Avatar von planew
  • planew

237 Beiträge seit 28.02.2017

Re: Debian Security

FOSSONLY schrieb am 08.08.2017 07:26:

planew schrieb am 01.08.2017 18:49:

Ich kann mir zumindest nicht vorstellen

So, so, du kannst dir also nicht vorstellen, aber weißt es auch nicht besser ...
Warum äußerst du dich zu einem Thema, zu dem du lediglich Vermutungen anstellen kannst?

Weil ich nicht allwissend bin. Um zu wissen welchen Stellenwert Sicherheit im Debian Projekt hat müsste ich von jedem einzelnen Mitwirkenden eine Stellungnahme kennen, ich müsste die tägliche Arbeit jedes einzelnen bis ins kleinste Detail kennen (wie lange braucht Maintainer X bis er auf eine Sicherheitslücke die Upstream behoben wurde reagiert? Wie genau wird dieser Bugfix auf die von Debian verwendete Version angewandt? Welche Testmaßnahmen werden durchgeführt? ... Und das für jeden Maintainer und jedes Paket, tagtäglich...). Da ich, und auch niemand sonst, dass wissen kann, basiert meine Aussage auf einer Vermutung.

Aber da es anscheinend besser weist: Wie ist man bei Debian z.B. letzten Monat zu dem Urteil gekommen einer Lücke in imagemagick (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9500) die Priorität "low" zu geben? Wer hat das geprüft? Wie hat der- oder diejenige das gemacht? Wie wurde getestet? Wurde ein Exploit erstellt oder ausgeschlossen, dass einer möglich ist? Denn schließlich musst du das ja wissen um eindeutig beurteilen zu können, wie ernst Sicherheit bei Debian genommen wird.

Erste Frage, wer zwingt dich die Tasksel-Vorgabe zu verwenden?

Habe ich behauptet, dass man dazu gezwungen wird? Die Vorauswahl sollte aber zu keinem System voller bekannter Sicherheitslücken führen.

Zweite Frage, ist dir der Unterschied zwischen Maintainer und Security-Team bekannt?

Natürlich, aber es spielt hier überhaupt keine Rolle. Das Security-Team hat die Verantwortung abgegeben und die Maintainer der Pakete kümmern sich genauso wenig darum. Deshalb verteilt man ja auch Pakete voller Sicherheitslücken, weil sich niemand darum kümmert.

Dritte Frage, warum will man überhaupt HTML-Mails verwenden?

Frag das doch am besten das Debian Team, immerhin bauen sie die Pakete ihrer Mail-Clients mit HTML-Support und verteilen standardmäßig einen Mail-Client der HTML-Mails darstellt.

Aber du willst ja sowieso nur das Problem klein reden. Denn abgesehen von Mail-Clients gibt es ja auch noch zig Browser die WebKit-Bibliotheken verwenden, und wenn keine Nachfrage danach bestehen würde könnte Debian diese ja auch einfach aus ihren Repositories werfen, tun sie aber nicht.

Bewerten
- +
Anzeige