sslug-teknik team mailing list archive

[Klavs Klavsen <kl@xxxxxxx>]

On Thu, 16 Oct 2003 15:35:40 +0200
Kim Schulz <kim@xxxxxxxxx> wrote:

[SNIP]
> 
> Mandrake har et sikkerhedsteam som består af dels betalte
> medarbejdere, dels af frivillige. De er utroligt gode og hurtige til
> at patche huller- ja der har endda været eksempler på at de havde
> patchet et hul inden det blev offentliggjort (f.eks. det ene openSSL
> hul). Det Mandrake ofte kritiseres for er, at de i stedet for at
> backporte som f.eks. Redhat gør det, så opgraderer de altid til
> seneste nye version hvor patchen virker (altså opgraderer til nyt frem
> for at patche det gamle). Dette er pga. Mandrakes politik om at de
> skal være helt fremme med de nyeste programmer - altid! Dette går dog
> også lidt ud over sikkerheden da der jo altid er større sandsynlighed
> for at der er fejl i nyere versioner af programmer frem for de gamle
> gennemtestede versioner.
> 
> Om det er godt eller skidt er nok et spørgsmål om holdning og hvad man
> har behov for.
> 
IMHO er det godt, da et backport af security fixes, ikke nødvendigvis
sikrer dig, da der oftest viser sig at være bugfixes, der egentlig også
var security fixes, men bare ikke blev opdaget som værende dette. Disse
bugfixes bliver så ikke backportet i f.ex. RedHat, og en angriber, kan
så "bare" kigge Changelog'en/cvs og se om han kan finde en bugfix, der
kan udnyttes. Ved den seneste version, er der ingen kendte bugs der kan
udnyttes (oftest ihvertfald) og dermed skal han først finde bugs, før
han kan finde måder at udnytte dem på.



-- 
Regards,
Klavs Klavsen, GSEC, klavs@xxxxxxxxxxx, http://www.EnableIT.dk 
Open Source Server, Security and Network Consulting
Phone: +45 3284 4372 Mobile: +45 2342 4372
PGP: 7E063C62/2873 188C 968E 600D D8F8  B8DA 3D3A 0B79 7E06 3C62

See our new managed CMS Hosting Service at http://www.VirkPaaNettet.dk

"Open Source Software - Sometimes you get more than you paid for."