Thema: Debian ...

[SiLæncer]

Zweiter und wahrscheinlich letzter Release-Candidate vor Sarge erschienen

Der Debian-Installer ist jetzt in Form eines zweiten Release Candidate erschienen und scheint sich damit der Fertigstellung zu nähern. Damit rückt auch das kommende Debian-Release 3.1 alias Sarge näher.

Der jetzt erschienene zweite Release Candidate soll bereits der fertigen Version für Debian 3.1 entsprechen, es treten keine großen Fehler mehr auf. Gegenüber den Vorabversionen zum RC2 gab es einige kleine Änderungen, so dass nun unter anderem der Logical Volume Manager (LVM) auch auf Software-RAIDs unterstützt wird.

Zudem gibt es experimentelle Unterstützung zur Installation mit einem Kernel 2.6 auf der HPPA-Architektur. Darüber hinaus wurden zahlreiche Fehler beseitigt.

Der Release Candidate 2 des Debian-Installers steht unter debian.org in Form von CD-Images zum Download zur Verfügung.

http://www.debian.org/devel/debian-installer/

Quelle : www.golem.de

[SiLæncer]

Der mit c't Ausgabe 4/2005 veröffentlichte c't-Debian-Server, der auch einen älteren PC Dateien servieren, Druckjobs verwalten und E-Mail speichern lässt, steht jetzt zum freien Download bereit. Die rund 232 MByte große ISO-Datei enthält alle bisher veröffentlichten Updates, die als Aktualisierung der Heft-CD mittels jigdo schon länger erhältlich sind. Die ISO-Datei steht nicht nur auf unserem, sondern auch auf einigen Spiegelservern zum Download bereit. Nähere Hinweise gibt eine spezielle Download-Seite.

Die Distribution ist ein speziell für den Einsatz eines Servers zusammengestelltes Debian-System. Es verwendet als Basis die Pakete aus dem Testing-Zweig (Sarge), der demnächst als Debian GNU/Linux 3.1 veröffentlich werden soll. Das Einrichten übernimmt ein auf Wunsch weitgehend automatisierter Aufruf des aktuellen Debian-Installer (allerdings noch in der inzwischen abgelösten RC2-Version). Die integrierte IPCop-Firewall läuft dank User Mode Linux in einer Art virtuellen Maschine sauber vom übrigen Server getrennt.

Weitere Hinweise rund um die Distribution enthalten die zugehörigen c't-Projektseiten auf heise online. Unter anderem gibt es dort auch eine Aufstellung der zum Server bisher in c't veröffentlichten Artikel.

Quelle und Links : http://www.heise.de/newsticker/meldung/58194

[SiLæncer]

Nach drei Jahren Entwicklungszeit, langem Warten und letzten Verzögerungen kurz vor der Freigabe ist es am heutigen Montag soweit: Die Entwickler der Linux-Distribution Debian geben die nächste stabile Release Debian/GNU Linux 3.1 frei. Das unter "Sarge" firmierende Betriebssystem löst damit "Woody" ab (Debian GNU/Linux 3.0).

Sarge unterstützt elf verschiedene Prozessor-Architekturen (Motorola 68k, Sparc, Alpha, PowerPC, x86, IA-64, PA-RISC, MIPS, MIPSEL, ARM und IBM S/390, nicht jedoch die neuen x86-64-Bit-Erweiterungen) und bringt KDE 3.3 und GNOME 2.8 als grafische Bedienoberflächen mit. Die neue Version der Debian-Distribution zeichnet sich zudem durch einen vollständig überarbeiteten Installer aus, der sich automatisieren lässt und dreißig Sprachen unterstützt.

Die Debian-Entwickler heben stolz hervor, dass jetzt schon die Standardinstallation OpenSSH und GNU Privacy Guard einrichtet und dass starke Verschlüsselung für einen Großteil der Pakete vom Web-Browser bis zur Datenbank vorhanden ist. Als Kernel stehen 2.4.27 und 2.6.8 bereit.

Updates bestehender Installationen sollen kein Problem sein. Dank der Paketmanagementwerkzeuge wie aptitude und apt-get sollte der Umstieg von Woody auf Sarge nahezu automatisch gehen. Upgrade-Hinweise finden sich in den Release-Notes.

Installationsmedien gibt es als CD, DVD und auch USB-Stick. Je nach Variante holt der Installer fehlende Komponenten aus dem Internet, während er läuft. Fertige Scheiben bieten zahlreiche Distributoren an -- es dürfte aber ein paar Tage dauern, bis auf diesem Weg der letzte Stand erhältlich ist. Das System hat mächtig an Umfang gewonnen: Die i386-Ausgabe füllt zwei DVDs mit rund 4 GByte und bringt es auf 14 CDs. Für die Basis-Installation genügt aber schon eine netinst-CD, die nur rund 100 MByte groß ist. Auf den Debian-Mirrorservern gibt es mit der offiziellen Ankündigung auch Hinweise auf die BitTorrent-Quellen.

Um der öffentlichen Debatte, die der Freigabe von Sarge sicher stante pede folgen wird, ein wenig vorzugreifen: Der Stand vieler Pakete, den die Debian-Entwickler mit Sarge eingefroren haben, ist bereits jetzt nicht mehr "aktuell". XFree86 hat bereits die Version 4.4 erreicht (in Sarge ist 4.3 enthalten), andere Distributionen sind bereits auf die Server von X.org umgestiegen. Der letzte 2.4er-Kernel ist 2.4.31 (Sarge: 2.4.27), der letzte 2.6er ist 2.6.11 (Sarge: 2.6.. Gnome ist bei 2.10 (Sarge: 2., KDE bei 3.4 (Sarge: 3.3).

Gegenüber Woody, der bis dato gängigen stabilen Version, sind das zwar Riesenfortschritte, gemessen an anderen Distributionen darf Debian damit jedoch weiter als altbacken gelten. Wer aber genauer hinsieht, entdeckt, dass etwa in einem Debian-Kernel-Paket mehr steckt, als im Original zu holen ist -- etwa zahlreiche Korrekturen, die erst in spätere Kernel-Versionen einfließen. Letztlich scheinen die Entwickler diesen Ruf der Altbackenheit dennoch wohl los werden zu wollen und diskutieren, ob sie stabile Versionen nicht schneller veröffentlichen können, indem sie einen Teil der Plattformen über Bord werfen.

Quelle und Links : http://www.heise.de/newsticker/meldung/60289

[SiLæncer]

Falscher Eintrag verhindert Sicherheits-Updates

Rund drei Jahre haben die Debian-Entwickler an der aktuellen Ausgabe 3.1 alias "Sarge" ihrer Linux-Distribution gearbeitet. Am Montag dann erschien das lang erwartete Release endlich. Bei den CD- und DVD-Images hat sich aber leider ein kleiner Fehler mit großer Wirkung eingeschlichen, der in Kürze mit der korrigierten Version Debian GNU/Linux 3.1r0a behoben werden soll.

Systeme, die von den am Montag veröffentlichten Sarge-CDs installiert wurden, erhalten keine Sicherheits-Updates, da sich in der Datei "/etc/apt/sources.list" ein Fehler eingeschlichen hat. Statt eines Verweises auf das stabile Release "http://security.debian.org/stable/updates" enthält die Datei auf den CD- und DVD-Images einen Verweis auf "http://security.debian.org/testing/updates", so dass die entsprechenden Systeme nicht mit Sicherheits-Updates versorgt werden.

Allerdings bedarf es zur Beseitigung des Fehlers nur einer entsprechend kleinen Änderung in der "/etc/apt/sources.list", denn hier ist nur die falsche Zeile auskommentiert, so dass nur ein Zeichen um eine Zeile verschoben werden muss.

Sarge-Systeme, die nicht von einer CD oder DVD installiert wurden, also per Netzwerk oder Diskette, sind von dem Problem nicht betroffen. Neue CD- und DVD-Images sollen in Kürze erhältlich sein und die Versionsnummer 3.1r0a tragen.

Quelle : www.golem.de

[SiLæncer]

Seit Wochen sind keine aktuellen Advisories und, noch schlimmer, auch keine Security-Patches für Debian mehr erschienen. Dabei gab es eine ganze Reihe sicherheitsrelevanter Schwachstellen in Software, die sich auch auf Debian-Systemen findet: SquirrelMail gehört genauso dazu wie SpamAssassin und sudo.

Das bislang letzte Advisory stammt vom 3. Juni, ist also noch vor der Freigabe von Debian GNU/Linux 3.1 (Sarge) erschienen. Auf diesbezügliche Anfragen von heise Security an die offizielle Security-E-Mail-Adresse und an den Herausgeber der Advisories vor vier Tagen kam bisher keine Antwort. Unseren Recherchen zufolge sind diverse sicherheitsrelevante Patches bereits von den Paket-Maintainern eingepflegt, in der Debian-Fehlerdatenbank als fertiggestellt vermerkt und an das Security-Team weitergereicht. Doch die fälligen Updates lassen auf sich warten, das Debian-Security-Team ist offenbar abgetaucht.

Debian-Insider bestätigen, dass es anfänglich Probleme mit der Testinfrastruktur für Debian 3.1 gab. Diese seien jedoch mittlerweile behoben. Die lange Auszeit könnte sich jedoch auf personelle Probleme und Differenzen innerhalb des Debian-Security-Teams zurückführen lassen.

Adminstratoren von Debian-Systemen sollten sich momentan nicht auf das Debian-Update-System verlassen und müssen wohl oder übel selbst ein wachsames Auge auf mögliche Sicherheitsprobleme der eingesetzten Software haben. Bei einigen der ausstehenden Patches kann man die Wartezeit durch Workarounds überbrücken, bei anderen hilft eventuell ein von Hand eingespielter Patch weiter.

Als Behelf würden sich sich Repositories sarge-proposed-updates beziehungsweise stable-proposed-updates anbieten. Die Universität Essen stellt einen Spiegel dieser Repositories bereit, der sich durch den Eintrag

deb http://debian.uni-essen.de/debian/ sarge-proposed-updates main contrib non-free

in /etc/apt/sources.list aktivieren lässt. Allerdings finden sich auch dort -- wohl mangels Freigabe -- die ausstehendenen Sicherheits-Updates noch nicht.

Bereits das Release von Debian 3.1 war von einer peinlichen Sicherheitspanne begleitet: Die erste Version enthielt keinen aktiven Eintrag für den Bezug von Sicherheits-Updates. Dieser wurde erst mit der schnell nachgereichten Version 3.1_r0a nachgerüstet. Das Debian-Team muss aufpassen, dass es nicht in wenigen Wochen das über die Jahre aufgebaute Vertrauen in die Sicherheitsphilosophie der konsequent auf Freie Software bauenden Linux-Distribution verspielt.

Quelle und Links : http://www.heise.de/newsticker/meldung/61076

[SiLæncer]

Als Reaktion auf die heise-Security-Meldung über die fehlenden Security-Updates ist auf der Debian Sicherheits-Mailingliste eine heftige Diskussion entbrannt. Überrascht zeigt man sich dabei höchstens vom Ausmaß der Probleme -- nach dem ersten "das war nur eine Frage der Zeit" ging es zunächst vor allem darum, den aktuellen Status des Security-Teams zu ermitteln. Dabei stellte sich heraus, dass von den nominell fünf Mitgliedern des Security-Teams bereits seit geraumer Zeit de facto vier nicht mehr aktiv sind -- falls sie das überhaupt jemals waren.

Das heißt, dass es eigentlich schon seit längerem nur der unermüdlichen Arbeit von Martin Schulze aka Joey zu verdanken war, dass Security Advisories und Patches für Debian innerhalb eines vernünftigen Zeitraums bereitgestellt wurden. Und Martin Schulze war vergangene Woche an der Organisation des Linuxtags beteiligt und dabei vom Geschehen abgeschnitten -- was zumindest einen Teil der Verzögerungen erklärt. Technische Probleme bei der Umstellung der Testinfrastruktur auf Debian GNU/Linux 3.1 taten ein Übriges.

Derzeit diskutiert die Debian-Gemeinde, wie man das Security-Team erweitern beziehungsweise umstrukturieren kann, um wieder eine kontinuierliche Arbeit sicherzustellen. Eine Bestandaufnahme über die ausstehenden Sicherheits-Patches hat bereits stattgefunden; es beginnt offenbar die Arbeit daran, diese auf den Weg zu bringen. Noch diese Woche ist mit der Freigabe der ersten aufgelaufenen Patches zu rechnen. Eine offizielle Stellungnahme des Projekts zur aktuellen Situation und der zukünftigen Sicherheitsstrategie steht aber noch aus.

Quelle und Links : http://www.heise.de/newsticker/meldung/61125

[SiLæncer]

Anwender von Debian Woody (3.0) sollten einen Wechsel auf Debian Sarge (3.1) in den Erwägung ziehen, da der Security Support am 30. Juni eingestellt wird. Bei Sicherheitslücken stehen danach keine Debian-Updates mehr für Woody zur Verfügung, die das Problem ausbügeln.

Seit dem Erscheinen von Sarge im Juni 2005 standen immerhin zwölf Monate zur Verfügung, um das Upgrade zu vollziehen. Ältere Updates für das bereits im Juli 2002 veröffentlichte Woody stehen allerdings noch bis zum 30. Dezember unter security.debian.org zum Download bereit.

Siehe dazu auch:

    * Security Support for Debian 3.0 to be terminated, Mitteilung von Debian

Quelle und Links : http://www.heise.de/newsticker/meldung/73776

[SiLæncer]

120 Sicherheits-Updates für "Sarge"

Die dritte Revision für die stabile Debian-Version 3.1 ist nun erschienen. Wie bei den Updates für die stabile Version üblich, erhält Sarge damit hauptsächlich Sicherheits-Updates sowie einige andere Fehlerkorrekturen. Da ein aktualisierter Linux-Kernel enthalten ist, wurde auch das Installationsprogramm der Distribution angepasst.
120 Sicherheits-Updates sind seit der Freigabe von Debian GNU/Linux 3.1r2 hinzugekommen. Darunter sind auch aktualisierte Kernel-Pakete, mit denen verschiedene Sicherheitslücken gestopft werden. Ein aktualisierter Mozilla Firefox sowie neue OpenVPN- und Asterisk-Pakete sind ebenfalls enthalten und schließen Hintertüren.

Ferner sind Updates für das PHP-Framework Horde und den Apache Webserver enthalten. Durch die aktualisierten Kernel-Pakete waren auch Änderungen am Installationsprogramm notwendig, so dass die Pakete "base-config", "base-installer", "debian-installer" und "preseed" aktualisiert wurden.

Zudem gibt es noch ein paar neue Pakete, die allgemeine Fehler korrigieren, so etwa in der Glibc und in Perl. Eine Liste aller geänderten Pakete mit genauer Problembeschreibung bietet das Changelog. Bestehende Installation lassen sich mit dem Paketverwaltungswerkzeug APT auf den aktuellen Stand bringen. Wer seine Distribution regelmäßig aktualisiert, hat die meisten Pakete ohnehin bereits installiert, so dass keine weiteren Schritte nötig sind, um die dritte Revision einzusetzen.

Aktualisierte Installations-CDs sollten in Kürze über die Mirror-Server verfügbar sein. Die nächste Version der Debian-Distribution soll im Dezember 2006 erscheinen.

http://www.debian.org/distrib/ftplist

Quelle : www.golem.de

[SiLæncer]

Die Debian-Entwickler haben heute das vierte Update für Debian GNU/Linux 3.1 (Codename "Sarge") veröffentlicht. Das Release 3.1r4 dient vorrangig der Schließung bekannter Sicherheitslücken. Dazu gehören unter anderem Kernel-Updates, die das Einschleusen von Code verhindern. Darüber hinaus enthält es einige weitere Bugfixes. Auf der Debian-Projektseite findet sich ein vollständiger Überblick über die einzelnen Änderungen. Neue Funktionen enthält das Update nicht.

Die neuen Pakete lassen sich wie üblich über den Debian-Paket-Manager apt-get installieren. Upgrade-CD- und -DVD-Images sollen in Kürze erhältlich sein. Auf die Veröffentlichung neuer Installationsmedien wollen die Entwickler indes verzichten. Wer sein System regelmäßig mit Sicherheitsupdates von security.debian.org aktualisiert, dürfte ohnehin nahezu auf dem neusten Stand sein.

Quelle : www.heise.de

[SiLæncer]

Nachfolgeversion heißt "Lenny"

Die neue Installationsprozedur für die Linux-Distribution Debian ist nun als Release Candidate 1 (RC1) erschienen - dies war allerdings bereits für August 2006 geplant, so dass sich nun auch die Veröffentlichung der gesamten Distribution verzögern wird. Statt Dezember 2006 wird Etch alias Debian 4.0 nun voraussichtlich im Januar 2007 fertig sein. Auch der Name für die nächste Version wurde bereits verraten.
Eines der Ziele für die kommende Debian-Version 4.0 war ein neuer Installer, der nun als erster Release Candidate (RC) vorliegt. Diese Version installiert unter anderem den Kernel 2.6.17 und unterstützt Linux 2.4.x nicht länger. Ferner ermöglicht er die Installation auf verschlüsselten LVM-Partitionen und die Unterstützung für automatische Installationen wurde verbessert.

Allerdings hätte der RC1 bereits im August 2006 erscheinen sollen, wie Steve Langasek aus dem Debian-Release-Team schreibt. Demnach wird nun auch der für Debian Etch angepeilte 4. Dezember 2006 als Veröffentlichungsdatum nicht eingehalten werden können. Vielmehr rechnet er mit einer Verzögerung von etwa einem Monat, so dass Etch also Anfang Januar 2007 erscheinen würde. Dabei befindet sich die Distribution derzeit im so genannten "Soft Freeze", bei dem keine neuen Pakete mehr hochgeladen werden und die Paketbetreuer auch auf Änderungen von Abhängigkeiten verzichten sollen. Es sei nicht möglich, Debian pünktlich zu veröffentlichen und gleichzeitig die gestellten Qualitätsansprüche zu erfüllen.

Erst im Oktober 2006 hatten die Entwickler den Freeze verschoben. Allerdings beteuerten sie damals noch, dass Etch pünktlich erscheinen solle.

Zusätzlich verriet Langasek den Namen für die Nachfolgeversion. Wie üblich entleiht das Debian-Projekt diese dem Film "Toy Story" und suchte sich nun "Lenny the Binoculars" als Namenspatron aus. Eine Versionsnummer ist bisher nicht bekannt.

Quelle : www.golem.de

[SiLæncer]

Veröffentlichung voraussichtlich Anfang 2007

Hätte Debian GNU/Linux 4.0 alias Etch eigentlich schon am 4. Dezember 2006 fertig sein sollen, war bereits Mitte November 2006 klar, dass dieser Termin nicht eingehalten werden kann. Nun haben die Entwickler das Archiv "eingefroren", so dass Pakete nicht mehr automatisch in Etch gelangen.

Den Freeze gab Release-Manager Andreas Barth in einer E-Mail bekannt. Damit rücken nun keine Pakete mehr automatisch aus dem Unstable-Zweig der Distribution nach Testing vor, das als stabile Version Debian 4.0 veröffentlicht wird. Sämtliche Pakete, die nun noch in Etch aufgenommen werden sollen, müssen daher von Hand bestätigt werden. Dabei werden für alle Paketen Updates zugelassen, die kritische Fehler korrigieren.

Die Entwickler arbeiten gleichzeitig daran, die Sicherheits-Unterstützung für Etch vorzubereiten. Die fertige Version von Debian 4.0 soll Anfang Januar 2007 erscheinen - dabei ist Etch die erste Debian-Version, für die die Entwickler überhaupt einen Veröffentlichungstermin festlegten.

Quelle : www.golem.de

[SiLæncer]

Auf einer Mailigliste veröffentlichte ( http://lists.debian.org/debian-devel-announce/2006/12/msg00008.html ) Andreas Barth, einer der Debian-Release-Manager, einen aktuellen Status über das Fortschreiten bei der Fertigstellung des unter dem Namen Etch entwickelten Debian GNU/Linux 4.0. Man sei nicht so weit, wie die Entwickler es sich zum Jahresende gewünscht hätten, aber es ginge vorwärts. Es gäbe aber noch einiges vor der Veröffentlichung zu korrigieren – Barth bittet die Debian-Gemeinde um Mithilfe.

Im Entwicklerzweig von Etch seien in den letzten Wochen viele der Fehler korrigiert worden, die als Release-kritisch eingestuft waren. Es seien aber auch viele neu erkannte hinzugekommen, sodass die eigentliche Anzahl der noch zu korrigierenden Fehler kaum niedriger wurde. Barth zeigt sich jedoch optimistisch, das man Etch bald veröffentlichen könne; wenn jedoch mehr Entwickler mehr Fehler korrigieren würden, könne man Debian 4.0 noch früher freigeben. Fertig gestellt werden müssten zudem noch die Dokumentationen in Form der Release Notes und des Handbuchs zur Installation.

Eines der Problembereiche sei auch der Kernel – er speichert Dateien seit dem Hinzufügen eines für LSB-Konformität nötigen Patches unter Umständen nicht korrekt. Es handle sich dabei um einen Fehler, der auch mit dem vor einigen Wochen veröffentlichten Linux 2.6.19 auftreten kann. Die Kernel- und Debian-Entwickler suchen derzeit zusammen nach einer Lösung. Auch Linus Torvalds und andere prominente Kernel-Hacker beteiligt sich aktiv an der Suche – die Diskussion rund um das Problem läuft bereits seit fast drei Wochen auf der Linux-Kernel-Mailinglist und hat einen stattlichen Umfang angenommen. Es scheint noch unklar, ob das Problem nur mit ext2 und ext3 oder auch mit anderen Dateisystemen auftritt; zudem zeigt sich der Fehler wohl nur unter sehr selten eintretenden Bedingungen.

Quelle : www.heise.de

[SiLæncer]

Das Debian-Projekt hat die im Sommer 2002 erschienene Version 3.0 von seinen Servern genommen. Damit hat Woody endgültig sein Ende erreicht. Schon im Juni 2006, ein Jahr nach Erscheinen des Nachfolgers Debian GNU/Linux 3.1 (Sarge), hatten die Entwickler den Support für Woody beendet und seitdem keine Sicherheits-Updates mehr bereitgestellt. Debian 3.0 findet sich jetzt nur noch auf dem Archiv-Server. Die kommende Version 4.0 (Etch) soll in den nächsten Wochen erscheinen.

Quelle : www.heise.de

[SiLæncer]

Probleme mit dem Kernel hielten Entwicklung auf

Das Debian-Release-Team hat einen neuen Veröffentlichungstermin für Version 4.0 der Linux-Distribution bekannt gegeben. Anfang April 2007 soll es nun so weit sein, nachdem der ursprünglich gesetzte Termin im Dezember 2006 nicht eingehalten wurde. Unter anderem Probleme mit dem Kernel sind für die Verzögerung verantwortlich.

Der Freeze für Debian 4.0 alias Etch erfolgte noch im Dezember 2006, doch nach einem weiteren Bericht zum Entwicklungsstand der Distribution war es lange Zeit ruhig. Nun hat sich das Release-Team erneut gemeldet und einen Überblick über den neuen Zeitplan gegeben.

Besonders Probleme mit dem Linux-Kernel verzögerten die Veröffentlichung der Distribution bisher. Nun setzt Debian 4.0 auf den Linux-Kernel 2.6.18, der nach Angaben der Entwickler zur Veröffentlichung geeignet ist. Zudem soll bald eine neue Version des Debian-Installers folgen, der in Etch enthalten sein wird. Zudem wurden kritische Fehler zu langsam behoben, so dass eine Veröffentlichung bisher nicht möglich war.

Der neue Zeitplan sieht nun vor, dass bis zum 26. März 2007 keine schwerwiegenden Fehler mehr in Etch sind. Dann bleiben noch ein paar Tage Zeit, bis am 2. April 2007 Debian 4.0 schließlich veröffentlicht werden soll.

Debian 4.0 wird unter anderem den GCC 4.1 als Standard-Compiler einsetzen, SELinux sowie Large File Support unterstützen. IPv6 und die Linux Standard Base 3.1 sollen ebenfalls in die neue Version integriert werden.

Quelle : www.golem.de

[SiLæncer]

Wenige Tage nachdem das Debian-Team einen Statusbericht zum kommenden Debian GNU/Linux 4.0 (Etch) herausgab, steht nun der zweite Release-Kandidat der neuen Version zum Download bereit. Geht alles nach Plan, soll der RC2 die letzte Beta vor dem für Anfang April angestrebten Erscheinungsdatum von Etch sein. Die CD- und DVD-Images stehen für alle unterstützen Architekturen als ISO-, Bittorrent- und Jigdo-Download bereit.

Quelle : www.heise.de