- Offizieller Beitrag
Kritische Sicherheitslücke in Debians Update-Tools
-
hyle -
23. Januar 2019 um 18:42 -
Erledigt
Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
-
-
Kritische Sicherheitslücke in Debians Update-Tools? Schau mal ob du hier fündig wirst!
-
toll,
ich sags mir ja immer wieder, kein Update wenn ich keinen Grund habe weil was nicht geht.
-
ich sags mir ja immer wieder, kein Update wenn ich keinen Grund habe weil was nicht geht.
Speziell in diesem Fall würde ich aber jetzt sofort updaten, damit apt umgehend ausgestauscht wird, bevor jemand auf die Idee kommt, da jetzt wirklich einzusteigen.Im anderen Fall verschaffst Du einem möglichen Angreifer nur die Zeit, in aller Ruhe ein Angriff zu inszenieren. Denn irgendwann wird apt ja durch ein Update ausgetauscht, und wenn dann noch die Lücke besteht, hätte ich kein Vertrauen in das Update.
Wobei ich jetzt zugebe, dass das jetzt auch nur theoretisch ist... denn die Relevanz richtig einschätzen kann ich auch nicht. Ich habe allerdings unsere Systeme trotzdem sofort upgedatet... aus der möglichen Befürchtung heraus, dass das vielleicht genau so signifikant ist, wie beispielsweise "sudo".
-
- Offizieller Beitrag
jetzt sofort updaten
Ist halt auch die Frage ob schon getan oder wann die Jungs im Raspbian-Hauptquartier das Update von Debian auf Raspberryianisch umgestellt haben.
-
hyle: ist scheinbar schon verfügbar ...
Spoiler anzeigen
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Paketaktualisierung (Upgrade) wird berechnet... Fertig
Die folgenden Pakete sind zurückgehalten worden:
python3-thonny
Die folgenden Pakete werden aktualisiert (Upgrade):
apt apt-transport-https apt-utils ffmpeg libapt-inst2.0 libapt-pkg5.0
libavcodec57 libavdevice57 libavfilter6 libavformat57 libavresample3
libavutil55 libobrender32v5 libobt2v5 libpam-systemd libpostproc54
libsdl1.2debian libswresample2 libswscale4 libsystemd0 libudev1 libzmq5
lxappearance-obconf obconf openbox rpi-chromium-mods systemd systemd-sysv
udev
29 aktualisiert, 0 neu installiert, 0 zu entfernen und 1 nicht aktualisiert.
Es müssen 24,8 MB an Archiven heruntergeladen werden.
Nach dieser Operation werden 18,4 kB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren? [J/n] J
ciao,
-ds-
-
ist scheinbar schon verfügbar ...
für alle jessiePIXEL oder nur für das neue raspbianPIXEL (vormals stretchPIXEL)?
Da blickt doch keiner mehr durch.....
-
Also aus dem Bauch raus: für alle ...
Probier's halt einfach aus ... dann siehst Du schon ob das Update in der Liste ist und kannst ggf. "N" tippen
cu,
-ds-
-
- Offizieller Beitrag
jar Pixel ist Schnee von Gestern, man sagt nun Desktop. https://www.raspberrypi.org/downloads/raspbian/
dreamshader Danke Dir! Doch so schnell, das hätte ich nicht erwartet.
-
Probier's halt einfach aus ...
einfach????
erst mal runterfahren, Karte ziehen, backup machen denn wenn das update gemacht wurde weil ich nicht N drücken musste aber hinterher nichts mehr funktioniert bin ich gekniffen, einfach geht anders, zumal der doofe PI3 die Karte nicht von sich aus hergibt wie der PI2
-
-
apt hat mit Pixel, Desktops oder grafischen BlinkBlink absolut gar nix zu tun... apt ist ein sehr primärer Bestandteil einer Debian-Basierten Distribution... und zwar die Schnittstelle im User-Space für den Paketmanager, der sich wiederum im Distributions-Repo 'bedient'. Also, apt ist wichtig.
-
jar ... extra für Dich noch ein System mit Jessie
Paketaktualisierung (Upgrade) wird berechnet... Die folgenden Pakete wurden automatisch installiert und werden nicht mehr benötigt:
libc-ares2 libv8-3.14.5
Verwenden Sie »apt-get autoremove«, um sie zu entfernen.
Fertig
Die folgenden Pakete sind zurückgehalten worden:
python-openssl python3-openssl
Die folgenden Pakete werden aktualisiert (Upgrade):
apt apt-transport-https apt-utils libapt-inst1.5 libapt-pkg4.12
5 aktualisiert, 0 neu installiert, 0 zu entfernen und 2 nicht aktualisiert.
Es müssen 2.432 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 0 B Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren? [J/n]
cu,
-ds-
-
einfach geht anders
Nö, einfach geht nicht anders, im Gegenteil, noch einfacher kann ich mir das gar nicht vortstellen. Ich mache das von Anfang an, regelmäßig ein Full-Upgrade, sogar ohne Einwirkung der Anwender, im Schnitt alle 3 Tage jedes System... und ich mach mir nie nen Kopp über ein Backup vorher... und das auf allen Systemen. Ich schätze mal, in der ganzen Zeit waren es in Summe wohl etwa 1500 bis 2000 mal pro Jahr, über 4 oder 5 Jahre lang. Und nicht ein einziges Mal hat es dabei Probleme gegeben. Aus der Debian-Szene weiss ich, dass das einige Leute sogar übergreifend über die Releases gemacht haben, von Jessie nach Stretch und jetzt nach Buster. Läuft alles absolut stabil.
-
ach danke, aber ich verstehe einfach nicht was du mir sagen willst, ich sehe nichts was ich ausführen könnte:
weder ist
Paketaktualisierung (Upgrade) wird berechnet...
ein Befehl
noch
... extra für Dich noch ein System mit Jessie
oder bist du gerade wieder woanders?
sorry ... Denkfehler meinerseits ...
Ich sollte es wirklich lassen nebenbei noch mit was anderem rumzuwurschteln ...
-
Hm ... ich dachte dass ein system-update per sudo apt-get update && sudo apt-get upgrade erfolgt wäre klar ...
cheers,
-ds-
-
- Offizieller Beitrag
Vielleicht reicht auch
Codesudo apt-get install --only-upgrade apt apt-transport-https apt-utils libapt-inst1.5 libapt-pkg4.12
für jar / Jessie, bzw.
Stretch aus.
Natürlich ungetestet, aber damit sollte der Rest nicht unnötig ein Update bekommen.
-
danke euch allen, ich mache das aber erst wenn ich den PI3 runtergefahren habe und die Karte mit einem Zahnstocher rausgefummelt habe nach Backup, den Auswerfer wegzulassen war ne saudoofe Idee beim 3 und folgende, meine Vollalu Gehäuse sind dafür nicht gebaut.
-
meine Vollalu Gehäuse sind dafür nicht gebaut.
Ist das jetzt ein Problem des Pi und dessen Kartenslot oder eher Deiner Gehäuse?
Wenn Dein neues Auto 5-Loch Felgen hat, Deine Winterreifen aber auf 4-Loch Felgen sind ... ist dann das Auto schuld bzw. der Hersteller?
cu,
-ds-
-
... ist dann das Auto schuld bzw. der Hersteller?
klar ist der Hersteller vom Auto Schuld das man immer neue Winterreifen samt Felgen braucht
Beim PI2 wurde auf microSD umgestellt, der Auswerfer war ja auch nett, das am PI3 wieder zu ändern unnötig!
oder weil man beim begrabbeln die Karte auswirft, das hätte auch vor der Wahl festgestellt werden können am PI2.
-
- Offizieller Beitrag
Wenn Dein neues Auto 5-Loch Felgen hat, Deine Winterreifen aber auf 4-Loch Felgen sind ... ist dann das Auto schuld bzw. der Hersteller?
Weder noch, der (Ver)Käufer wars!
der Auswerfer war ja auch nett
Find ich nicht, der hat mich im nachhinen einen defekten Kartenslot und ein Stück leere Fleischsalatdose gekostet.
-
Jetzt mitmachen!
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!