sslug-teknik team mailing list archive

Thread
Date

Re: Distributioner og sikkerhed

To: sslug-teknik@xxxxxxxx
From: Klavs Klavsen <kl@xxxxxxx>
Date: Fri, 17 Oct 2003 16:50:21 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Enable IT

On Fri, 17 Oct 2003 01:07:48 +0200
Jacob Sparre Andersen <sparre@xxxxxx> wrote:

> Klavs Klavsen skrev:
> 
> > IMHO er det godt, da et backport af security fixes, ikke
> > nødvendigvis sikrer dig, da der oftest viser sig at være bugfixes,
> > der egentlig også var security fixes, men bare ikke blev opdaget som
> > værende dette. Disse bugfixes bliver så ikke backportet i f.ex.
> > RedHat, og en angriber, kan så "bare" kigge Changelog'en/cvs og se
> > om han kan finde en bugfix, der kan udnyttes. Ved den seneste
> > version, er der ingen kendte bugs der kan udnyttes (oftest
> > ihvertfald) og dermed skal han først finde bugs, før han kan finde
> > måder at udnytte dem på.
> 
> Kan du komme med nogle konkrete eksempler på sikkerhedshuller, der af 
> ovennævnte grund ikke er blevet lukket?
> 
> Så vil jeg i mellemtiden gå på jagt efter eksempler på at
> opgraderinger til nyere udgaver har åbnet nye sikkerhedshuller.
> 
> Jacob
> 
> PS: Andre må gerne hjælpe (både med at finde eksempler på det ene og
> det
>      andet).

Det er lidt for stor en opgave for mig at gå igang med.

Det står ihvertfald fast, at næsten hver gang en fejl findes i nyeste
version af div. software, som anses for at have sikkerhedsmæssige
implikationer og derfor angives på Bugtraq/CVE, er tidl. versioner også
sårbare.

Som det nævnes, så er der oftest tvivl om hvorvidt en fejl kan have
sikkerhedsmæssige implikationer og hvor ofte en sådan bliver fundet og
angivet som en sikkerhedsmæssig fejl (inkl. hele bugtraq/cve køren) og
hvor ofte den bare bliver rettet i CVS, fordi mange ikke har ekspertisen
til at se dette (det er også meget komplekst og vi ser jo konstant nye
måder at udnytte div. fejl på) afhænger af hvem der udvikler softwaren
det lige drejer sig om. I dette tilfælde drejer det sig om alt software
der kan udnyttes remote (for bare at tage de værste sikkerhedshuller -
remote exploits).

Jeg har ikke nogen mulighed for at lave statistik på dette, og det vil
klart være et stort arbejde at lave en sådan, men min logik siger mig at
når man konstant finder sikkerhedsmæssige implikationer i fejl, som har
været det hele tiden og man mange steder kan læse at det kan være endog
MEGET svært at se om en fejl kan have sikkerhedsmæssige implikationer og
der til sidst, men ikke mindst konstant findes nye måder at udnytte
gamle problemer på, så lyder det logisk for mig at der må være mange
uopdagede fejl, men også mange normale bugfixes, som ikke lige er blevet
identificeret som værende et sikkerhedsmæssigt problem.

Hvis du har en god idé til hvordan man kunne gribe sådan en statistik
an, ville det klart være velkomment. Måske nogen har tid til at arbejde
på en sådan - et papir vedr. dette, ville nok være MEGET interesssant
for hele sikkerhedssamfundet, så lidt fame kunne man jo nok få ud af
det, hvis rapporten var sagligt udarbejdet :)

-- Regards,
Klavs Klavsen, GSEC, klavs@xxxxxxxxxxx, http://www.EnableIT.dk 
Open Source Server, Security and Network Consulting
Phone: +45 3284 4372 Mobile: +45 2342 4372
PGP: 7E063C62/2873 188C 968E 600D D8F8  B8DA 3D3A 0B79 7E06 3C62

See our new managed CMS Hosting Service at http://www.VirkPaaNettet.dk

"Open Source Software - Sometimes you get more than you paid for."

References

Distributioner og sikkerhed
From: Janus Sandsgaard, 2003-10-16
Re: Distributioner og sikkerhed
From: Kim Schulz, 2003-10-16
Re: Distributioner og sikkerhed
From: Klavs Klavsen, 2003-10-16
Re: Distributioner og sikkerhed
From: Jacob Sparre Andersen, 2003-10-17