Hallo

wenn ich den Heise-Artikel richtig verstanden habe, dann portiert Debian die Sicherheitsfixes auf ältere Versionen. Und das bei allen Paketen, die sie in der Distro anbieten.

Die xscreensaver-Nummer ist jetzt schon mindestens dreimal hier erwähnt worden, zweimal von dir. Angekommen scheint es bei dir leider nicht, jedenfalls nicht zur Gänze.

Hmm, bei dir aber offensichtlich auch nicht.

Der Autor von xscreensaver beschwert sich, dass Debian eine uralte Version vertreibt, und zwar nicht, weil sie einfach nur alt ist: Er bekommt alle Nase lang Beschwerden von Benutzern wegen Fehlern, die teils seit Jahren behoben sind – darunter auch sicherheitskritische.

Falsch, zumindest teilweise. Der Autor von xscreensaver beschwert sich keineswegs darüber, dass speziell Debian eine uralte Version vertreibt, sondern dass überhaupt, von welchem Distributor auch immer, uralte Versionen vertrieben werden. Seine Aufregung ist erst einmal völlig unabhängig von Debian.

Seine Warnung setzt dabei am Alter der Version an. Dass sicherheitsrelevante Patches von Debian auf die von Debian verwendete alte Version zurückportiert werden, diese also, soweit bekannt ^[1], als sicher gelten kann, bleibt dabei unberücksichtigt.

Die openSUSE-Maintainer haben die Warnung übrigens ebenfalls abgeschaltet. Das passierte vor etwa eineinhalb Jahren und ohne das ganze Brimborium, das bei der Überlegung der Debian-Maintainer, die Warnung abzuschalten, aufkam. Inwieweit dort Backports von Sicherheitsfixes eingespielt werden, entzieht sich allerdings meienr Kenntnis.

Tschö, Auge