Updatepolitik Sicherheitsupdates

Started by user11, August 18, 2018, 02:36:09 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 18, 2018, 02:36:09 PM Last Edit: August 18, 2018, 02:38:00 PM by user11
Hallo,

wie ist den das Vorgehen von OPNSense bei Updates?

Verstehe ich es richtig, dass Sicherheitsupdates immer gebündelt herausgegeben werden für die einzelnen Programmen (z.B. OpenVPN) und nicht sofort als einzelne Pakete, wenn diese verfügbar sind?

Beispielsweise wurden in der OpenVPN Version 2.4.3 mehrere Sicherheitslücken behoben.
FreeBSD hat am 21.06.2017 das OpenVPN Update 2.4.3 in der Paketverwaltung veröffentlicht ( https://svnweb.freebsd.org/ports?view=revision&revision=444043).
Die OpenVPN Version 2.4.3 wurde am 05.07.2017 in OPNSense aktualisiert (https://opnsense.org/opnsense-17-1-9-released/).
Bedeutet dies also, dass OpenVPN in diesem Zeitraum von 14 Tagen unnötig unsicher war?
August 18, 2018, 02:44:59 PM #1
Nunja, das kommt auf den Schweregrad drauf an. Grundsätzlich werden alle Updates auf einmal herausgebeben - dafür in der Regel auch regelmäßig.

Wenn ein Programm ein schweres Sicherheitsproblem aufweist, kann es sein, dass mal entweder ein einzeles Update herausgegeben wird oder das Release von der nächsten Version vorgezogen wird.
September 03, 2018, 04:14:19 PM #2
Eine Einheit unsicherer, ja. Was das messbar bedeutet ist für jede CVE einzeln zu bewerten. :)

Es passiert schon, dass durch die 150 Komponenten mit losgelösten Release-Zyklen und unterschiedlich schnellen FreeBSD Maintainern und auch diversen Upstream-Problemen (Build-Issues, BSD Bugs) Sicherheitsupdates sich auch um mehrere Wochen verschieben können.


Grüsse
Franco
Print
Go Up Pages1
User actions