Re: security update per sarge e sid

[Davide Prina]

Lucio wrote:
Davide Prina ha scritto:
le domande sono interessanti, non conosco le risposte corrette (o meglio
non sono sicuro che siano corrette), ma provo ad indovinarle ;-)
devi decommentarli
caso 1) se usi testing (attualmente Sarge) ti conviene avere queste due
righe:
deb http://security.debian.org/ stable/updates main contrib non-free
Ho paura che su testing questa riga sia inutile, perchè i pacchetti resi 
disponibili in security.debian.org sono dei backporting delle patch di 
sicurezza alla versione presente in woody, quindi sempre una versione più 
vecchia di quella disponibile in Sarge. Conseguenza: non vengono installati o 
se si fa in modo di installarli comunque (attraverso /etc/apt/preferences), 
probabilmente qualcosa smetterà di funzionare.

perché deve essere più vecchia? può essere benissimo la stessa, ci sono 
pacchetti che non vengono aggiornati da anni

per esempio questo che è il quinto pacchetto .deb:
Package aa3d
    * stable (graphics): An ASCII art stereogram generator
      1.0-2: alpha arm hppa i386 ia64 m68k mips mipsel powerpc s390 sparc
    * testing (graphics): An ASCII art stereogram generator
      1.0-2: alpha arm hppa i386 ia64 m68k mips mipsel powerpc s390 sparc
    * unstable (graphics): An ASCII art stereogram generator
      1.0-2: alpha arm hppa hurd-i386 i386 ia64 m68k mips mipsel 
powerpc s390 sparc

se viene trovato un baco di sicurezza e viene corretto per stable e si 
ha il link a security per stable, allora presumo che si avrà l'update 
immediato sia in testing che in unstable

deb http://security.debian.org/ testing/updates main contrib non-free
Questo repository è praticamente vuoto. Infatti Sarge non ha aggiornamenti di 
io non so come funzioni security, ma se guardi per esempio questo link 
qualcosa c'è, come negli altri; la struttura è la stessa che per stable
http://security.debian.org/dists/testing/updates/main/binary-alpha/

se guardi un file che contiene 
http://security.debian.org/dists/testing/updates/main/binary-alpha/Packages
vedi che contiene correzioni di sicurezza abbastanza recenti (27-Jul-2004)

sicurezza. Se il buco c'è, rimane fino a quando una nuova release del 
pacchetto non viene resa disponibile sui mirror, sempre sperando che questa 
nuova release contenga già la correzione al problema di sicurezza. (In realtà 
gli aggiornamenti di sicurezza di Sarge esistono ma sono rarissimi perché 
mancano risorse umane per gestirli).

http://www.it.debian.org/doc/manuals/securing-debian-howto/ch11.it.html#s-sec-unstable
questo è vero, gli update di sicurezza non sono per ora garantiti o 
meglio arrivano con notevole ritardo rispetto a stable; ma è girato in 
lista (non mi ricordo se questa od un'altra ... sono iscritto ad un po') 
che dalla prossima testing ci sarà un team apposito proprio per la 
security di testing.
Bisogna vedere anche quando la frase nella documentazione che hai 
riportato è stata aggiornata l'ultima volta ... anch'essa potrebbe 
essere non aggiornata alla sitauzione attuale ;-)


caso 2) se usi sid penso sia solo questa da usare:
deb http://security.debian.org/ stable/updates main contrib non-free
Vedi il link riportato sopra.

infatti se vai su http://security.debian.org/dists/ non trovi unstable
Da quello che ho capito: se viene fatto un aggiornamento per la
sicurezza di un pacchetto a stable e tale pacchetto è presente nella
stessa versione anche in testing (caso 1) o unstable (caso 2), allora
scarichi immediatamente il fix.
Sì, però non succede praticamente mai che in Sarge o Sid ci sia la stessa 
versione di un pacchetto di Woody.
io ho fatto una piccola e veloce ricerca e già il 5° pacchetto .deb 
risulta avere la stessa versione tra stable, testing e unstable ... non 
sarò stato così fortunato!
Inoltre quando Sarge diventerà la nuova stable questa coincidenza con la 
versione dei pacchetti tra le diverse versioni di Debian avrà di sicuro 
molti più casi di ora.

Comunque come già detto non conosco questa parte e quindi molte cose le 
ho tirate ad indovinare, ma dai dati che ho riportato qui sopra mi sa 
che non mi sono discostato molto dalla verità

Ciao
Davide

Penso poi che una volta che un fix viene messo su security venga anche
messo il pacchetto sulla lista debian corrispondente 
In realtà viene pubblicato un DSA su debian-announce se non ricordo male.
Lucio.


--
Linux User: 302090: http://counter.li.org
Prodotti consigliati:
Sistema operativo: Debian: http://www.it.debian.org
Strumenti per l'ufficio: OpenOffice.org: http://it.openoffice.org
Database: PostgreSQL: http://www.postgres.org
Browser: FireFox: http://texturizer.net/firefox
Client di posta: Thunderbird: http://texturizer.net/thunderbird
Enciclopedia: wikipedia: http://it.wikipedia.org
--
Non autorizzo la memorizzazione del mio indirizzo di posta a chi usa
outlook: non voglio essere invaso da spam

--
Email.it, the professional e-mail, gratis per te: http://www.email.it/f
Sponsor:
Digitalpix stampa le tue migliori foto digitali
* su vera carta fotografica professionale.
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid32&d-11