Recently I had a discussion with someone about the security of various linux distributions where he claimed Debian stable to be very secure and that they use old versions where they backport all occurances of security issues. This is a common assumption, too bad that it's wrong.
I want to document this to demonstrate the dangerousness of opinions like »stay with the old software«, »never touch a running system« and alike that are not limited but often found in the Debian community.

I had a look at the security policy on a package recently very popular for it's vast number of issues, namely php. Their last php-update on php5 was in july. They have a heavily patched version of php 5.2.0 and according to their changelog the last thing they patched was CVE-2007-1864.

Now that probably means that CVE-2007-3996, CVE-2007-3378, CVE-2007-3997, CVE-2007-4652, CVE-2007-4658, CVE-2007-4659, CVE-2007-4670, CVE-2007-4657, CVE-2007-4662, CVE-2007-3998, CVE-2007-5898, CVE-2007-5899, CVE-2007-5900 are unfixed. Oh, and before you ask: This list certainly is incomplete, it's just what I found without much hassle.

Not only looking at php5, php4 is still officially distributed by many vendors, some hosters still use it. You can't really blame them, as php.net announced it to be supported until 2007-12-31. But that's theory, in fact, nobody looks if the various recent issues also apply to php 4, most recent advisories don't mention it. Fact is, at least CVE-2007-3378, CVE-2007-3997, CVE-2007-4657, CVE-2007-3998 also apply to php 4 and are unfixed in their latest release 4.4.7 (not neccessary to mention that they're not fixed in the debian stable php4 package).

If someone prefers to stay with old software, it's up to them. But be serious. It's probably a hell-job to get all the recent security issues in an app like php backported to some ancient version. A quick check showed me that debian isn't able to do that. If you can't do that, don't claim it's in any way »supported«. Because doing that put's other people in dangerous situations.

Eines der interessanteren Modelle der gestrigen Installparty war ein Pentium 75 Notebook, welches sich überschwänglich »Multimedia Notebook Computer« nannte.

Das erste Problem bei einem solchen Gerät ist ja, wie kriegt man da überhaupt Daten drauf. Weder Netzwerk, noch USB, zwar ein integriertes CD-ROM, doch nicht bootfähig. PCMCIA-Netzwerkkarte war auch nicht aufzufinden. Die wohl eher scherzhaft gemeinte Idee, die Festplatte in einen anderen Rechner zu bauen und dort zu installieren, nahm ich beim Wort.

Während der Installparty haben wir dann zwar keine Installation mehr vollbracht, jedoch bot ich an, das Gerät zuhause nochmal genauer unter die Lupe zu nehmen. Nachdem ich wie bereits angedeutet in einem Fremd-Laptop die Festplatte mit einem Debian Etch versehen hatte, der Versuch das ganze zu booten. Schlug fehl, mir fiel auf dass das Kernelimage im Bootmenü ein -686-suffix hatte - Debian erkennt scheinbar automatisch einen neueren Prozessor und installiert ein passendes Kernelimage. Also Platte wieder zurückgebaut, 486-kernel installiert und neu gebootet.

Fährt hoch, X start schlägt wie zu erwarten war fehl (bei gewechselter Hardware). Mit lspci die Hardware betrachtet. Die Grafikkarte war ein Modell von »Chips and Technologies«, was ich zwar noch nie gehört hatte, aber xorg schon. Es existiert ein chips-Treiber, mit dem die Karte dann auch (640x480 bei 16 bpp) lief, zwar mit schwarzen Rändern am Rand, aber immerhin. Das Touchpad war sogar ein Synaptics, Scrolling am Rand funktioniert tadellos. Da jedes moderne Desktop-Environment die Kiste wohl überfordert hätte, musste icewm herhalten.
CD-ROM und Floppy liefen problemlos.

Beim Soundchip musste ich leider passen. Zwar fand ich qua google heraus, dass es sich wohl um einen Opti 930 handelt, das snd-opti93x Modul meldete mir jedoch »no OPTi 82C93x soundcard found«. Möglicherweise mit entsprechenden Parametern für das Kernelmodul lauffähig.

Nun wäre natürlich eine Netzwerkverbindung interessant gewesen. Zwar hatte ich einige PCMCIA-Karten rumliegen, die einzige mit integriertem Anschluss war jedoch eine Cardbus, was unsere alte Hardware nicht verkraftete. Eine D-Link wurde korrekt erkannt und eingebunden, jedoch fehlt mir für diese ein Anschlussteil, der den flachen Stecker in einen Netzwerkstecker konvertiert (die Teile, die immer so schnell kaputtgingen).
Mein letzter Versuch, eine Orinoco WLAN-Karte, führte dann jedoch überraschenderweise zum gewünschten Erfolg. WLAN auf einem Pentium 75, wer kann schon behaupten, sowas schonmal betrieben zu haben? ;-)

Update: Tuxmobil brachte mir noch diese Seite zu dem Laptop.