Debian 3.1r0 CD/DVD image bug

Bug

A debian-devel-announce listára érkezett egy levél, amiben Colin Watson leírja, hogy a CD-ről telepített Debian Sarge sources.list filejában rossz a security update sor (benne maradt a ``testing'' a ``stable'' helyett).

Eredeti szöveg:

A bug has been discovered in the 3.1r0 CD/DVD images: new installs from these images will have a commented-out entry in /etc/apt/sources.list for "http://security.debian.org/ testing/updates" rather than an active entry for "http://security.debian.org/ stable/updates", and thus will
not get security updates by default. This was due to incorrect Release files on the images.

If you have already installed a system using a 3.1r0 CD/DVD image, you do not need to reinstall. Instead, simply edit /etc/apt/sources.list, look for any lines mentioning security.debian.org, change "testing" to "stable", and remove "# " from the start of the line.

If you installed other than from a CD or DVD (for example, netboot, or booting from floppy and installing the base system from the network), you are not affected by this bug.

New 3.1r0a images will be available shortly to correct this flaw. In the meantime, CD vendors should delay pressing CDs or DVDs of Debian 3.1. We apologise for the inconvenience.

A levél itt.

( ioros | 2005. 06. 07., k – 17:11 )

Ez lett a nagy sietség eredménye ;-)

( bsd_raven | 2005. 06. 07., k – 17:20 )

Csak az nem hibázik, aki nem dolgozik...

Hat igen, sikerult egy ``nagyon nagy'' es egyben ``javithatatlan'' hibat ejteniuk. Akkorat, hogy eszre se vettem, tekintve, hogy a sources.list az a file, amit altalaban az osszes Debian felhasznalo es en is elsonek ir at. Ritka az az eset, hogy valakinek megfelel a gyari sources.list, foleg ha az illeto nem Amerikaban tengeti az eletet. Akinek ez problemat okoz, az menjen kapalni, es javaslom, hogy most fejezze be a szamitogepekkel valo nem tul sikeres ismerkedeset. :-DD

Ha lenne a Debianban man afterboot, az lenne az elso, hogy belevennem, hogy a sources.list-et irja at mindenki. Sot, en nem is adnek gyarilag sources.list-et...

( csabka v | 2005. 06. 07., k – 19:23 )

De legalább 3 évig kellett várni ;)

( ProTech | 2005. 06. 07., k – 19:54 )

Majdnem ramhoztak a szivbajt :) Az elobb irtam ki a 2 DVD-t.

A cim alapjan azt hittem valami komolyabb bug.

nem arról van szó, gyakorlatban szerintem 10 debian használóból 9 kódnevesíti a sources.list-jét. az enyimben is sarge van (korábban woody volt, azelött potato), nem testing, meg stable. ezek ugye változnak.

Arról van szó, hogy megint esett a disztró presztizse, hogy dacára a hosszadalmas tesztelésnek, megint sikerült egy gyermeteg bugot összehozni.

Ez majdnem akkora cumi, mint amikor tavaly(?) az egyik kernel image-be elfelejtettek modulokat forgatni.

Ezt most nem értem... Miért nem jó a gyári sources.list? Jó, hogy érdemes átírni, de miért nem jó?

És miért hülye az, aki nem írja át vagy nem akarja átírni? Ez olyan hozáállás, ami nem egészséges. Mindenkinek vannak hiányosságai, ami sokszor csak az, hogy nem foglalkozik az ezredik beállítással is, ha egszer működik a gépe és van még száz más dolga.

Nem hülye, aki nem írja át, csak azt szokták mondani, hogy nem illik terhelni a központi szervert, ezért mindenki használja a hozzá legközelebb "eső" mirrort, ehhez pedig át kell írni a sources.list-et.

Meg ugye ha paranoid az ember úgyis átírja ip cimekre a dns neveket is, nehogy egy megtört dns kiszolgáló miatt rossz csomagokkal frissítse be a rendszerét. :)

Misi


Nem hülye, aki nem írja át, csak azt szokták mondani, hogy nem illik terhelni a központi szervert, ezért mindenki használja a hozzá legközelebb "eső" mirrort, ehhez pedig át kell írni a sources.list-et.


A security repositorynal pont nem ajanljak a mirrorok hasznalatat.


Meg ugye ha paranoid az ember úgyis átírja ip cimekre a dns neveket is, nehogy egy megtört dns kiszolgáló miatt rossz csomagokkal frissítse be a rendszerét. :)


IP-t fake-elni mar valoban nehezebb, de nem lehetetlen. Inkabb az md5sumokat + az announce-on levo gpg signaturet csekkolja, aki paranoid, vagy pedig hasznalja a csomagokon levo signature-t ellenorze 0.6-os apt branchet.

On 2005-06-07, Micskó Gábor <trey@hup.hu> wrote:
>
> Hat igen, sikerult egy ``nagyon nagy'' es egyben ``javithatatlan'' hibat
> ejteniuk. Akkorat, hogy eszre se vettem, tekintve, hogy a sources.list az a
> file, amit altalaban az osszes Debian felhasznalo es en is elsonek ir at.
> Ritka az az eset, hogy valakinek megfelel a gyari sources.list, foleg ha az
> illeto nem Amerikaban tengeti az eletet. Akinek ez problemat okoz, az
> menjen kapalni, es javaslom, hogy most fejezze be a szamitogepekkel valo
> nem tul sikeres ismerkedeset. :-DD
>
> Ha lenne a Debianban man afterboot, az lenne az elso, hogy belevennem, hogy
> a sources.list-et irja at mindenki. Sot, en nem is adnek gyarilag
> sources.list-et...

Hat nemtom... szerintem egy kezdonek nem kell kezzel szerkesztenie ezt a
file-t, ott van az apt-setup ami mar telepites kozben is elindul es
talan 5 fele magyam mirror kozul valaszthat a user...
Mondjuk azt nemtom, hogy ha igy allitasz be egy mirrort akkor
jelentkezik-e ez a bug.

Amugy szerintem azert blama ez akarhogy is, oke hogy meg fog jelenni a
javitas hamar, stb, de ez egy bosszanto hiba, tipikusan olyan amire 3
embernek kellett volna figyelni... Es minimalis security kockazata is
van. :(

On 2005-06-08, Misi <misi4c@freemail.hu> wrote:
>
> Meg ugye ha paranoid az ember úgyis átírja ip cimekre a dns neveket is,
> nehogy egy megtört dns kiszolgáló miatt rossz csomagokkal frissítse be a
> rendszerét. :)

Egymillioszor nagyobb az eselye, hogy a mirrort torik fel, nem is
beszelve arrol, hogy az esetleges cimvaltozasok miatt szivni fogsz... na
nem olyan nagyon.
Szoval ha paranoid vagy akkor 0.6-os apt-t hasznalsz az experimentalbol,
ami kezeli a digitalis alairasokat. Mar reg a stable-ban kene lenie. :(

http://www.enyo.de/fw/software/apt-secure/
http://packages.debian.org/experimental/base/apt

Azert mert ha minden luzer egy siteot hasznalna, akkor senki nem jutna semmire. Tevedsz, ha azt hiszed, hogy csak a Debian sources.list-jeben van ez igy. Ha lattal volna mar mondjuk FreeBSD vagy DragonFly BSD cvsup filet, akkor emlekezhetnel valami ilyesmire:


# host=CHANGE_THIS.FreeBSD.org

# This specifies the server host which will supply the

# file updates. You must change it to one of the CVSup

# mirror sites listed in the FreeBSD Handbook at

# http://www.freebsd.org/doc/handbook/mirrors.html.

# You can override this setting on the command line

# with cvsup's "-h host" option.

En valami ilyesmit csinalnek a Debianban is. Nezze at a felhasznalo, mielott barmit is csinal.