Mir ist dieser Tage ein Sicherheitsproblem in Arch Linux aufgefallen, was einer Klärung bedarf. Und zwar geht es um die Zeitspanne zwischen der Aktualisierung im Upstream und dessen Aktualisierung im Arch Linux Betriebssystem. Vielleicht ein konkretes Beispiel:
Am 29. Jan 2013 gab es auf
http://www.kb.cert.org/vuls/id/922681 eine Warnmeldung zum Paket libupnp. Inhalt: die aktuelle Version wäre verwundbar und ein Update ist empfehlenswert. Arch Linux hat offensichtlich auf diese Meldung reagiert, so dass 2 Tage später das Paket aktualisiert war,
https://projects.archlinux.de/svntogit/packages.git/log/trunk?h=packages/libupnp
Wenn man sich jedoch die Webseite vom Upstream einmal anschaut,
http://pupnp.sourceforge.net/ChangeLog
dann ist dort zu lesen, dass das fragliche Update auf libupnp Version 1.6.18 bereits am 06. Dez 2012 veröffentlicht wurde. D.h. Arch Linux war knappe 2 Monate ungepatcht, obwohl es längst einen Patch gab. Was ist da schief gelaufen?
Wäre es nicht sinnvoll, wenn man für jedes Paket was bei Arch Linux installiert ist, die dazugehörige Changelog-Datei des Upstreams überwacht, um bei Abweichungen unmittelbar reagieren zu können? Oder wird das schon längst gemacht (vielleicht im Testing-Zweig ...) und ich hab das nur nicht mitbekommen?
Danke.