"debsecan" und "apt-get update" Unterschied
Simon Jolle
(Quelle CVE). Apt-get update will aber keine neuen Patches
herunterladen.
Heisst das auf meinem System befinden sich Sicherheitslücken, welche
von Debian noch nich behoben wurden? Wie muss ich das intepretieren?
# debsecan
TEMP-0417995 initramfs-tools (low urgency)
CVE-2005-2977 libpam0g (low urgency)
CVE-2005-2977 libpam-modules (low urgency)
CVE-2007-0455 libgd2-noxpm (low urgency)
CVE-2005-2069 libldap-2.2-7 (medium urgency)
CVE-2006-1470 libldap-2.2-7 (medium urgency)
CVE-2006-4600 libldap-2.2-7 (low urgency)
CVE-2006-5779 libldap-2.2-7
CVE-2005-2977 libpam-runtime (low urgency)
CVE-2007-1667 libx11-6 (medium urgency)
CVE-2007-1667 libx11-data (medium urgency)
[..]
# apt-get update
Hit ftp://mirror.switch.ch etch Release.gpg
Get: 1 ftp://mirror.switch.ch etch Release [58.2kB]
[..]
Hit ftp://mirror.switch.ch etch/non-free Sources
Ign http://security.debian.org etch/updates/main Packages/DiffIndex
Ign http://security.debian.org etch/updates/contrib Packages/DiffIndex
Ign http://security.debian.org etch/updates/non-free Packages/DiffIndex
Hit http://security.debian.org etch/updates/main Packages
Hit http://security.debian.org etch/updates/contrib Packages
Hit http://security.debian.org etch/updates/non-free Packages
Fetched 58.2kB in 2s (25.9kB/s)
Reading package lists... Done
Matthias Haegele
> Mit debsecan sehe ich Vulnerabilities zu den installierten Paketen
> (Quelle CVE). Apt-get update will aber keine neuen Patches
> herunterladen.
Meinstest du vielleicht aptitude (dist-)ugprade will keine neuen Pakete
installieren?
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Matthias Haegele
> Mit debsecan sehe ich Vulnerabilities zu den installierten Paketen
> (Quelle CVE). Apt-get update will aber keine neuen Patches
> herunterladen.
suchst du vielleicht:
debsecan --only-fixed --suite sid
(wobei lt. manpage --suite der releasecode name also etch und nicht
stable verwendet wird ...)
> Heisst das auf meinem System befinden sich Sicherheitslücken, welche
> von Debian noch nich behoben wurden? Wie muss ich das intepretieren?
MH
Dennis Brandenburg
unter http://www.enyo.de/fw/software/debsecan/ findest Du einige
Anwendungsbeispiele zu Debsecan. Poste doch mal kurz mit felchen
Optionen Du Debsecan gestartet hast.
Dass Du nach apüt-get update ein apt-get upgrade ausführen muss um die
Updates/Upgrades einzuspielen weisst Du?
Gruß,
Dennis
Simon Jolle schrieb:
> Mit debsecan sehe ich Vulnerabilities zu den installierten Paketen
> (Quelle CVE). Apt-get update will aber keine neuen Patches
> herunterladen.
>
> Heisst das auf meinem System befinden sich Sicherheitslücken, welche
Matthias Haegele
> Hallo Simon,
>
> unter http://www.enyo.de/fw/software/debsecan/ findest Du einige
> Anwendungsbeispiele zu Debsecan. Poste doch mal kurz mit felchen
> Optionen Du Debsecan gestartet hast.
>
> Dass Du nach apüt-get update ein apt-get upgrade ausführen muss um die
> Updates/Upgrades einzuspielen weisst Du?
besser aptitude upgrade (dist-upgrade),
apt-get update = aptitude update ...
> Gruß,
> Dennis
MH
Simon Jolle
> unter http://www.enyo.de/fw/software/debsecan/ findest Du einige
> Anwendungsbeispiele zu Debsecan. Poste doch mal kurz mit felchen
> Optionen Du Debsecan gestartet hast.
Mit "debsecan --suite etch --only-fixed", bekomme ich keinen Output
(weil ich den latest Patch Level habe). Hingegen mit "debsecan --suite
etch" zeigt er mir eine Reihe von Sicherheitslücken:
CVE-2005-2977 libpam0g (low urgency)
CVE-2005-2977 libpam-modules (low urgency)
CVE-2007-0455 libgd2-noxpm (low urgency)
[..]
# debsecan --suite etch | wc -l
23
Heisst das ich habe 23 nicht gefixte Sicherheitslücken momentan auf
dem System? Also das Debian Security Team ist daran einen Patch zu
releasen?
> Dass Du nach apüt-get update ein apt-get upgrade ausführen muss um die
> Updates/Upgrades einzuspielen weisst Du?
Ja du kannst mich Idiot nennen :-). Nun habe ich dazu gelernt. Ich
komme von RHEL mit "yum -y update oder up2date -u".
Jochen Schulz
>
> Mit debsecan sehe ich Vulnerabilities zu den installierten Paketen
> (Quelle CVE).
Oh, schick. Kannte ich gar nicht, danke.
> Apt-get update will aber keine neuen Patches
> herunterladen.
Die Aktion 'update' aktualisiert auch nur die Liste verfügbarer Pakete.
Updates werden mit 'upgrade' eingespielt.
> Heisst das auf meinem System befinden sich Sicherheitslücken, welche
> von Debian noch nich behoben wurden?
Würde ich so interpretieren, ja.
J.
--
I frequently find myself at the top of the stairs with absolutely
nothing happening in my brain.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Dennis Brandenburg
Jochen Schulz
>
> Mit "debsecan --suite etch --only-fixed", bekomme ich keinen Output
> (weil ich den latest Patch Level habe). Hingegen mit "debsecan --suite
> etch" zeigt er mir eine Reihe von Sicherheitslücken:
> Heisst das ich habe 23 nicht gefixte Sicherheitslücken momentan auf
> dem System?
Du hast 23 Lücken auf dem System, die allgemein bekannt sind, ja. In
Wirklichkeit sind es natürlich mehr. :)
> Also das Debian Security Team ist daran einen Patch zu
> releasen?
Das kann man nicht wissen. Klingt grausam, ist aber so. Sollte man drank
denken, wenn man das nächste Mal die Sicherheit von freier Software
loben will. :)
Interessant ist in dem Zusammenhang auch die Seite
<http://security-tracker.debian.net/tracker/status/release/testing>
(bzw. mit "stable" oder "unstable" statt "testing" hinten).
J.
--
I am no longer prepared to give you the benefit of the doubt.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Florian Weimer
> # debsecan --suite etch | wc -l
> 23
>
> Heisst das ich habe 23 nicht gefixte Sicherheitslücken momentan auf
> dem System?
Ja, wenn das Datenmaterial, das debsecan verwendet ist, richtig
ist. Das ist der Grund, warum debsecan PR-technisch nicht so ganz
geglückt ist.
> Also das Debian Security Team ist daran einen Patch zu releasen?
Jein, die Schwachstellen sind prinzipiell bekannt, aber es ist
z.B. nicht ganz klar wie der Fix aussieht:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=336344 (CVE-2005-2977)
Oder der Maintainer ist noch nicht dazugekommen, den Patch einzuspielen:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=408982 (CVE-2007-0455)
CVE-2005-2977 dürfte übrigens für die meisten Systeme irrelevant sein
(kein SELinux). debsecan kann man das per Whitelist mitteilen, aber
auch hier wäre zugegebenermaßen etwas Zentralisiertes sinnvoll.
Bei http://idssi.enyo.de/tracker/ kann man übrigens die Bug-Daten
abfragen, wenn man einen Fehler im Grundmaterial vermutet. (Links
dorthin stehen auch in den täglichen Berichten, sofern man diese nicht
abgeschaltet hat.)
Simon Jolle
> Ja, wenn das Datenmaterial, das debsecan verwendet ist, richtig
> ist. Das ist der Grund, warum debsecan PR-technisch nicht so ganz
> geglückt ist.
Ich finde debsecan hervorragend, denn Transparenz ist das wichigste
bei sicherheitskritischen Sachen. Das erlaubt dem Admin auch manuell
einen Workaround zu implementieren (gewisse Funktionen nicht mehr
nutzen, disablen,..)
Meine Wenigkeit ist von der Debian Community generell postiv
überrascht und fragt sich warum RHEL nicht analoge Mechanismen
bereitstellt.
Jochen Schulz
> On 4/19/07, Florian Weimer <f...@deneb.enyo.de> wrote:
>> Ja, wenn das Datenmaterial, das debsecan verwendet ist, richtig
>> ist. Das ist der Grund, warum debsecan PR-technisch nicht so ganz
>> geglückt ist.
>
> Ich finde debsecan hervorragend, denn Transparenz ist das wichigste
> bei sicherheitskritischen Sachen. Das erlaubt dem Admin auch manuell
> einen Workaround zu implementieren (gewisse Funktionen nicht mehr
> nutzen, disablen,..)
Ganz großes ACK. Ich wollte mit meiner vorigen Mail auch nicht die
Arbeit irgendwelcher Leute schlecht machen, falls das bei jemandem so
angekommen ist.
J.
--
Scientists know what they are talking about.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Andreas Juch
> Warum ist aptitude upgrade besser?
aptitude is the preferred program for package management from console.
aptitude supports most command line operations of apt-get and has proven
to be better at dependency resolution than apt-get.
(http://www.debian.org/releases/etch/i386/release-notes/ch-whats-new.en.html)
"schönfeld / in-medias-res.com"
> Dennis Brandenburg wrote:
>> Warum ist aptitude upgrade besser?
>
> aptitude is the preferred program for package management from console.
> aptitude supports most command line operations of apt-get and has proven
> to be better at dependency resolution than apt-get.
Ja, sollte man aber nur dann verwenden, wenn man
a) ein System von Anfang an aufsetzt. Denn: Wer ein System seit Jahren
mit apt-get auf dem aktuellen Stand gehalten hat, wird sich mit aptitude
(das der Meinung ist von apt-get installierte Pakete sind prinzipiell
automatisch installiert und damit zu entfernen) ne große Menge Arbeit
und Ärger einhandeln.
b) nicht vor hat non-interactive Installationen zu machen. Die sollen
lt. verschiedenen Quellen (z.B. auch die cron-apt maintainer) mit
aptitude noch nich so wirklich das Wahre sein.
c) Geduld und Zeit hat sich mit den neuen Parametern von aptitude
auseinanderzusetzen, die leider *nicht* gänzlich abwärtskompatibel sind.
(remove --purge) ist zum Beispiel jetzt purge, wobei aptitude es nicht
für nötig hält beim Aufruf mit remove --purge mal ne kleine Warnung
auszugeben)
d) Geduld und Zeit hat die manuell, installierten Pakete in aptitude als
manuell installiert zu markieren. (Achtung: Bei einem ausgewachsenene
System wird das eine Menge Zeit kosten!)
Gruß
Patrick
P.S. Wer Ironie findet, darf sie behalten.
Björn Keil
> Andreas Juch schrieb:
>
>> Dennis Brandenburg wrote:
>>
>>> Warum ist aptitude upgrade besser?
>>>
>> aptitude is the preferred program for package management from console.
>> aptitude supports most command line operations of apt-get and has proven
>> to be better at dependency resolution than apt-get.
>>
>
> Ja, sollte man aber nur dann verwenden, wenn man
>
> a) ein System von Anfang an aufsetzt. Denn: Wer ein System seit Jahren
> mit apt-get auf dem aktuellen Stand gehalten hat, wird sich mit aptitude
> (das der Meinung ist von apt-get installierte Pakete sind prinzipiell
> automatisch installiert und damit zu entfernen) ne große Menge Arbeit
> und Ärger einhandeln.
>
dass alles manuell installiert ist.
> c) Geduld und Zeit hat sich mit den neuen Parametern von aptitude
> auseinanderzusetzen, die leider *nicht* gänzlich abwärtskompatibel sind.
> (remove --purge) ist zum Beispiel jetzt purge, wobei aptitude es nicht
> für nötig hält beim Aufruf mit remove --purge mal ne kleine Warnung
> auszugeben)
>
ich kaum versehentlich eingeben. Dass sich das Purge auch auf Pakete
bezieht, die automatisch deinstalliert werden finde ich praktisch und
dann fragt er ja durchaus auch nochmal nach.
> d) Geduld und Zeit hat die manuell, installierten Pakete in aptitude als
> manuell installiert zu markieren. (Achtung: Bei einem ausgewachsenene
> System wird das eine Menge Zeit kosten!)
nicht braucht oder bei denen man nicht sicher ist kann man die einfach
als automatisch installiert markieren. Mit der Zeit regelt sich das von
alleine...
Also ich bin auf meinem System nach längerer Zeit mit apt-get und
apt-cache auf aptitude umgestiegen. Seitdem ist mein System deutlich
schlanker, viel Arbeit hat es aber nicht gekostet. Sicher, wenn es nicht
nur um meinen privaten Computer sondern Firmengeräte für
was-weiß-ich-wieviele Benutzer ginge wäre das noch mal genauer zu
überlegen. Aber für einen einzelnen Rechner finde ich es klasse.
Grüße
Björn
Björn Keil
Du tatsächlich wolltest, und welche nur Installiert worden sind um
irgendwelche Bedingungen zu erfüllen. Der wihtigste Nebenvorteil,
insbesondere wenn Du das Programm interaktiv benutzt ist, dass es Dich
auf empfohlene Pakete Hinweist. Hat mir auch schon ne Menge Arbeit
erspart. Mal angenommen Du würdest Postgre SQL installieren wollen:
bjoern@Rabenhorst:/var/log$ sudo aptitude -s install postgresql
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut... Fertig
Lese erweiterte Statusinformationen
Initialisiere Paketstatus... Fertig
Lese Task-Beschreibungen... Fertig
Erzeuge Tag-Datenbank... Fertig
Die folgenden NEUEN Pakete werden zusätzlich automatisch installiert:
postgresql-7.4 postgresql-client postgresql-client-7.4
postgresql-client-common postgresql-common postgresql-plperl-7.4
postgresql-plpython-7.4
postgresql-pltcl-7.4 ssl-cert
Die folgenden NEUEN Pakete werden zusätzlich installiert:
postgresql postgresql-7.4 postgresql-client postgresql-client-7.4
postgresql-client-common postgresql-common postgresql-plperl-7.4
postgresql-plpython-7.4 postgresql-pltcl-7.4 ssl-cert
0 Pakete aktualisiert, 10 zusätzlich installiert, 0 werden entfernt und
0 nicht aktualisiert.
Muss 4977kB an Archiven herunterladen. Nach dem Entpacken werden 12,4MB
zusätzlich belegt sein.
Wollen Sie fortsetzen? [Y/n/?]
Wenn Du dann später postgresql wieder de-installierst werden auch
sämtlich Pakete die er automatisch installiert hat wieder
de-installiert: Wenn Du PostgreSQL entfernst, wird auch der Client
entfernt, obwohl der Client nicht vom Paket PostgreSQL abhängt.
Grüße
Björn