Hallo,
ich habe eine grundsätzliche Frage zu der ich keine konkrete Bestätigung finde.
Bekommen Pakete, die in einer LTS Version unter einer definierten Paketquelle geführt werden, langfristig Updates für den LTS Zeitraum auch, wenn der offizielle Hersteller-Support des Pakets längst ausgelaufen ist bzw. innerhalb des Zeitraums ausläuft?
Hier ein konkretes Beispiel mit unterschiedlichen Bewertungen:
Ubuntu LTS 16.04
unterstützte Paketquellen: main, restricted
nicht unterstützte Paketquellen: universe, multivers
Quelle: https://wiki.ubuntuusers.de/Long_Term_Support/
Paketquellen für Pakete von PHP 7.0:
php: main
php-cli: main
php-fpm: universe
Quelle:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | root@001e47a3ae32:/# apt-cache policy php php: Installed: (none) Candidate: 1:7.0+35ubuntu6.1 Version table: 1:7.0+35ubuntu6.1 500 500 http://archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages 1:7.0+35ubuntu6 500 500 http://archive.ubuntu.com/ubuntu xenial/main amd64 Packages root@001e47a3ae32:/# apt-cache policy php-cli php-cli: Installed: 1:7.0+35ubuntu6.1 Candidate: 1:7.0+35ubuntu6.1 Version table: *** 1:7.0+35ubuntu6.1 500 500 http://archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages 100 /var/lib/dpkg/status 1:7.0+35ubuntu6 500 500 http://archive.ubuntu.com/ubuntu xenial/main amd64 Packages root@001e47a3ae32:/# apt-cache policy php-fpm php-fpm: Installed: 1:7.0+35ubuntu6.1 Candidate: 1:7.0+35ubuntu6.1 Version table: *** 1:7.0+35ubuntu6.1 500 500 http://archive.ubuntu.com/ubuntu xenial-updates/universe amd64 Packages 100 /var/lib/dpkg/status 1:7.0+35ubuntu6 500 500 http://archive.ubuntu.com/ubuntu xenial/universe amd64 Packages |
Annahmen:
Wird eine kritische Lücke in php oder php-cli entdeckt, wird diese theoretisch geschlossen durch Ubuntu und nicht dem PHP Entwickler Team, da es in der Paketquelle main enthalten ist?!
2. Wird eine kritische Lücke in php-fpm entdeckt, wird diese offiziell nicht geschlossen seitens Ubuntu, da es in der Paketquelle universe enthalten ist?!
Auslöser dieser Fragestellung war CVE-2019-11043 (https://nvd.nist.gov/vuln/detail/CVE-2019-11043), die php-fpm betrifft. In den Details wird PHP 7.0 leider nicht erwähnt, ob es dort die Lücke nicht gibt oder nur nicht getestet wurde, weil es keinen offiziellen Support dafür gibt, bleibt fraglich.