Tinub
Anmeldungsdatum: 19. Juni 2009
Beiträge: Zähle...
Wohnort: Schweiz
|
Hallo Warum wird in der Distribution Ubuntu 14.04 (immerhin LTS !) GnuPG nicht aktuell gehalten? GnuPG 1 ist aktuell Version 1.4.18, GnuPG 2 ist Version 2.0.26 und Libcrypt 1.5.4. In Ubuntu 14.04 sind sie aber nur auf 1.4.16, 2.0.22? Scheint mir etwas fahrlässig...
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
Tinub schrieb: Warum wird in der Distribution Ubuntu 14.04 (immerhin LTS !) GnuPG nicht aktuell gehalten? GnuPG 1 ist aktuell Version 1.4.18, GnuPG 2 ist Version 2.0.26 und Libcrypt 1.5.4. In Ubuntu 14.04 sind sie aber nur auf 1.4.16, 2.0.22? Scheint mir etwas fahrlässig...
Das liegt an der Update-Politik. Und fahrlässig ist das auch nicht, Sicherheitsaktualisierungen werden nämlich trotzdem eingepflegt. ~jug
|
Tinub
(Themenstarter)
Anmeldungsdatum: 19. Juni 2009
Beiträge: 39
Wohnort: Schweiz
|
Die "Einpflegung von Sicherheitsupdates" scheint mir aber bei Libcrypt 1.5.4. nicht eingehalten worden zu sein... Die "aktuelle" Ubuntu 14.04 gnupg Versions-Kombination ist gefährlich veraltet: http://lists.gnupg.org/pipermail/gnupg-announce/2014q3/000352.html
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
Es handelte sich dabei um CVE-2014-5270 und die Patches wurden wie üblich eingepflegt auch wenn sich die Versionsnummer nich geändert hat: http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-5270.html ~jug
|
Tinub
(Themenstarter)
Anmeldungsdatum: 19. Juni 2009
Beiträge: 39
Wohnort: Schweiz
|
Aber warum gibt die Versionsnummer nicht die Änderung wider - das verstehe ich jetzt gar nicht. Wenn ich in meinem aktuell gehaltenen Ubuntu 14.04 sehe: gpg2 --version
gpg (GnuPG) 2.0.22
libgcrypt 1.5.3
Nach oben zitiertem Artikel sieht das nach veralteter Version aus. Wie soll ich jetzt da sehen, dass es eben doch aktualisiert wurde? Völlig unübersichtlich und missverständlich...
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
Tinub schrieb: Nach oben zitiertem Artikel sieht das nach veralteter Version aus. Wie soll ich jetzt da sehen, dass es eben doch aktualisiert wurde? Völlig unübersichtlich und missverständlich...
Da kann ich leider wenig zu sagen. Ich kenne auch das Changelog nicht oder die Motivation der Ubuntu-Security das nicht auf 1.5.4 zu heben. Ich vermute, dass es da Funktionsunterschiede gibt, die man bei einer stabilen Version vermeiden will. Das kann man bestimmt irgendwo auf Launchpad nachlesen. Aber ganz unrecht hast du nicht, dass das nicht einfach zu erkennen ist. Im Zweifelsfall muss man also Google bemühen und mit der CVE-Nummer auf Launchpad suchen, so wie ich das auch oben tun musste. In dem speziellen Fall ist übrigens dein „gefährlich veraltet“ eher Hysterie. Der spezielle Angriff dort betrifft die Möglichkeit Informationen über die Verschlüsselung (den verwendeten Schlüssel) aus den Spannungsänderungen des Netzteiles auslesen zu können. Unter Laborbedingungen, mit empfindlichen Messgeräten an der Steckdose und wenn das System nichts anderes macht als eben verschlüsseln, weil jede andere Aktion die Messung beeinflussen würde. Gut dass das gefixt ist, aber für die meisten Anwender doch eher irrelevant. ~jug
|
Tinub
(Themenstarter)
Anmeldungsdatum: 19. Juni 2009
Beiträge: 39
Wohnort: Schweiz
|
jug schrieb: Im Zweifelsfall muss man also Google bemühen und mit der CVE-Nummer auf Launchpad suchen, so wie ich das auch oben tun musste.
Huch, ich bitte dich - ein "gpg --version" reicht also nicht mehr - da muss man mit Google zuerst auch sicher gehen, ob das wirklich auch zutriff oder nicht doch allenfalls und eventuell doch nicht... Nein, bitte, das ist defintiv nichts mehr für Anwender, das ist höchstens etwas für Geeks.
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Der Anwender vertraut vollkommen zu recht darauf, dass Canonical die Fehler und Sicherheitslücken in Ubuntu schließt. Dank einer zentralen Paketverwaltung muss sich der einfache Anwender nicht damit befassen auf welcher Version die installierte Software ist. Manuelle Updates sind nur was für Geeks.
|
Tinub
(Themenstarter)
Anmeldungsdatum: 19. Juni 2009
Beiträge: 39
Wohnort: Schweiz
|
MrGerardCruiz schrieb: Dank einer zentralen Paketverwaltung muss sich der einfache Anwender nicht damit befassen auf welcher Version die installierte Software ist. Manuelle Updates sind nur was für Geeks.
Immerhin gibts zwischen "einfachem Anwender" und dem "Geek" noch ein paar interessierte Anwender, die z.B. auf Versionsangaben achten und merken, dass die verwendete Version nicht mit der aktuellsten übereinstimmt. Und was dann? Und: Vertrauen ist gut, Kontrolle ist hier aber besser.
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Tja und vom interessierten Anwender ist es nicht zu viel verlangt zu lernen, dass bei den meisten (!) Linuxdistributionen die Versionsnummern nicht der tatsächlichen Patchversion entsprechen. Der Kontrolle-Spruch trifft hier übrigens überhaupt nicht zu. Auf einem durchschnittlichen Desktopsystem sind ~1.700 Pakete installiert. Eine manuelle Kontrolle ist hier absolut unnötig und eigentlich auch unmöglich. Es sei denn man ist arbeitslos.
|
Tinub
(Themenstarter)
Anmeldungsdatum: 19. Juni 2009
Beiträge: 39
Wohnort: Schweiz
|
MrGerardCruiz schrieb: Tja und vom interessierten Anwender ist es nicht zu viel verlangt zu lernen, dass bei den meisten (!) Linuxdistributionen die Versionsnummern nicht der tatsächlichen Patchversion entsprechen.
Wie bitte? Wozu gibts denn überhaupt noch Versionsnummern, wenn die über die tatsächliche Version des Programms nichts aussagen? Nein, das kann ich nicht glauben - 1. April ist erst in 5 1/2 Monaten.
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
Wenn du eine Distribution suchst, die ausschließlich auf Upstream setzt und (fast) keine eigenen Änderungen einpflegt solltest du dir Arch Linux (Deutsche Community: http://www.archlinux.de) ansehen. Außerdem sagen die Versionen in Ubuntu etwas über das Programm aus, weil es funktional bei der Version eingefroren wurde. Zurückportiert werden schließlich lediglich Sicherheitsaktualisierungen. Das ist notwendig, da manche Projekte keine ausschließlichen Fehler/Sicherheitsbehebungen kennen und Linuxdistributionen keine neue Funktionen nach einem Release einbauen. Jedoch kann es auch hier zu Problemen kommen. Die kdelibs sind beispielsweise eigentlich seit Version 4.8 als LTS eingefroren, werden aber aus spezifischen Gründen mit Versionsnummer 4.13/4.14 geführt. Versionen sind kein Dogma und unterscheiden sich je Upstream-Projekt erheblich. (Vergleiche Firefox oder Chrome mit dem Linux-Kernel). Versionsnummern sind somit lediglich eine Hilfe für die Maintainer der Pakete in den jeweiligen Distributionen. Dem Anwender kann das Thema vollkommen gleich sein.
|
jug
Ehemalige
Anmeldungsdatum: 19. März 2007
Beiträge: 12335
Wohnort: Berlin
|
Tinub schrieb: Wie bitte? Wozu gibts denn überhaupt noch Versionsnummern, wenn die über die tatsächliche Version des Programms nichts aussagen? Nein, das kann ich nicht glauben - 1. April ist erst in 5 1/2 Monaten.
Wie schon gesagt: wir hier im Forum können wenig dafür, wir können dir höchstens sagen wie es ist. Und wenn dir die Situation missfällt, dann sind wir auch nicht die richtigen Ansprechpartner. Tut mir leid, aber es ist so wie MrGerardCruiz schon schrieb, dass viele Distributionen eigene Patches zu den jeweiligen Paketen bauen und deshalb auch abweichende Versionsnummern haben können. Das folgt direkt aus der verlinkten Update-Politik, die dafür sorgt, dass lieber einzelne Patches übernommen oder zurückportiert werden anstatt eine neue Softwareversion in die Distribution aufzunehmen. Neuere Versionen werden nur bis zum „Feature Freeze“ einer Veröffentlichung akzeptiert, danach nur noch in Ausnahmefällen. Wenn du dich auf Versionsnummern verlassen können willst, dann bleibt für dich vermutlich nur LFS, möglicherweise auch Gentoo oder Archlinux. ~jug
|
Tinub
(Themenstarter)
Anmeldungsdatum: 19. Juni 2009
Beiträge: 39
Wohnort: Schweiz
|
jug schrieb: Wie schon gesagt: wir hier im Forum können wenig dafür, wir können dir höchstens sagen wie es ist. Und wenn dir die Situation missfällt, dann sind wir auch nicht die richtigen Ansprechpartner.
Ach je, das habe ich auch gar nicht gemeint, das ihr etwas dafür könnt - ich habe "nur" mein Unverständnis für diese Situation beschrieben. Das Ganze entstand übrigens dadurch, dass sich ein Mail-Partner bei mir beschwert hat, dass ich ein "alte" GnuPG Version fahren würde - und nach der Versionsnummer zu schliessen, stimmt das auch. Dass die Versionsnummer aber wenig über den tatsächlichen Stand der Software aussagt, war und ist mir neu - und das muss ich wohl meinem Mail-Partner jetzt auch noch beibringen - aber eben, ein leises Kopfschütteln kann ich mir nicht verkneifen. 😉
|