----- Original Message -----
From: "Thomas Hertweck"
Fuer openssh usw. gab es Updates von SuSE. Ich frage mich, warum Du die nicht eingespielt hast. Das waere ganz simpel per YOU gegangen.
Das wirft bei mir jetzt eine grundsaetzliche frage auf. Klar openssh laesst sich einfach updaten per YOU. Was aber wenn ich ein Programm verwenden will , dass nicht in der neusten version oder garnicht von Suse gepflegt wird ? Zum beispiel ist bei der Suse 8.1 nur die IPSEC Version 1.97 oder so dabei , aktuell ist aber die 2.x , bei der sich einiges geaendert hat. Wenn ich die nun verwenden moechte , hab ich mit dieser Distri ein Problem, nicht? Ich muss es doch deshalb selbst kompilieren. Angenommen dieses Programm benutzt jetzt Openssl, bei dem gerade die Sicherheitslöcher entdeckt worden sind. Wenn ich jetzt das Paket von Suse mit YOU update , sollte openssl anschliessend sicher sein. In wie weit greift jetzt das IPSEC Paket nur auf die natuerlich jetzt geaenderten shared libs zu ? Hat es denn nicht auch .h und .cpp files aus dem Include von dem alten openssl-devel mitgenommen und fest im eigenen Programmcode verbastelt , sodass mein IPSEC Programm immernoch nicht sicher ist? Das IPSEC ist nur ein Beispiel bei dem ich weiss, dass bei der Suse nicht die aktelle version beiliegt, ich bin aber nicht ganz sicher ob das Openssl problem da zutifft. Sicherer bin ich da schon bei cyrus-sasl. Das hab ich kompiliert und es includiert definitiv die sourcen vom aktuell installierten openssl. Also nochmal die Fragen : 1. Wenn die Distribution nicht die gewünschte Version meines Programms unterstützt - muss ich selbst kompilieren ? 2. Wenn sowas passiert, reicht es wohl nicht mehr aus einfach mit YOU z.B. Openssl zu updaten, sondern ich muss anschliessend meine selbstkompilierten programme neu übersetzten. 3. Erkennt jemand in meiner Vorgehensweise einen grundsaetzlichen Fehler oder würde es anders machen ? Gruesse Filip