sslug-teknik team mailing list archive

Thread
Date

Re: Distributioner og sikkerhed

To: sslug-teknik@xxxxxxxx
From: Klavs Klavsen <kl@xxxxxxx>
Date: Fri, 17 Oct 2003 16:30:27 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Enable IT

On 17 Oct 2003 15:55:55 +0200
Henrik Christian Grove <grove@xxxxxxxx> wrote:

> Klavs Klavsen <kl@xxxxxxx> writes:
> 
> > IMHO er det godt, da et backport af security fixes, ikke
> > nødvendigvis sikrer dig, da der oftest viser sig at være bugfixes,
> > der egentlig også var security fixes, men bare ikke blev opdaget som
> > værende dette.
> 
> Jeg kan ikke huske hvornår jeg sidst har set et eksempel på det, men
> jeg ved at jeg tit ser rettelser til sikkerhedsproblemer, der bliver
> betgenet "sandsynligvis umulige at udnytte" eller lign. 
> 
rigtigt. Men i rigtig mange tilfælde (check cvs logs/changelogs), så
bliver bugs ikke betegnet som værende sikkerhedsbugs, og jeg mindes at
have hørt om op til flere tilfælde, hvor en normal fejl, faktisk viste
sig at kunne udnyttes.

Nu er hackerland, jo også "Black Hat" territory, så dvs. at de gode
hackere (fåtallet) oftest har exploits til kendt software, de holder
godt indtil kroppen da det er det der gør dem "seje" i det samfund - man
deler ikke exploits - uden at få tilsvarende godter tilbage :)

Dermed forklares også hvorfor der nogen gange kan gå lang tid, fra et
hul er blevet fundet og udnyttet af enkelt(e) hackere, til det bliver
vidt kendt og lukket.

Det er langt nemmere at se changelog'en/cvs loggen for et projekt
igennem og se efter ting der plejer at kunne udnyttes på den ene eller
anden måde, end det er at skulle finde sine egne bugs der kan udnyttes
og derfor mener jeg at man skal passe på at stole på security
backportede versioner.

> Hvis man derimod hopper på den der opgraderingsvogn, får man konstant
> nye features, der ikke alle er lige velafprøvede, og det synes jeg tit
> man ser medfører nye sikkerhedsproblemer.
> 
Fuldstændig rigtigt. Det er lidt et valg imellem 2 onder om man vil :)

Det er nu min overbevisning at det er mest besværligt at finde nye bugs,
for derefter at skulle finde på exploits til dem, fremfor at "bare"
finde exploits til gamle bugs.

-- 
Regards,
Klavs Klavsen, GSEC, klavs@xxxxxxxxxxx, http://www.EnableIT.dk 
Open Source Server, Security and Network Consulting
Phone: +45 3284 4372 Mobile: +45 2342 4372
PGP: 7E063C62/2873 188C 968E 600D D8F8  B8DA 3D3A 0B79 7E06 3C62

See our new managed CMS Hosting Service at http://www.VirkPaaNettet.dk

"Open Source Software - Sometimes you get more than you paid for."

Follow ups

Re: Distributioner og sikkerhed
From: Henrik Christian Grove, 2003-10-17
Re: Distributioner og sikkerhed
From: Henrik Ishøy, 2003-10-17

References

Distributioner og sikkerhed
From: Janus Sandsgaard, 2003-10-16
Re: Distributioner og sikkerhed
From: Kim Schulz, 2003-10-16
Re: Distributioner og sikkerhed
From: Klavs Klavsen, 2003-10-16
Re: Distributioner og sikkerhed
From: Henrik Christian Grove, 2003-10-17