On Thu, 2007-06-28 20:25:01 +0200, Holger Levsen <holger@layer-acht.org> wrote:
> Debian-Edu etch wird Cipux nicht enthalten und wohl auch nicht empfehlen, es
> einzusetzen, weil es unfertige Software ist (die einen höchst sensiblen
> Sicherheitskritischen Verwendungszweck hat).
>
> Cipux wird dazu benutzt, daß LDAP mit root-Rechten zu konfigurieren, d.h. wer
> Cipux hackt, hackt alle angeschlossenen Rechner. Dabei verfügt der Code (nach
> der Aussage von drei unabhängigen Prüfern) über keine Input-Validierung
> (*ALARMGLOCKEN schrill*). Zusätzlich äußerte sich der Author vor etwa einem
> Monat gegenüber der Nicht-Verwendung des Taintmodes für die auch mit
> root-Rechten laufenden Dämonen so: "Der Zweck von taint-Mode ist für
> Lehrzwecke" - was erschreckendes Unwissen (sorry) zum Thema deutlich macht.
> (Details im Archiv der Cipux-Liste und siehe unten.)
Erm... Wie war das noch gleich mit dem Konzept vom defensiven
Programmieren?
MfG, JBG
--
Jan-Benedict Glaw jbglaw@lug-owl.de +49-172-7608481
Signature of: Eine Freie Meinung in einem Freien Kopf
the second : für einen Freien Staat voll Freier Bürger.
Attachment:
signature.asc
Description: Digital signature