Frage zu: Debain Sarge Security Updates Policy

[jade]

Hallo Experten!

Ich habe da nochmal eine Frage zur Sarge Security update policy. Und zwar war es ja bis vor kurzem so, das ofiziell kein Support für Security Updates erfoglt, sondern man auf aktualisierte Pakete "hoffen" sollte.

Jetzt meine ich gelesen zu haben, das seit kurzem dieser Support auch für Sarge stattfindet. Ist das richitg?

Jedenfalls gibt es die aktuelle PHP Version 4.3.11 nur für Woody als security update, während bei Sarge immer noch 4.3.10 aktuell ist.

Gehen die Debian Leute davon aus, das niemand Sarge produktiv nutzt?

Wie verfahrt ihr Profis in so einem Fall? Ein aktualisiertes Paket bei DotDeb besorgen? Das habe ich früher mal gemacht, was mein System teilweise instabil werden ließ...

Oder gleich alles selbst kompilieren? Das mache ich auf meinem Vserver so, aber auf dem Produktivserver würde ich schon gerne auf die Debain Paket Versionen zurückgreifen...

Oder ist Sarge immer noch nicht reif für den Produktivbereich?

Bis auf die PHP Updates bin ich super zufrieden mit Sarge.

Wann wird dieses Sarge endlich stable...

Viele Grüße

Jan

[geo]

... PHP Version 4.3.11 nur für Woody ...

Wo?
Im offiziellen woody stable finde ich nur 4.1.2
Würde gern PHP4 updaten ohne Instabilitäten zu bekommen.

[evoluzzer]

guten morgen,


hier mal ein link mit offenen securitybugs von sarge:

http://merkel.debian.org/~joeyh/testing-security.htmlListe

gruss Chris

[fearfactor]

Hallo und Guten Tag!

Ich habe da nochmal eine Frage zur Sarge Security update policy. Und zwar war es ja bis vor kurzem so, das ofiziell kein Support für Security Updates erfoglt, sondern man auf aktualisierte Pakete "hoffen" sollte.

Jetzt meine ich gelesen zu haben, das seit kurzem dieser Support auch für Sarge stattfindet. Ist das richitg?

Nein. Das Security-Repository für Sarge ist weiterhin leer.

Jedenfalls gibt es die aktuelle PHP Version 4.3.11 nur für Woody als security update, während bei Sarge immer noch 4.3.10 aktuell ist.

Ich weiß nciht, wo Du die Info her hast, aber debian.de verrät mir, dass in Woody weiterhin Version 4.1.2-7.0.1 das PHP4-Paket Deiner Wahl ist.

Gehen die Debian Leute davon aus, das niemand Sarge produktiv nutzt?

Debian geht da ganz klare Wege. Stable für Produktivbetrieb, Testing für den, der aktuelle Software braucht, Unstable für den, der noch aktuellere Software braucht. Wer testing nicht nutzen will, aber aktuellere Pakete als in Stable enthalten, nutzen muss, muss eben backporten.

Wie verfahrt ihr Profis in so einem Fall? Ein aktualisiertes Paket bei DotDeb besorgen? Das habe ich früher mal gemacht, was mein System teilweise instabil werden ließ...

Bei mir läuft Sarge.

Oder ist Sarge immer noch nicht reif für den Produktivbereich?

Bis auf die PHP Updates bin ich super zufrieden mit Sarge.

Wann wird dieses Sarge endlich stable...

Wie heisst es so schön: "Es ist fertig, wenn es fertig ist" ;)

[henri]

während bei Sarge immer noch 4.3.10 aktuell ist.

Yepp, könnte auch sein das das so bleibt. (hat was mit dem release von sarge zu tun -> siehe developermailinglist)
in der aktuellen 4:4.3.10-12 sind aber alle security updates der .11 enthalten.
Gruß Henri

[wirtsi]

Moin

Was mir dann nicht so klar ist:

ich bekomme immer Mails von der Debian-Security Liste, und da werden eigentlich immer gefixte Pakete auch für sid angeboten.

Ich meine, ob das jetzt aus Security kommt oder nicht ist mir recht egal, solange eben die gefunden Sicherheitslücken behoben werden ...

Wirtsi

[dodolin]

Für sid, ja. Aber sid != sarge. Und bis ein Paket von sid nach sarge wandert vergehen mindestens 10 Tage (oder wielange die Policy jetzt auch immer genau vorschreibt...).

[wirtsi]

duh, ok, wer lesen kann ... :oops:

Allerdings steht auf der Debian Seite immer noch, daß es für Testing keine Sicherheitsupdate gibt (http://www.debian.de/security/faq#testing).

Das ist dann wohl veraltet, oder?

Wirtsi

[dodolin]

Testing ist sarge, Sid ist Unstable.