sicherheitslücken CVE-Nummern bekommen, auch deshalb, damit andere Distributionen auf sie aufmerksam werden. Hierfür wie auch für etliche andere Aufgaben werden noch Freiwillige gesucht. Ausgewählte Paketbetreuer sollen künftig selbst Sicherheitsupdates hochladen können, so dass das Sicherheitsteam entlastet wird. Hier wird vor allem an Paketbetreuer gedacht, die ohnehin in den Update-Prozess involviert sind.
Teile der hochgeladenen Sicherheitsupdates sollen bald öffentlich gemacht werden, noch bevor die zugehörige Sicherheitsmeldung publiziert wurde. Das soll Testern und den von Debian abgeleiteten Distributionen einen früheren Zugriff auf die Updates ermöglichen. Die Distribution soll weiter gegen mögliche Sicherheitslücken gehärtet werden, was momentan gute Fortschritte macht. Die erweiterten Möglichkeiten von GCC 4.9 sollen baldmöglichst genutzt werden.
Sicherheitslücken in Paketen, die sogenannte Symlink-Attacken ermöglichen, sollen künftig ignoriert werden, da der Debian-Kernel Schutzmechanismen gegen dieses Problem enthält. Wer einen eigenen Kernel compiliert, sollte künftig darauf achten, dass er die entsprechende Option einschaltet.
){kind=logo}
