Kritische Sicherheitslücke in Debians Update-Tools

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Kritische Sicherheitslücke in Debians Update-Tools? Schau mal ob du hier fündig wirst!

  • toll,

    ich sags mir ja immer wieder, kein Update wenn ich keinen Grund habe weil was nicht geht.

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • ich sags mir ja immer wieder, kein Update wenn ich keinen Grund habe weil was nicht geht.

    Speziell in diesem Fall würde ich aber jetzt sofort updaten, damit apt umgehend ausgestauscht wird, bevor jemand auf die Idee kommt, da jetzt wirklich einzusteigen.Im anderen Fall verschaffst Du einem möglichen Angreifer nur die Zeit, in aller Ruhe ein Angriff zu inszenieren. Denn irgendwann wird apt ja durch ein Update ausgetauscht, und wenn dann noch die Lücke besteht, hätte ich kein Vertrauen in das Update.

    Wobei ich jetzt zugebe, dass das jetzt auch nur theoretisch ist... denn die Relevanz richtig einschätzen kann ich auch nicht. Ich habe allerdings unsere Systeme trotzdem sofort upgedatet... aus der möglichen Befürchtung heraus, dass das vielleicht genau so signifikant ist, wie beispielsweise "sudo".

    :conf:

    • Offizieller Beitrag

    jetzt sofort updaten

    Ist halt auch die Frage ob schon getan oder wann die Jungs im Raspbian-Hauptquartier das Update von Debian auf Raspberryianisch umgestellt haben. ;)

  • hyle: ist scheinbar schon verfügbar ...

    Spoiler anzeigen

    Abhängigkeitsbaum wird aufgebaut.

    Statusinformationen werden eingelesen.... Fertig

    Paketaktualisierung (Upgrade) wird berechnet... Fertig

    Die folgenden Pakete sind zurückgehalten worden:

    python3-thonny

    Die folgenden Pakete werden aktualisiert (Upgrade):

    apt apt-transport-https apt-utils ffmpeg libapt-inst2.0 libapt-pkg5.0

    libavcodec57 libavdevice57 libavfilter6 libavformat57 libavresample3

    libavutil55 libobrender32v5 libobt2v5 libpam-systemd libpostproc54

    libsdl1.2debian libswresample2 libswscale4 libsystemd0 libudev1 libzmq5

    lxappearance-obconf obconf openbox rpi-chromium-mods systemd systemd-sysv

    udev

    29 aktualisiert, 0 neu installiert, 0 zu entfernen und 1 nicht aktualisiert.

    Es müssen 24,8 MB an Archiven heruntergeladen werden.

    Nach dieser Operation werden 18,4 kB Plattenplatz zusätzlich benutzt.

    Möchten Sie fortfahren? [J/n] J


    ciao,

    -ds-

  • ist scheinbar schon verfügbar ...

    für alle jessiePIXEL oder nur für das neue raspbianPIXEL (vormals stretchPIXEL)?

    Da blickt doch keiner mehr durch.....

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • Probier's halt einfach aus ...

    einfach???? :daumendreh2:

    erst mal runterfahren, Karte ziehen, backup machen denn wenn das update gemacht wurde weil ich nicht N drücken musste aber hinterher nichts mehr funktioniert bin ich gekniffen, einfach geht anders, zumal der doofe PI3 die Karte nicht von sich aus hergibt wie der PI2

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • apt hat mit Pixel, Desktops oder grafischen BlinkBlink absolut gar nix zu tun... apt ist ein sehr primärer Bestandteil einer Debian-Basierten Distribution... und zwar die Schnittstelle im User-Space für den Paketmanager, der sich wiederum im Distributions-Repo 'bedient'. Also, apt ist wichtig.

  • jar ... extra für Dich noch ein System mit Jessie

    Paketaktualisierung (Upgrade) wird berechnet... Die folgenden Pakete wurden automatisch installiert und werden nicht mehr benötigt:

    libc-ares2 libv8-3.14.5

    Verwenden Sie »apt-get autoremove«, um sie zu entfernen.

    Fertig

    Die folgenden Pakete sind zurückgehalten worden:

    python-openssl python3-openssl

    Die folgenden Pakete werden aktualisiert (Upgrade):

    apt apt-transport-https apt-utils libapt-inst1.5 libapt-pkg4.12

    5 aktualisiert, 0 neu installiert, 0 zu entfernen und 2 nicht aktualisiert.

    Es müssen 2.432 kB an Archiven heruntergeladen werden.

    Nach dieser Operation werden 0 B Plattenplatz zusätzlich benutzt.

    Möchten Sie fortfahren? [J/n]

    cu,

    -ds-

  • einfach geht anders

    Nö, einfach geht nicht anders, im Gegenteil, noch einfacher kann ich mir das gar nicht vortstellen. Ich mache das von Anfang an, regelmäßig ein Full-Upgrade, sogar ohne Einwirkung der Anwender, im Schnitt alle 3 Tage jedes System... und ich mach mir nie nen Kopp über ein Backup vorher... und das auf allen Systemen. Ich schätze mal, in der ganzen Zeit waren es in Summe wohl etwa 1500 bis 2000 mal pro Jahr, über 4 oder 5 Jahre lang. Und nicht ein einziges Mal hat es dabei Probleme gegeben. Aus der Debian-Szene weiss ich, dass das einige Leute sogar übergreifend über die Releases gemacht haben, von Jessie nach Stretch und jetzt nach Buster. Läuft alles absolut stabil.

    3 Mal editiert, zuletzt von WinterUnit16246 (23. Januar 2019 um 21:53)

  • ach danke, aber ich verstehe einfach nicht was du mir sagen willst, ich sehe nichts was ich ausführen könnte:

    weder ist

    Paketaktualisierung (Upgrade) wird berechnet...

    ein Befehl

    noch

    ... extra für Dich noch ein System mit Jessie

    oder bist du gerade wieder woanders?

    sorry ... Denkfehler meinerseits ...

    Ich sollte es wirklich lassen nebenbei noch mit was anderem rumzuwurschteln ... :blush:

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

    • Offizieller Beitrag

    Vielleicht reicht auch

    Code
    sudo apt-get install --only-upgrade apt apt-transport-https apt-utils libapt-inst1.5 libapt-pkg4.12

    für jar / Jessie, bzw.

    Code
    sudo apt-get install --only-upgrade apt apt-transport-https apt-utils

    Stretch aus. :conf:

    Natürlich ungetestet, aber damit sollte der Rest nicht unnötig ein Update bekommen.

  • danke euch allen, ich mache das aber erst wenn ich den PI3 runtergefahren habe und die Karte mit einem Zahnstocher rausgefummelt habe nach Backup, den Auswerfer wegzulassen war ne saudoofe Idee beim 3 und folgende, meine Vollalu Gehäuse sind dafür nicht gebaut.

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • meine Vollalu Gehäuse sind dafür nicht gebaut.

    Ist das jetzt ein Problem des Pi und dessen Kartenslot oder eher Deiner Gehäuse?

    Wenn Dein neues Auto 5-Loch Felgen hat, Deine Winterreifen aber auf 4-Loch Felgen sind ... ist dann das Auto schuld bzw. der Hersteller?

    cu,

    -ds-

  • ... ist dann das Auto schuld bzw. der Hersteller?

    klar ist der Hersteller vom Auto Schuld das man immer neue Winterreifen samt Felgen braucht

    Beim PI2 wurde auf microSD umgestellt, der Auswerfer war ja auch nett, das am PI3 wieder zu ändern unnötig!

    oder weil man beim begrabbeln die Karte auswirft, das hätte auch vor der Wahl festgestellt werden können am PI2.

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

    • Offizieller Beitrag

    Wenn Dein neues Auto 5-Loch Felgen hat, Deine Winterreifen aber auf 4-Loch Felgen sind ... ist dann das Auto schuld bzw. der Hersteller?

    Weder noch, der (Ver)Käufer wars! :lol:

    der Auswerfer war ja auch nett

    Find ich nicht, der hat mich im nachhinen einen defekten Kartenslot und ein Stück leere Fleischsalatdose gekostet. :shy:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!