On Thu, 2007-06-28 20:25:01 +0200, Holger Levsen <holger@layer-acht.org> wrote: > Debian-Edu etch wird Cipux nicht enthalten und wohl auch nicht empfehlen, es > einzusetzen, weil es unfertige Software ist (die einen höchst sensiblen > Sicherheitskritischen Verwendungszweck hat). > > Cipux wird dazu benutzt, daß LDAP mit root-Rechten zu konfigurieren, d.h. wer > Cipux hackt, hackt alle angeschlossenen Rechner. Dabei verfügt der Code (nach > der Aussage von drei unabhängigen Prüfern) über keine Input-Validierung > (*ALARMGLOCKEN schrill*). Zusätzlich äußerte sich der Author vor etwa einem > Monat gegenüber der Nicht-Verwendung des Taintmodes für die auch mit > root-Rechten laufenden Dämonen so: "Der Zweck von taint-Mode ist für > Lehrzwecke" - was erschreckendes Unwissen (sorry) zum Thema deutlich macht. > (Details im Archiv der Cipux-Liste und siehe unten.) Erm... Wie war das noch gleich mit dem Konzept vom defensiven Programmieren? MfG, JBG -- Jan-Benedict Glaw jbglaw@lug-owl.de +49-172-7608481 Signature of: Eine Freie Meinung in einem Freien Kopf the second : für einen Freien Staat voll Freier Bürger.
Attachment:
signature.asc
Description: Digital signature