[linux-l] *BSD und Linux (war: smfs 2GB )

Ralph Angenendt ra at br-online.de
Mo Sep 15 13:37:34 CEST 2003


Peter Ross wrote:
> On Mon, 15 Sep 2003, Ralph Angenendt wrote:
>> <http://openbsd.org/security.html#33> (und weiter die Seite runter) ist
>> dir aber bekannt, ja? Und das ist *nur* das Kernsystem, da ist nichts
>> dabei, was du irgendwie aus dem Portstree hast.
> 
> Du hast in den *BSDs genau wie in Linux zumeist ein paar Tools wie
> sendmail, named, cvs, kerberos, OpenSSH, OpenSSH etc, ein Bug dort trifft
> alle gleich.
> 
> 3 Kernel- bzw. C-Lib-SAs seit Beginn 2002 sieht nach ordentlicher Arbeit
> aus.

Ich komme auf 12. Inklusive pf. 

>> Seit dem OpenSSH-Debakel und der (IMNSHO) unnötigen Pusherei von
>> Privilege-Separation durch den Mountainbiker *bevor* vernünftig bekannt
>> gegeben wurde, dass es sehr simple Workarounds für das Problem gibt, ist
>> mir so ziemlich alles, was von Theo kommt, ziemlich suspekt.
>>
>> Nein, erstmal mußte alles auf die gepushte Version umsteigen (was dann
>> unter Linux bei 2.2er Kerneln einiges kaputt gemacht hat), was bei
>> etlichen Distributoren ob der schlechten Politik für ziemliche Aufregung
>> gesorgt hat.
> 
> Wovon redest Du? Von OpenSSH 2? Oder ist das "Debakel" der Exploit, der
> unterschiedliche Reaktionszeiten ausnutzte?

Nein, <http://www.openssh.com/txt/preauth.adv> war das Debakel. Achte
auf die version des Advisories. Der Punkt "short Term Solutions" war in
den ersten Advisories nicht vorhanden, genausowenig die exakte
Einbruchsstelle. Dadurch haben sich Distributoren genötigt gefühlt, auf
OpenSSH 3.4 upzudaten, oder zumindest auf eine Version, die Privilege
Separation unterstützt.

Das hat bei Systemen, die zu dem Zeitpunkt noch einen Kernel < 2.4
verwendeten, den netten Effekt, dass keine komprimierten
SSH-Verbindungen mehr funktionierten (wie sich hinterher rausstellte).
Dadurch sassen plötzlich Leute mit kaputten Systemen da, die ihr System
eigentlich gar nicht hätten fixen müssen, weil weder
ChallengeResponseAuthentification noch PAMAuthenticationViaKbdInt per
Default eingeschaltet sind.

Und jetzt lese dir bitte den "Release Process" durch. Und wenn du
richtig Lust hast, kanns du dir mal den Thread auf Bugtraq zu diesem
Vorgehen durchlesen. Es war nicht nur die Schuld des OpenBSD-Teams, auch
ISS hat sich da extrem beschissen verhalten. Aber was da passiert ist,
ging auf keine Kuhhaut.

> Und dass es Projekte gibt, die bei OpenBSD ihren Anfang nahmen und
> anderswo integriert wurden, und das diese Projekte halt echte
> Evolutionsprozesse durchmachen, die auch auf andere Ports jenseits von
> OpenBSD durchschlagen, kannst Du nicht ernsthaft den Leuten dort
> vorwerfen.

Nein, ich werfe ihnen einfach nur eine beschissene Informationspolitik
vor. Warum sind die OpenBSDler die einzigen, von denen man keinerlei
Advisories auf den üblichen Listen findet, wenn ein Bug im Kernsystem
gefunden worden ist?

Wie gesagt, ich will nicht unsachlich werden :)

Ralph
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20030915/58ff4f37/attachment.sig>


Mehr Informationen über die Mailingliste linux-l