Die weit verbreitete Linux Distribution Debian hat seit Wochen keine Sicherheitsupdates mehr erhalten. Weder Advisories noch Patches sind erschienen und das trotz diverser aufgetauchter Sicherheitsprobleme. So gab es beispielsweise im SpamAssassin ein Sicherheitsloch das DoS Attacken erlaubte. SpamAssassin ist aber Teil der Debian Distribution - und nicht der einzige Teil mit bekannten Sicherheitslöchern, auf die das Debian Security Team einfach nicht reagiert hat.
Auf eine eMail-Anfrage von Heise Security zum Thema hat Heise nach eigenen Angaben keine Antwort erhalten. Heise hält das Team für 'abgetaucht'.
Die lange Zeit an Inaktivität wird darauf zurückgeführt, dass das komplette, weltweite Sicherheits-Team für Debian gerade mal 5 Personen umfasst. Obendrein sind von denen vier laut eigener Aussage gar nicht mehr tätig. Diese Informationen findet sich auch so in der Debian Mailing-Liste bestätigt.
Die Flaute besteht nun seit etwa Anfang Juni. Dementsprechend dürfen sich Debian Administratoren nicht länger darauf verlassen, mit Hilfe des Debian-Update Systems geschützt zu sein. Wer ein sicheres System will, kümmert sich besser ab sofort selbst um das Auffinden und Einspielen von Sicherheitsupdates.
News: Security-Team gibt es nicht
KarstenW
Firebolt
