# unverständlich, ~x86 Paket plötzlich hardmasked

## schachti

Ich habe auf einigen Rechnern phpBB installiert, auf allen Rechnern mit www-apps/phpBB ~x86 in /etc/portage/package.keywords, weil phpBB in der letzten Zeit immer als ~x86 markiert war.

Nun gab es in letzter Zeit wieder eine böse Lücke in phpBB, die ich nach der Anleitung unter http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=302011 ASAP manuell geschlossen. Ich habe nun lange auf die neue Version in portage gewartet, weil außer dieser einen Lücke ja noch mehrere andere Fehler korrigiert worden sind.

Normalerweise werde ich von solchen Updates automatisch informiert, da auf allen Servern 1 x täglich per cronjob ein emerge sync && emerge -Dupl world läuft. Dieses Mal kam tagelang nichts, so daß ich manuell emerge -p phpBB probiert habe. Und was sehe ich da?

```

!!! All ebuilds that could satisfy "phpBB" have been masked.

!!! One of the following masked packages is required to complete your request:

- www-apps/phpBB-2.0.10 (masked by: package.mask)

# Aaron Walker <ka0ttic@gentoo.org> (30 Jun 2005)

# Masked due to constant security bugs.

- www-apps/phpBB-2.0.11 (masked by: package.mask)

- www-apps/phpBB-2.0.13 (masked by: package.mask)

- www-apps/phpBB-2.0.14 (masked by: package.mask)

- www-apps/phpBB-2.0.15 (masked by: package.mask)

- www-apps/phpBB-2.0.16 (masked by: package.mask)

```

Ich muß sagen, ich finde dieses Vorgehen (ein Paket, das lange Zeit ~x86 war, plötzlich so zu maskieren, daß es nicht mehr geupdatet wird) sehr sehr gefährlich! Was machen all die Leute, die von der Lücke nichts mitbekommen haben und nun auch kein Update bekommen, weil sie sich auf portage verlassen?

Was kann man machen, damit dieses Vorgehen zumindest mal im Kreise der Developer bzw. Maintainer diskutiert wird? Ich halte das für einen unhaltbaren Zustand.

mod-edit: Titel aussagekräftiger gestaltet (da interessante Frage) war: phpBB --slick

mod-edit: Titel nochmal verbessert --slick

----------

## beejay

Ich kann den Ärger zwar verstehen, aber warum es maskiert wurde ist begründet.

 *schachti wrote:*   

> Ich muß sagen, ich finde dieses Vorgehen (ein Paket, das lange Zeit ~x86 war, plötzlich so zu maskieren, daß es nicht mehr geupdatet wird) sehr sehr gefährlich! Was machen all die Leute, die von der Lücke nichts mitbekommen haben und nun auch kein Update bekommen, weil sie sich auf portage verlassen?

 

In meinen Augen sollte jemand der irgendwo einen Server betreibt auch dazu in der Lage sein, sich selbst immer auch ständig über den Zustand der von ihm angebotenen Dienste informieren und sich nicht alleine auf den Distributor verlassen. Beim Auto kontrollierst Du ja auch regelmässig den Ölstand und den Reifendruck.

----------

## schachti

 *beejay wrote:*   

> 
> 
> Ich kann den Ärger zwar verstehen, aber warum es maskiert wurde ist begründet.
> 
> 

 

Ja natürlich ist es begründet, aber IMO gibt es auch andere Wege, z. B. als ~ARCH maskiert lassen und nach dem emerge eine deutliche Warnung über in letzter Zeit aufgetretene Sicherheitslücken dieser Software auszugeben.

 *beejay wrote:*   

> 
> 
> In meinen Augen sollte jemand der irgendwo einen Server betreibt auch dazu in der Lage sein, sich selbst immer auch ständig über den Zustand der von ihm angebotenen Dienste informieren und sich nicht alleine auf den Distributor verlassen. Beim Auto kontrollierst Du ja auch regelmässig den Ölstand und den Reifendruck.
> 
> 

 

Richtig, Du weißt das, ich weiß das - aber es gibt genug Leute, die das eben nicht tun und sich auf ihre Distribution verlassen. Wenn zumindest bei einem emerge world ein Hinweis kommen würde, daß ein Paket installiert ist, das nun maskiert wurde oder so... Aber so, wie das in diesem Fall gehandhabt wurde, wähnen sich die gutgläubigen User in einer sehr trügerischen Sicherheit.

----------

## schachti

 *schachti wrote:*   

> 
> 
> mod-edit: Titel aussagekräftiger gestaltet (da interessante Frage) war: phpBB --slick
> 
> 

 

Leider nicht getroffen, das Paket war vorher schon ~x86, nun ist es komplett maskiert.

----------

## slick

 *schachti wrote:*   

>  *schachti wrote:*   
> 
> mod-edit: Titel aussagekräftiger gestaltet (da interessante Frage) war: phpBB --slick
> 
>  
> ...

 

Besser?  :Wink: 

----------

## padde

Ich denke eine Warnung beim sync bzw. beim update world wäre eine gute Lösung für das durchaus ernstzunehmende Problem.

Evtl. sollte die Warnung bestätigt werden, oder zumindest über einen bestimmten Zeitraum erscheinen falls das Paket nicht komplett unmerged oder durch Eintrag in die package.unmask up-gedated wurde.

----------

## schachti

 *slick wrote:*   

>  *schachti wrote:*    *schachti wrote:*   
> 
> mod-edit: Titel aussagekräftiger gestaltet (da interessante Frage) war: phpBB --slick
> 
>  
> ...

 

Ja danke. Sorry, falls sich das etwas boese angehoert haben sollte, so war es nicht gemeint.  :Wink: 

----------

## Carlo

 *schachti wrote:*   

> Normalerweise werde ich von solchen Updates automatisch informiert, da auf allen Servern 1 x täglich per cronjob ein emerge sync && emerge -Dupl world läuft. Dieses Mal kam tagelang nichts, so daß ich manuell emerge -p phpBB probiert habe. Und was sehe ich da?

 

Dein Fehler, wenn Du die GLSAs nicht liest.  :Arrow:  GLSA 200507-03 / phpBB

----------

## dertobi123

Bekanntermassen ist phpBB für seine nicht allzurühmliche Vergangenheit was Sicherheitslücken betrifft bekannt. Da zwischen dem Bekanntwerden von neuen Sicherheitslücken in phpBB bis zum GLSA (oder Announcements anderer Distributionen) durchaus einige Tage vergehen (können), ist es aus meiner Sicht die ganz persönliche Aufgabe eines jeden Administrators einer phpBB Installation die einschlägigen Mailinglisten und/oder phpbb.com zu verfolgen und seine Installation zeitnah zu patchen. Wer sich bei solch kritischen Anwendungen allein auf seine Distribution verlässt ...

----------

## schachti

Wie schon geschrieben, ich habe direkt nach Bekanntwerden der Luecke manuell gepatched. Es gibt aber sicher jede Menge User, denen die Gefahr nicht bewusst ist und die nicht wie ich regelmaessig sicherheitsbezogene Mailinglisten lesen.

----------

## beejay

 *schachti wrote:*   

> Wie schon geschrieben, ich habe direkt nach Bekanntwerden der Luecke manuell gepatched. Es gibt aber sicher jede Menge User, denen die Gefahr nicht bewusst ist und die nicht wie ich regelmaessig sicherheitsbezogene Mailinglisten lesen.

 

Dann würde ich gerne die Frage einwerfen, ob solche "Patienten" wirklich das Bewusstsein für den sicheren Betrieb eines kritischen bzw. öffentlich zugänglichen Servers haben.

----------

## schachti

Ich denke, es gibt genug (oder eher zuviele) Leute, die einen oeffentlichen Server betreiben, ohne sich Gedanken um die Sicherheit zu machen. Ob man diese Leute aber wie hier geschehen einfach so im Regen stehen lassen sollte, ist eine andere Sache...

----------

## Carlo

schachti: Das fällt unter Eigenverantwortung. Wer auf die Schnauze fliegen will, darf.

----------

## dertobi123

Es ist nicht die Aufgabe von Gentoo oder einer x-beliebigen anderen Distribution solchen "Admins" den Hintern nachzutragen. Mit dem GLSA hat Gentoo seine "Schuldigkeit" voll erbracht.

----------

## schachti

ok, ich kann Eure Meinung durchaus verstehen und gut nachvollziehen (ich sehe als Admin in 'nem grossen Wohnheim tagtaeglich, wie wenig sich die meisten User Gedanken ueber Sicherheit machen), aber auf der anderen Seite faellt sowas sehr schnell negativ auf den Ruf der Distribution zurueck.

Prizipiell faende ich es schon sehr sinnvoll, wenn bei solchen sicherheitsrelevanten Vorfaellen ein emerge world zumindest einen Hinweis ausgibt, dass ein installiertes Paket auf einmal hard masked ist.

----------

## UncleOwen

 *schachti wrote:*   

> 
> 
> ```
> 
> !!! All ebuilds that could satisfy "phpBB" have been masked.
> ...

 

Sollte das nicht eigentlich auch beim emerge -uDpv world kommen?

----------

## schachti

 *UncleOwen wrote:*   

>  *schachti wrote:*   
> 
> ```
> 
> !!! All ebuilds that could satisfy "phpBB" have been masked.
> ...

 

Tut es zumindest bei mir auf 2 Servern nicht...

----------

## slick

 *schachti wrote:*   

> Ja danke. Sorry, falls sich das etwas boese angehoert haben sollte, so war es nicht gemeint. 

 

Ach, böse ist was anderes  :Twisted Evil:   :Wink: , war ja mein (Lese-) Fehler...

----------

## Carlo

UncleOwen: Nicht, wenn die Software schon installiert ist. Eine Warnung wird es evtl. mal bei einer späteren Portage Version geben; Das dürfte aber eher niedere Priorität haben.

----------

