it-swarm.com.de

Sicherheitsupdates für das Universums-Repository für LTS-Versionen?

Was passiert, wenn ein Paket im Universums-Repository vier Jahre nach der Veröffentlichung von 12.04 LTS ein Sicherheitsproblem aufweist? Wird das Paket von oben aktualisiert, gepatcht oder alleine gelassen?

Ich verstehe, dass die "5 Jahre Support und Sicherheitsupdates" nur für den Kern von Ubuntu gelten - alles im Haupt-Repository. Nicht für Dinge im Universum-Repository.

Für ein spezifischeres Beispiel - wenn ich Ruby jetzt installiere und es für die nächsten Jahre am 12.04 verwenden möchte und es eine Sicherheitslücke aufweist, während dies im Upstream gepatcht werden könnte ( Damit ich immer das Neueste von ihrer Website herunterladen und es selbst kompilieren oder eine PPA verwenden kann), wird dieses Upstream-Update in die genauen Paket-Repositorys migriert? Was ist mit Backports?

9
Nick May

Pakete in Universe werden von der Community gepflegt. Ob sie Sicherheitsupdates erhalten oder nicht, hängt ganz von der Community ab, die sie verwendet.

Anweisungen zum Einreichen von Sicherheitsupdates für Pakete in Universe finden Sie hier:

https://wiki.ubuntu.com/SecurityTeam/UpdateProcedures#Preparing_an_update

Grundsätzlich kann jeder einen Fehler melden, einen Debdiff anhängen, das Ubuntu-Security-Sponsors-Team abonnieren, und jemand aus dem Team wird es überprüfen, um sicherzustellen, dass es in Ordnung ist, und es dann im Archiv sponsern.

6
mdeslaur

Das von Ihnen bereitgestellte Beispiel Ruby befindet sich im Haupt-Repository und wird fünf Jahre lang unterstützt:

$ apt-cache show Ruby | grep -E "(^Supported|pool)"
Filename: pool/main/r/Ruby-defaults/Ruby_4.8_all.deb
Supported: 5y

Siehe auch meine Antwort auf "Hat 12.04 LXDE LTS?" und Wie erhalte ich eine Liste von Nicht-LTS-Paketen, die effizient installiert wurden? .

Für Software aus dem Universum wird sie nicht einmal offiziell unterstützt , geschweige denn für fünf Jahre. Aus dem Community Wiki in den Repositories :

Canonical übernimmt keine Garantie für regelmäßige Sicherheitsupdates für Software in der Universumskomponente, stellt diese jedoch zur Verfügung, sofern sie von der Community bereitgestellt werden.

Es ist jedoch zu erwarten, dass die meisten schwerwiegenden Probleme bei beliebten Paketen von der Community behoben werden, die die Software im Universum verwaltet. Nur keine Garantien.

Für die Backports bin ich der Meinung, dass diese nicht in der Produktion verwendet werden sollten.

4
gertvdijk