© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi Thomas-Martin,
danke für die Aufklärung.
On Mon, 4 Feb 2013, Thomas-Martin Seck wrote:
> * Peter Ross (Peter.Ross(at)alumni.tu-berlin.de):
>
>> Hallo,
>>
>> ich verwende squid, und www/squid ist im Moment auf Version 2.7.9_3
>>
>> Checking for packages with security vulnerabilities:
>> squid-2.7.9_3 is vulnerable:
>> squid -- denial of service
>> http://portaudit.FreeBSD.org/c37de843-488e-11e2-a5c9-0019996bc1f7.html
>>
>> Affects:
>>
>> squid <3.1.23
>> squid >=3.2 <3.2.6
>> squid >=3.3 <3.3.0.3
>>
>> Für www/squid (2.7) scheint kein Update zu existieren, auch bei
>> www.squid-cache.org nicht.
>
> Das Ports-Security-Team hat einen Patch, der hängt allerdings noch in
> der Review-Schleife bei dem (ehemaligen) 2.x-Chefentwickler. Wenn man
> cachemgr.cgi nicht braucht oder lokal per ACL einschränken kann, kein
> ganz großes Problem.
Okay. Ich brauche das CGI nicht. Problem per Default-Konfig gelöst, nehme
ich an:
http_access allow manager localhost
http_access deny manager
>> Eine Erklärung, was beim Upgrade zu beachten ist, habe ich leider auch
>> nicht gefunden (Änderungen in der squid.conf?)
>
> Guck mal in
> http://www.squid-cache.org/Versions/v3/3.2/RELEASENOTES.html, ggfls.
> zusammen mit
> http://www.squid-cache.org/Versions/v3/3.1/RELEASENOTES.html
Ah, danke. Irgendwie bin ich gestern beim Suchen nicht auf diese Seiten
gestoßen.
> In FreeBSD: eher das historische Problem, dass man nicht von Anfang an
> www/squidXY hatte. Ich werde in nächster Zeit www/squid in www/squid27
> umbenennen (ist in svn ja jetzt viel einfacher als mit CVS) und die
> Ports mit einer Abhängigkeit auf www/squid entsprechend anpassen. Danach
> überlasse ich's den Maintainern der einzelnen Ports, die Squid
> verwenden, ob sie die Abhängigkeit entsprechend anpassen wollen.
Als Anwender interessiert mich die squid-Version gar nicht, ich brauche
einen Proxy und will gar nicht zuviel Zeit verwenden, rauszufinden, welche
Version es denn sein sollte.
Ich vermute, das geht tausend "Ottonormalverbrauchern" in Firmen,
eventuell im Netz zuhause, an Unis etc. so.
Die "Poweruser", die wirklich wissen wollen, was in Version 3.2 oder 2.7
extra ist, sind vermutlich eine kleine Untermenge, bei Providern z.B.
Für die Mehrzahl wird es eher verwirrend sein, wenn sie kein www/squid
mehr haben. Welches ist denn jetzt "gut" für mich?
Ich würde es begrüßen, wenn www/squid da ist, und wenn es nur ein
Metapackage ist, welches auf die letzte Stable-Version verweist. Ich traue
Dir als Maintainer mehr als mir nach 20 Minuten Weblektüre;-)
Die Maintainer anderer Ports können ja genauere Abhängigkeiten über "pkg
version" steuern (>3.1.x z.B.), damit der passende squid gebaut wird, wenn
sie es für nötig halten.
Ist das ein Argument? ;-)
Danke noch mal
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 05 Feb 2013 - 00:16:09 CET