Re: vim modeline vulnerability - Woody
Hallo Rainer,
Quoting Rainer Ellinger <rainer@ellinger.de> (Don, 13 Feb 2003, 08:43:18):
> Juergen Descher schrieb:
> > Dort wird der Bug beschrieben, Datiert am: Date: 12 December 2002.
> > Ausprobiert - und :((( Mein vim ist anfällig. In einer "stable"
>
> In Unstable ist seit 26.11. ein work-around, der Fix seit 24.12. :-D
So viel zu "stable ,testing oder unstable - was soll ich nehmen?" ;>
> > Also NIX resolved !!! Für mich und alle anderen (uninformierten)
> > nicht. Und eine einfache Abhilfe bis zum eintreffenden Fix wäre
> > die Deaktivierung der modeline im rc-file - so einfach. Auch
> > beachte man die Zeitverzögerung von ca. 1/2 Monaten!
>
> Die Ersten waren diesmal RedHat am 16.1., SuSE und Debian haben noch
> keinen Fix draussen. Der Grund dürfte für beide ähnlich sein, dort
> die Zahl der Produkte und bei Debian die Zahl der Architekturen.
> Eine Verzögerung von einigen Wochen bis Monaten ist nicht so
> ungewöhnlich.
Was ich auch damit ausdrücken wollte ist, dass wenn man auf die Debian
Bug-Seite geht und sieht, dass dieser Bug als gefixt gekennzeichnet
ist aber erst später feststellt, dass er aber noch nicht in Pakete
eingeflossen ist: Das finde ich irgendwie irreführend. Nebenbei
bemerkt finde ich die Auflistung eines nicht in die Pakete
eingeflossen Bugfix _unten_ auf der Seite ein wenig unübersichtlich.
Es ist doch keine Seite die hauptsächlich von Entwicklern genutzt wird
-oder? Also ich schaue schon des öfteren dort nach. Muss aber zugeben
oftmals nur in dem oberen Bereich der Seite. Bis jetzt, man lernt ja.
BTW, wenn ich über einen Bug in einem (woody-)Paket informiert bin,
kann ich mir auch evtl. selbst ein gefixtes bauen.
> Der Wunsch, dass jeder Bug in 24h einen Fix hat ist unrealistisch.
> Und wie sich in den letzten Jahren gezeigt hat, auch nicht
> notwendig. Die
[...]
Noch einmal: Das habe ich auch nicht erwartet - oder gewünscht.
> Auch wenn ich ein Anhänger der schonungslosen Veröffentlichung bin,
> muss man sagen, Wasser auf die Mühlen derjeniger, die bis zum
> Erscheinen eines Fixes lautloses Arbeiten empfehlen. Nicht ohne
> Grund hat diese Praxis (ganz lautlos :-) auch im OSS-Umfeld Einzug
> gehalten.
Dies kann ich nicht unbedingt als wünschenswerte Praxis erachten.
Gerade auch schnelle Infos über Bugs schätze ich an Linux. Und debian
war auch bis jetzt (bei den fixes in Paketen muss ich ja jetzt sagen)
auch ziemlich schnell. Oftmals zumindest schneller als SuSE.
> > debian-security nicht abonniert. Dachte sec-announce würde
> > reichen. In so einen Fall könnten die doch eine Warnung
> > herausgehen _obwohl_ noch keine gefixte Version erhältlich ist -
> > oder?
>
> Wäre vielleicht nicht schlecht, aber wie soll das funktionieren? Was
> Du als bedrohlich empfindest, empfinde ich als unproblematisch.
> Müsste alles veröffentlich werden, was nur irgend jemand als
> bedrohlich empfinden könnte, hast Du eine Liste mit sehr hohem
> Volumen, wo sich jeder mühsam das heraus picken muss, was für ihn
> selbst relevant erscheint. Solche Listen gibt es schon, z.B.
> bugtraq.
Moment. Es gibt doch auf www.debian.org/bugs auch eine Klassifizierung
der Bugs - oder? Die könnte man doch zu Rate ziehen. Und wenn
debian-security-announce nicht die geeignete Liste ist, kann man ja
notfalls eine neue aufmachen. In der werden dann alle bis jetzt als
"Important" oder "Grave" klassifizierten Bugs veröffentlicht - bzw auf
"Debian Bug report" verwiesen. Diese Liste mit "hohem Volumen" zu
aboniert kann sich ja jeder selbst überlegen. Ich jedenfalls würde es
tun. Somit bräuchte ich (J. D. der auch gerne faul ist) mich nur noch
gezielt um debian-fremde Software auch der/den Kisten zu kümmern.
> Der Bug ist theoretisch sehr gefährlich, aber ist das auch in der
> Praxis realistisch? Jeder Schlüsseldienst verfügt über Werkzeug 95%
> aller Türen in weniger als 60 Sekunden spurlos zu öffnen. Kann man
> es sich aufgrund dieses theoretischen Sachverhalts in Zukunft sparen
> abzuschliessen oder überhaupt Türen einzubauen?
Nun in diesem Fall kann aus der Theorie aber schnell grausame Realität
werden. Und dies geht sowohl remote wie auch lokal. Ich möchte einmal
behaupten, dass vim _sehr_ oft genutzt wird. Eben auch als root über
sudo und dann sind die User-Einstellungen aktiv.
[...]
> > Muss ich jetzt alle Pakete abklappern ?-)
>
> Wenn nicht Du, wer sonst...
Dies war nebenbei bemerkt ironisch, man beachte das "?-)", denke aber
Deine Bemerkungen auch. ;>
Ausdrücken wollte ich damit nur, dass ich mich ab jetzt eigentlich als
völlig uninformiert (durch debian-security-announce) ansehe. Ein
ähnliches Ergebnis unter woody würde ein regelmäßiges "apt-get update"
und ein grep auf "http://security.debian.org stable/updates" und
"Downloaded" -oder etwas ähnliches- ergeben. Oder? Ergo brauche ich
diese Liste nicht.
"Wofür sollte ich woody einsetzen?" "Für produktive Systeme, Server
o.ä."
Aber ich drehe mich im Kreis ...
cu
Juergen
Reply to: