Přesně dva měsíce po poslední aktualizaci je tu další opravná verze pro Debian 4.0 Etch. Jako obvykle se jedná jen o zavedení oprav dříve distribuovaných na security.debian.org a pokud pravidelně aktualizujete, už máte vše nainstalováno. Technické problémy byly odstraněny v sedmi balíčcích, bezpečnostní záplaty se objevily ve 29 balících. Debian Etch (označený jako oldstable) bude podporován rok od vydání jeho nástupce – tedy zhruba do poloviny února 2010.
Martin Schulze oznámil, že bezpečnostnímu týmu brzy vyprší platnost GnuPG klíče a tak vytvořil nový klíč: 0x68B64E0D. „Uživatelé a vývojáři, kteří chtějí poslat nějaké citlivé informace bezpečnostnímu týmu, by měli tento klíč použít k zašifrování zpráv,“ napsal Martin ve svém blogu.
Po dvou měsících je tu další aktualizace Debianu 4.0 s kódovým označením „Etch“. Jedná se již o sedmou aktualizaci v pořadí a jako obvykle jsou v ní obsaženy všechny záplaty bezpečnostních chyb, které byly doposud objeveny. Nová verze je zajímavá jen pro ty, kteří chtějí znovu instalovat. Pokud někde Etch používáte a pravidelně záplatujete, máte tuto verzi již nainstalovanou. Celkem bylo opraveno 11 technických chyb a 28 bezpečnostních chyb. Úplně odstraněn byl balíček tmsnc, který je neudržovaný a způsoboval bezpečnostní problémy.
Bezpečnostní tým oznámil, že bezpečnostní podpora pro nadcházející Debian testing s názvem Squeeze nebude spuštěna ihned po vydání Lennyho. Uživatelé testingu, kteří chtějí bezpečnostní podporu, by měli zůstat u Lennyho, dokud nedojde k oficiálnímu spuštění a oznámení podpory pro Squeeze. Tato časová prodleva bude podle vývojářů trvat několik týdnů.
Důvody jsou dva: jednak bude chvíli trvat, než se vytvoří infrastruktura pro nový testing, ale především je očekáván příchod nové verze libc do unstable. To zablokuje průchod většiny balíčků z unstable do testingu (obě větve budou mít nekompatibilní verze libc) a tým nemá dost lidí, kteří by zajistili nezávislou bezpečnostní podporu pro obě větve.
Necelé dva měsíce od vydání páté aktualizace Debianu 4.0 Etch je tu aktualizace šestá. Nejedná se o novou verzi Debianu, ale jen o aktualizaci stávající stable větvě, která obsahuje řadu oprav především bezpečnostních chyb. Pokud pravidelně aktualizujete ze security.debian.org, všechny záplaty jste už dostali, takže nemusíte podstupovat žádnou aktualizaci či reinstalaci.
Podle neoficiálního počítadla kritických chyb v Lennym zbývá do vydání opravit 112 problémů. Celkem 39 už bylo opraveno v unstable, pro 30 už existuje patch a na sedmi dalších se prý už pracuje. Pokud tedy nepočítáme balíky v contrib a non-free, zbývá v Lennym vyřešit 34 chyb.
Služba Backports.org získala dvě nové důležité funkce. První z nich umožňuje sledovat bezpečnostní chyby v balíčcích, což je dlouhodobě diskutované téma mezi vývojáři. Florian Weimer tedy vytvořil první verzi nástroje, který porovnává backportované verze proti těm v unstable a v tuto chvíli ještě vykazuje falešně positivní výsledky. Podívejte se například na výpis týkající se libspf2.
Druhou novinkou je web zobrazující rozdíly mezi Etch-backports a Lenny. Můžete se tak podívat, které balíčky jsou starší, které jsou zastaralé, novější, mají špatnou verzi či nejsou k dispozici v Lennym.
Alexander Reichle-Schmehl oznámil v konferenci, že vyšel pátý update Debianu Etch. Nová verze přidává především opravy bezpečnostních chyb a řeší také některé technické problémy. Nejedná se o novou verzi distribuce, ale jen o zavedení oprav. Pokud Etch používáte a pravidelně aktualizujete, máte všechny záplaty nainstalovány.
Russell Coke oznámil, že SELinux pro Debian Lenny je téměř dokončen. V repositářích je už správná verze knihovny libsepol1 a utilit policycoreutils. Jediné, co zatím chybí, je balík se samotnými politikami selinux-policy-default, který je zatím jen v testingu, protože Russell v něm objevil několik chyb, které musel opravit. Russel je v každém případě se svou prací spokojen. „Přestože je situace poměrně komplikovaná, věřím, že jakmile bude Lenny vydán, budeme pro něj mít nejlepší podporu pro SELinux v historii.“
Včera jsem psal o vadném OpenSSL, které téměř dva roky generovalo v Debianu velmi slabé klíče. Kromě instalace opravené verze je nyní třeba všechny klíče vyměnit. Admini na Debian.org už odstranili všechny přístupové DSA klíče a resetovali hesla v LDAP databázi. Stejně tak musejí být vyměněny všechny podpisy vývojářů na db.debian.org, protože ty byly také vygenerovány vadným algoritmem. K dispozici je už nový kořenový certifikát, jehož fingerprinty jsou:
SHA1: AF:70:88:43:83:82:02:15:CD:61:C6:BC:EC:FD:37:24:A9:90:43:1C
MD5: 2A:47:9F:60:BB:83:74:6F:01:03:D7:0B:0D:F6:0D:78
