Debian Weekly News - 14. März 2001

Willkommen zu Debian Weekly News, die Neuigkeiten für die Debian-Gemeinschaft.

Seit Jahren ist es uns bewusst, dass Debians Art, Pakete und Releases zu den Benutzern zu bringen, aus Sicherheitssicht hinten nachhinkt. Es gibt keinen Weg, sich sicher zu ein, dass das Paket, da Sie gerade heruntergeladen haben, wirklich von einem Debian-Entwickler gemacht wurde und tatsächlich ein Teil des aktuellen Releases ist. Das wird schnell geändert, und bald werden Benutzer zwei ergänzende Wege haben, um sicherzustellen, dass sie rechtmäßige Pakete installieren. Diese Woche wurde auf der debian-dpkg Liste ein Patch veröffentlicht, der zu dpkg die Unterstützung hinzufügt, Signaturen von Debian-Paketen zu prüfen. Die Signaturen werden in einer neuen Sektion des Paketes selbst gespeichert, und Werkzeuge werden im Augenblick zu Debian hinzugefügt, die solche Signaturen prüfen. Diese Art von Paket-Signaturen ist ähnlich zu den Techniken, die in der rpm-Welt bereits seit einer langen Zeit existieren, und sie sind eine willkommene Erweiterung für dpkg, aber ihre Nützlichkeit sollte nicht überbewertet werden.

Signierte Pakete allein halten immer noch mehrere Alleen für Attacken offen. Verschiedene böse Dinge können mit der Packages Datei gemacht werden, oder indem man apt austrickst und dazu bringt, alte und unsichere Pakete herunterzuladen. Diese Attacken auszuschließen benötigt eine weitere Ebene der Sicherheit – signierte Releases. Es erscheinen bereits signierte Release.gpg im Archiv, und apt wird bald fähig sein, diese Signaturen zu überprüfen, wenn es ein Debian-System aktualisiert. In der schlussendlichen Analyse garantiert keines dieser Schemen absolute Sicherheit, aber sie werden Angriffe viel härter für die schwarzen Schafe machen, und möglicherweise werden zu der Zeit, wenn Woody freigegeben wird, beide Typen von Signaturen weit verbreitet sein.

Vorbereitungen für eine Aktualisierung in stable ist in Arbeit, Debian-Version 2.2r3. Wie in den meisten Minderüberarbeitungen werden Pakete mit Sicherheitsproblemen, Copyright-Sachen oder sehr schlimmen Fehlern in diesem Release aktualisiert. Sie könnte auch Aktualisierungen beinhalten, um sie mit dem 2.4er Kernel kompatibel zu machen, da alle notwendigen Pakete bereits zurückportiert wurden. Martin Schulze koordiniert das neue Release, und seine Liste der Pakete, die inkludiert werden, ist im Web verfügbar.

Die DPL-Wahl ist im Gange, nach einigen wenigen Fehlstarten. Entwickler können sich einen Wahlzettel besorgen und ihn gpg-signiert mailen. Die Wahlen enden am 28.

Eine weitere Fehler-Ausmerz-Party ist für dieses Wochenende geplant. Beinahe 350 veröffentlichungskritische Fehler blieben nach der letzten Party übrig, und sie müssen alle behoben werden, bevor Woody veröffentlicht wird, daher wird jeder mit freier Zeit an diesem Wochenende gebeten, eine helfende Hand zu reichen und den einen oder anderen Fehler zu beheben.

Während einigen Wochen fließen endlose Sicherheitsbehebungen in Debian ein. Dies war eine dieser Wochen. Einige dieser Ankündigungen waren für Probleme, die eigentlich bereits früher behoben wurden, aber nicht angekündigt, aber viele sind brandneue Sicherheitsbehebungen.

Das Sicherheitsteam verdient vielen Dank für all ihre harte Arbeit in dieser Woche.


Wenn Sie diesen Newsletter wöchentlich in Ihrer Mailbox haben wollen, abonnieren Sie die Mailingliste debian-news-german.

Hier gibt es ältere Ausgaben dieser Nachrichtenseite.

Diese Ausgabe der wöchentlichen Debian-Nachrichten wurde von Joey Hess erstellt.