sslug-teknik team mailing list archive

Thread
Date

Re: Distributioner og sikkerhed

To: sslug-teknik@xxxxxxxx
From: Henrik Christian Grove <grove@xxxxxxxx>
Date: 17 Oct 2003 18:44:10 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Skåne Sjælland Linux User Group
Sender: grove@xxxxxxxxxxxxxxxx
User-agent: Gnus/5.0808 (Gnus v5.8.8) Emacs/21.2

Klavs Klavsen <kl@xxxxxxx> writes:

> > Jeg kan ikke huske hvornår jeg sidst har set et eksempel på det, men
> > jeg ved at jeg tit ser rettelser til sikkerhedsproblemer, der bliver
> > betgenet "sandsynligvis umulige at udnytte" eller lign. 
> > 
> rigtigt. Men i rigtig mange tilfælde (check cvs logs/changelogs), så
> bliver bugs ikke betegnet som værende sikkerhedsbugs, og jeg mindes at
> have hørt om op til flere tilfælde, hvor en normal fejl, faktisk viste
> sig at kunne udnyttes.

Indtil jeg ser noget dokumentation, holder jeg mig til mine egne
observationer som siger at det forekommer meget sjældent.

> Nu er hackerland, jo også "Black Hat" territory, så dvs. at de gode
> hackere (fåtallet) oftest har exploits til kendt software, de holder
> godt indtil kroppen da det er det der gør dem "seje" i det samfund - man
> deler ikke exploits - uden at få tilsvarende godter tilbage :)

Det er da fuldstændig ligegyldigt. Så længe det kun er "black hats" der
kender til en fejl, er den jo heller ikke rettet i nyeste version.

> Det er langt nemmere at se changelog'en/cvs loggen for et projekt
> igennem og se efter ting der plejer at kunne udnyttes på den ene eller
> anden måde, end det er at skulle finde sine egne bugs der kan udnyttes
> og derfor mener jeg at man skal passe på at stole på security
> backportede versioner.

Og indtil jeg ser noget dikumentation for at det der er andet, end et
forsøg på at refærdiggøre at man bare opgraderer i stedet for kun at
rette problemerne, bliver jeg ved med at stole på at backportede
versioner. 

> > Hvis man derimod hopper på den der opgraderingsvogn, får man konstant
> > nye features, der ikke alle er lige velafprøvede, og det synes jeg tit
> > man ser medfører nye sikkerhedsproblemer.
> > 
> Fuldstændig rigtigt. Det er lidt et valg imellem 2 onder om man vil :)

Ja, jeg mener bare statistikken taler sit tydelige sprog. Derudover
synes jeg det er interessant at jeg aldrig har hørt nogle bruge
sikkerhed som argumention *for* (men ofte imod) opgraderingsræs, før
Mandrake og gentoo blev populære.

.Henrik

-- 
Registreret Linux bruger nummer 61622
Registrer dig selv på http://counter.li.org/

References

Distributioner og sikkerhed
From: Janus Sandsgaard, 2003-10-16
Re: Distributioner og sikkerhed
From: Kim Schulz, 2003-10-16
Re: Distributioner og sikkerhed
From: Klavs Klavsen, 2003-10-16
Re: Distributioner og sikkerhed
From: Henrik Christian Grove, 2003-10-17
Re: Distributioner og sikkerhed
From: Klavs Klavsen, 2003-10-17