[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: vim modeline vulnerability - Woody

Juergen Descher schrieb:
> Dort wird der Bug beschrieben, Datiert am: Date: 12 December 2002.
> Ausprobiert - und :(((  Mein vim ist anfällig. In einer "stable"

In Unstable ist seit 26.11. ein work-around, der Fix seit 24.12. :-D

> Also NIX resolved !!! Für mich und alle anderen (uninformierten)
> nicht. Und eine einfache Abhilfe bis zum eintreffenden Fix wäre die
> Deaktivierung der modeline im rc-file - so einfach. Auch beachte man
> die Zeitverzögerung von ca. 1/2 Monaten!

Die Ersten waren diesmal RedHat am 16.1., SuSE und Debian haben noch 
keinen Fix draussen. Der Grund dürfte für beide ähnlich sein, dort die 
Zahl der Produkte und bei Debian die Zahl der Architekturen. Eine 
Verzögerung von einigen Wochen bis Monaten ist nicht so ungewöhnlich.

Der Wunsch, dass jeder Bug in 24h einen Fix hat ist unrealistisch. Und 
wie sich in den letzten Jahren gezeigt hat, auch nicht notwendig. Die 
ernsthaften Sicherheitsereignisse (Würmer, etc.) basierten regelmässig 
auf Lücken die schon länger gefixt waren. Ebensfalls fast durchgängig 
ist der Trend, dass Würmer offensichtlich auf Sicherheitswarnungen oder 
(wie z.B. bei SQL Slammer) entsprechenden Proof of Concepts der 
Sicherheitswarnungen aufbauen.

Auch wenn ich ein Anhänger der schonungslosen Veröffentlichung bin, 
muss man sagen, Wasser auf die Mühlen derjeniger, die bis zum 
Erscheinen eines Fixes lautloses Arbeiten empfehlen. Nicht ohne Grund 
hat diese Praxis (ganz lautlos :-) auch im OSS-Umfeld Einzug gehalten.

> debian-security nicht abonniert. Dachte sec-announce würde reichen.
> In so einen Fall könnten die doch eine Warnung herausgehen _obwohl_
> noch keine gefixte Version erhältlich ist - oder?

Wäre vielleicht nicht schlecht, aber wie soll das funktionieren? Was Du 
als bedrohlich empfindest, empfinde ich als unproblematisch. Müsste 
alles veröffentlich werden, was nur irgend jemand als bedrohlich 
empfinden könnte, hast Du eine Liste mit sehr hohem Volumen, wo sich 
jeder mühsam das heraus picken muss, was für ihn selbst relevant 
erscheint. Solche Listen gibt es schon, z.B. bugtraq. 

Der Bug ist theoretisch sehr gefährlich, aber ist das auch in der 
Praxis realistisch? Jeder Schlüsseldienst verfügt über Werkzeug 95% 
aller Türen in weniger als 60 Sekunden spurlos zu öffnen. Kann man es 
sich aufgrund dieses theoretischen Sachverhalts in Zukunft sparen 
abzuschliessen oder überhaupt Türen einzubauen?

> Wieviele ähnliche und bekannte Grave functionality Bugs befinden sich 
> noch auf meinem woody?

42

> Muss ich jetzt alle Pakete abklappern ?-)

Wenn nicht Du, wer sonst...

-- 
rainer@ellinger.de
Reply to: