RedHat vs Debian

Marcel Kolaja xkolaja na aurora.fi.muni.cz
Čtvrtek Leden 30 00:34:08 CET 2003


On Wed, Jan 29, 2003 at 04:04:33PM +0100, Michal Kara wrote:

> > > Dale: security upgrade se nedela (vetsinou) formou backportu, ale
> > > tak, ze se vezme nova verze programu a skompiluje pro prostredi
> > > konkretni distribuce (tj. aby se splnily zavislosti na glibc
> > > apod.). Dale: jedna se os security upgrade, cili dela se to jen
> > 
> > Nemáte pravdu. Security updaty se dělají výhradně jako backporty (tedy
> > pokud se bavíme o stable). Ve stable se nikdy nemění upstream verze (tedy
> > pokud se nejedná o nějaký výjimečný případ, jako posledně s ssh).
> 
>   No to ano, ale pokud je program ve verzi (treba) 1.2.10 a vyjde
> security-bugfix verze 1.2.11, tak ji Debian (alespon co ja vim) normalne
> prejme. Pouze pokud je v baliku starsi rada a fix na ni neni k dispozici tak
> je proveden jeho backport.

Můžeš uvést nějaký konkrétní případ? Pokud rozdíl mezi verzí 1.2.10
a 1.2.11 bude jenom v tom, že se tam nacpe ten bugfix, tak bych proti tomu
ani nic nenamítal (že by se změnila upstream verze). Ale podle toho, co
píšou na http://www.debian.org/security/faq, mi připadá, že se upstream
verze nemění ani v tomto případě:

This means that moving to a new upstream version is not a good solution,
instead the relevant changes should be backported. Generally upstream
maintainers are willing to help if needed, if not the Debian security team
might be able to help.

In some cases it is not possible to backport a security fix, for example
when large amounts of source code need to be modified or rewritten. If
that happens it might be necessary to move to a new upstream version, but
this has to be coordinated with the security team beforehand.

Instead of upgrading to a new release we backport security fixes to the
version that was shipped in the stable release. The reason we do this is
to make sure that a release changes as little as possible so things will
not change or break unexpectedly as a result of a security fix. You can
check if you are running a secure version of a package by looking at the
package changelog, or comparing its exact version number with the version
indicated in the Debian Security Advisory.

> 							Michal Kara


S pozdravem

Marcel Kolaja                              http://nlp.fi.muni.cz/~xkolaja/
NLPlab FI MU                                        http://nlp.fi.muni.cz/
--------------------------------------------------------------------------
"Software is like sex - it's better when it's free."
       -- Linus Torvalds


Další informace o konferenci Linux