Re: Was macht eigentlich security.debian.org?
hallo Oliver, Am 13:57 2003-05-26 +0200 hat Oliver Egginger geschrieben: > >Hallo, > >ich habe mit dem apt Programm nach der Installation mein System >aktualisiert. Welche CD's ??? r0 oder r1 >Zuvor habe ich apt so konfiguriert, dass von http://security.debian.org/ >die neusten Sicherheitsupdates geholt werden. >Leider wurde keines der Sicherheitsproble dadurch gelöst, was erst Hmm, eigenartig, denn bei mir werden nach einer r0 installation gleich 8 Pakete von der release 1 update-CD installiert und wenn ich die derzeitigen scurity updates (also demnaechst r2) verwende sind es nocheinmal 6... >einmal nicht weiter tragisch ist, da es bis auf eine Ausnahme keine >schwerwiegenden Probleme waren (zumindest nicht für mich). Eigentlich sollte die libc6 upgedatet werden... >Wird der Kernel nicht ueber http://security.debian.org/ mit >aktualisiert? Also soviel ich weis hat WOODY nur einen 2.4.18 Den 2.4.19 kannste Dir aus unstable holen... Der 2.4.20 oder hoeher bereitet probleme weil er eine initrd haben will, die in WOODY nicht ist. Aber Du kannst die Sourceh von 2.4.2x aus unstable verwenden, die gehen einwandfrei... >Warum ist der SSH-Dienst nicht aktualisiert worden, obwohl auch er >bei Nessus Sichheitswarnungen verursacht? Also bei mir ist OpenSSH upgedatet worden... Warscheinlich haste in /etc/apt/sources.list was falsches angegeben... deb http://security.debian.org/debian woody-update main verwendet ??? Schoene gruesse Michelle -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Was macht eigentlich security.debian.org?
Hallo Norbert, Am 08:21 2003-05-27 +0200 hat Norbert Tretkowski geschrieben: >Ich sehe keine Dependency, die sich nicht mit einem reinen woody >erfuellen lassen koennte. Bei mir wollte das kernel-image-2.4.20 eine initrd installieren, die es in WOODY nicht gab, sondern nur in unstable... mit den kernel-source-2.4.20 hat es kein problem gegeben. Michelle -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Was macht eigentlich security.debian.org?
Oliver Egginger schrieb: > Einer dieser Treiber ermöglicht anscheinend Spionageattacken, welche > hier kurz beschrieben werden: > http://www.atstake.com/research/advisories/2003/a010603-1.txt Das ist ein albernes und eher harmloses Problem und in den letzten Kernel-Source-Paketen von 2.4.19 und 2.4.20 gefixt. Wenn Du schon mit solcher Panikmache kommst und der Text von Dir als "kurz" eingestuft wird, dann lies es auch. Ich zitiere: "It is important to note that the attacker must be on the same ethernet network as the vulnerable machine to receive the ethernet frames" Das schränkt die denkbaren Szenarien schon deutlich ein. Darüber hinaus werden hauptsächlich Fragmente aus dem laufenden Netzverkehr eingeblendet. Finden die wichtigen Sachen per SSH/SSL statt, wird nicht viel zu holen sein. Es könnte höchstens tonnenweise unwichtiger Datenmüll gesammelt werden. Wie aus diesen Milliarden von Schnipseln, die vielleicht handvoll interessanter heraus gefiltert werden soll bleibt dabei völlig offen. So etwas mit "Attacke" zu benennen ist nur überzogen, sondern schlichtweg falsch (übersetzt). "Angreifer" und"Attacke" haben sich zu feststehenden Fachbegriffen entwickelt, die nicht immer wörtlich zu nehmen sind. Man könnte es auch A-Hörnchen und B-Jodel nennen. Quantenphysiker denken auch nicht wirklich, dass Quarks besoffen sind. Der "Angreifer" kann bei obiger "Attacke", selbst nur wenig unternehmen, sondern ist vorwiegend auf passives Lauschen angewiesen. Wenn er selbst aktiv würde, fällt er nicht nur auf, sondern korrumpiert auch seine Chance, etwas wichtiges zu erlauschen. Es scheint mir im letzten halben Jahr einen Trend zu geben, dass zunehmend unbedeutende Sicherheitsmeldungen in bester Troll-Manier völlig sinnentstellt in eine inkompetente Öffentlichkeit gespielt werden, um dort Stimmung zu erzeugen. Bestes Beispiel die gestrige CUPS-Meldung auf dem Heise-Ticker. Werden Redakteure nach Zahl der Meldungen bezahlt? Was nehmen die für Tabletten? Selbst der ptrace-Bug, mit seinem auch für Laien eindrucksvollen Expoit, wurde deutlich überbewertet. Es gab nicht nur schon vor dem grossen öffentlichen Tata einen Fix, sondern auch einen simplen Work-around. Die Zahl der Sicherheitsmeldungen hat sicherlich zugenommen. Aber ebenso sicher *nicht*, weil Software immer verwundbarer wird, sondern weil die Zahl der Sicherheitsinspektionen und Unternehmen, die sich damit beschäftigt stark gestiegen ist. Sicherheitslücken werden heute vorwiegend nicht mehr von "bösen Hackern", sondern von den "guten Sicherheitstestern" gefunden. Der Zünder für die Atombombe, ach was Wasserstoffbombe, des Internets heisst immer noch "bind". Hier einen Exploit a la SQL-Slammer und alle, die vom Netz abhängen, können länger in Urlaub... > Wird der Kernel nicht ueber http://security.debian.org/ mit > aktualisiert? Du möchtest, dass apt-get plötzlich einen Reboot auslöst (oder wie aktivierst Du einen neuen Kernel)? Die meisten möchten das nicht. Oder das apt-get nur ein neues Image einrichtet und dann beim nächsten gewollten oder ungewollten Reboot kommt dann surprise, surprise ein neuer Kernel. In der Regel ist es also sinnvoll, wenn der Admin das von Hand macht bzw. unter eigener Kontrolle. Ich gebe zu, für typische Desktop- und Privat-Benutzer ist das unbefriedigend. In Unstable gibt es daher eine neue Möglichkeit ein kernel-image-2.4 zu abonnieren und damit auch das Kernel-Update zu automatisieren. Mehr Infos dazu hier: http://lists.debian.org/debian-security/2003/debian-security-200305/msg00288.html > Warum ist der SSH-Dienst nicht aktualisiert worden, obwohl auch er > bei Nessus Sichheitswarnungen verursacht? Mir kommt so der leise Gedanke, dass der überproportionale Anteil aus dem Giessener Raum stammendender Netzscans gar nicht auf SuperHacker (wer sonst scannt schon vom eigenen T-rottel-Anschluss?), sondern auf Sicherheits-Tools-Nicht-Versteher zurück gehen könnte... tum tee tum -- [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Was macht eigentlich security.debian.org?
Andreas Metzler <[EMAIL PROTECTED]> wrote: > Sven Hartge <[EMAIL PROTECTED]> wrote: >> Sven Hartge <[EMAIL PROTECTED]> wrote: >>> Oliver Egginger <[EMAIL PROTECTED]> wrote: Wird der Kernel nicht ueber http://security.debian.org/ mit aktualisiert? >>> Bei entsprechenden Lücken wird ein neues Kernel-Paket dort zur >>> Verfügung gestellt, alle Sicherheitsupdates fliessen dann natürlich >>> in ein neues Release von Debian Stable ein. >> Hierbei muss ich meine Aussage korrigieren, der Kernel wird scheinbar >> nicht über security.debian.org geupdated. > Jein, fuer s390 gibt es dort Pakete mit ptrace-fix. Und warum nur für diese Architektur? >> Allerdings muss ich mich fragen, warum nicht? > Kernel Updates sind offenbar ein *fettes* Elend, siehe Thread > "Maintaining kernel source in sarge" gerade jetzt auf debian-devel, da > gibt es Unmengen von Paketen, und zugehoerige Modulpakete, > insbesondere der ptrace-Fix scheint ausserdem das Modul-ABI zu > veraendern, d.h. man muss alle Binaermodule neu kompilieren, der > empfehlenswerte Weg scheint momementan zu sein, sich den Kernel aus > proposed-updates zu holen. Die Binär-Module dependen doch eh strikt auf die Version des Kernel-Paketes. Wenn es da jetzt einen neuen Kernel gibt, ob das nun eine neues Release von Marcello oder ein Security-Patch ist, es müssen eh wieder alle Module (Alsa, lm-sensors, i2c, etc.) durch den Compiler. Ich sehe da also keinen Unterscheid bzw. nicht das Problem, den ptrace-Fix _nicht_ via security.debian.org zu verteilen. Man erleuchte mich bitte. S° -- BOFH excuse #245: The Borg tried to assimilate your system. Resistance is futile. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)