Einige von Euch werden es vielleicht schon mitbekommen haben: die neue Mint v17.3 ist draussen, bisher mit Cinnamon und Mate, weitere Desktöppe sollen folgen.

Bisher schreibt Heise dazu ein paar Worte .

Ich möchte in dem Kontext auf LinuxMintUsers verweisen, die stets mit einer wenig zeitlicher Verzögerung lokalisierte ISOs zum herunter laden anbieten.

Update: jetzt schreiben auch LinuxCommunity , derStandard und ProLinux ein paar Worte.

Hallo!

Nachdem LM mit Mate oder Cinnamon immer einen große CPU-Last verursachte, bin ich auf Debian 8 Jessie mit Cinammon umgestiegen. Der Lüfter bleibt nun fast immer unhörbar und Filme kann ich mit VLC im Vollbild genießen ohne daß sich der Laptop nach 15 min verabschiedet.

Selten bootet der Laptop nicht bis zur Anmeldung. Ansonsten für mich das beste System bisher.

Beste Grüße
Hermann

Hi All,

weiß jemand, wann Debian, Ubuntu und Co mal vor hat openssl zu aktualisieren?
Linux Mint Rebecca 17.2 : openssl 1.0.1f (vom 6.1.2014) 1.0.1q ist aktuell
Debian Jessie (stable) : openssl 1.0.0k (vom 8.1.2014) 1.0.0t ist aktuell
Debian Stretch (Testing): 1.0.2d - ein release zurück...
Debian Sid (Unsable) : 1.0.2e - die ist Ok

Ich habe mir jetzt die Version aus Unstable installiert..
DPKG manuell herunterladen - z.B.:dann mitinstallieren.

Aber: Ab dem Zeitpunkt findet für diese Library kein automatisches Update mehr statt. Muss man sich selbst drum kümmern.
Genauer: Es läuft zwar noch der Updatevergleich für das Paket, da aber die stable release nur innerhalb der 1.0.0 version aktualisiert wird die installierte Library immer siegen - auch wenn sie eigentlich schon veraltet ist, da es in der 1.0.2er Serie neuere Versionen gibt.

Liebe Grüße,
KlaRen

Hi,

haha.. zu früh gefreut. Jetzt habe ich beide libssl parallel auf dem System .
Ok, doch ein backport.. hmpf..

/KlaRen

Also bei mir kam vor ein paar Tagen wieder ein Update rein. Schau doch mal auf die Zeitstempel der Dateien!
ftp.de.debian.org/debian/pool/main/o/openssl/

Hi Dr. Tux,

ja, da kam ein Update vorbei, aber die libssl ist trozdem noch auf 1.0.0k nur der Debianpatchlevel hat sich verändert, die Fehler die zwischen 1.0.0k und 1.0.0t behoben wurden sind immer noch drin.
Und das sind nicht weniger als 50 Lücken die dazwischen geschlossen wurden. Da brauchen wir uns nicht mehr über die Sicherheit eines vServers unterhalten - das Scheunentor steht weit offen. Nicht alle Lücken werden sich für einen Angriff eignen, eine der 50 reicht aber schon.

Aus den Openssl news log - nur die Version 1.0.0 für Debian Jessie:
03-Dec-2015
Security Advisory: four security fixes
03-Dec-2015
OpenSSL 1.0.0t is now available, including bug and security fixes
09-Jul-2015
Security Advisory: one security fix
11-Jun-2015
Security Advisory: five security fixes
11-Jun-2015
OpenSSL 1.0.0s is now available, including bug and security fixes
19-Mar-2015
Security Advisory: twelve security fixes
19-Mar-2015
OpenSSL 1.0.0r is now available, including bug and security fixes
08-Jan-2015
Security Advisory: eight security fixes
08-Jan-2015
OpenSSL 1.0.0p is now available, including bug and security fixes
15-Oct-2014
Security Advisory: four security fixes
15-Oct-2014
OpenSSL 1.0.0o is now available, including bug and security fixes
06-Aug-2014
Security Advisory: nine security fixes
06-Aug-2014
OpenSSL 1.0.0n is now available, including bug and security fixes
05-Jun-2014
Security Advisory: seven security fixes
05-Jun-2014
OpenSSL 1.0.0m is now available, including bug and security fixes
06-Jan-2014
OpenSSL 1.0.0l is now available, including bug and security fixes
05-Feb-2013
Security Advisory: three security fixes
05-Feb-2013
OpenSSL 1.0.0k is now available, including security fixes

Liebe Grüße,
KlaRen

Hmm, das ist natürlich frustrierend!

Was schlägst du vor?

1. sich beim Psychologen auf die Couch legen
2. in den Debian Bugtracker scheißen
3. Debian Experimental installieren
4. Arch oder Windoze installieren

Ok ... nicht so ganz ernst gemeint ...

Aber dieses Pakete-von-Hand-aktualisieren kann es ja auch nicht sein. Zumal, wenn du damit einmal anfängst, dann kannste ja direkt bei Apache, Firefox, Enigmail, ... weiter machen, wenn da mal dringende Updates auf sich warten lassen.

Bei meiner gerade laufenden Testing-Installation habe ich zusätzlich noch das Repository von Tanglu mit eingebunden. Evtl. kommen da die Updates etwas schneller rein (kann ich aber noch nicht sicher sagen). Aber das hilft einem bei Stable natürlich herzlich wenig!

Zum Vergleich: packages.tanglu.org/

Äh, was hat das eigentlich noch mit Mint zu tun, was wir hier diskutieren?

Hi Dr. Tux,

Mint betreifft es genauso, eigentlich noch schlimmer... openssl 1.0.1f ist auf dem 17.2 Rebecca installiert. Versuche gerade rauszufinden wie das mit Rosa ist, aber da machts einem Mint nicht leicht.
Die 1.0.1f in Rebecca ist noch ein ganzes Jahr(!) älter als das was man unter Debian Jessie installiert bekommt.

Ich bin für Option 3. - kein Grund gleich zum Seelenklemptner zu rennen oder sich Fensterchen anzutun. Nur sollte man sich auch nicht der Illusion hingeben, dass ein sklavisches Updaten aus dem Paketmanager das System 100% Wasserdicht macht.. nein, selbst das hilft nicht.

Liebe Grüße,
KlaRen

Ok, jetzt werd ich tiefenentspannt...

Habe gerade mein Kali aktualisiert - selbst die Pentester werkeln noch auf libssl1.0.1k herum.

Und tataa.. auch Rosa benutzt libssl 1.0.1f

/KlaRen

Hier ein paar erste Äußerungen zur kommenden Mint 18 (basierend auf Ubuntu 16.04 LTS). Dürfte einige von euch sicher interessieren.