Re: Was macht eigentlich security.debian.org?

To: Sven.Hartge@mni.fh-giessen.de
Cc: debian-user-german@lists.debian.org
Subject: Re: Was macht eigentlich security.debian.org?
From: Oliver Egginger <Oliver.Egginger@dvz.fh-giessen.de>
Date: 27 May 2003 11:44:46 +0200
Message-id: <[🔎] 1054028686.27244.91.camel@chaos.dvz.fh-giessen.de>
In-reply-to: <[🔎] E19KPI0-0000E4-NO@ds9.argh.org>
References: <[🔎] 1053950240.15968.92.camel@chaos.dvz.fh-giessen.de> <[🔎] E19KPI0-0000E4-NO@ds9.argh.org>

Am Mon, 2003-05-26 um 23.13 schrieb Sven Hartge: 
> Oliver Egginger <Oliver.Egginger@dvz.fh-giessen.de> wrote:
> 
> > Leider wurde keines der Sicherheitsproble dadurch gelöst, was erst
> > einmal nicht weiter tragisch ist, da es bis auf eine Ausnahme keine
> > schwerwiegenden Probleme waren (zumindest nicht für mich).
> 
> Welche wären das denn, die nicht behoben worden sein sollen?

Nessus meldet ein OpenSSH-portable 3.6.1p1, welches, in Verbindung mit
dem PAM-Mechanismus, eine "brute force"-Attacke gestatten soll.
Ebenso wir auch weiterhin der "Etherleak" gemeldet (auch unter dem
2.4.20er Kernel).
Für Details siehe:
http://www.atstake.com/research/advisories/2003/atstake_etherleak_report.pdf

Leider wird in dem obigen Dokument ein anderer Treibertyp diskutiert,
als der der im 2.4.20er Kernel eingesetzt wird.
Der aktuelle Linux-Kernel verwendet den Treiber 8139too.c, besprochen
wird aber das Programm rtl8139.c.
Für Einzelheiten zu den Unterschieden der beiden Treiber-Programme
siehe:
http://www.scyld.com/network/rtl8139.html

Mandrake benutzt ebenfalls das Treiber-Programm 8139too.c in der selben
Version  wie ich jetzt unter Debian.
Bei Mandrake meldet Nessus jedoch nichts.
Den Grund dafür kenne ich noch nicht und habe jetzt auch nicht die Zeit
weiter danach zu suchen.

Es kann durchaus sein, dass es sich um einen Fehlalarm handelt.

> > Wird der Kernel nicht ueber http://security.debian.org/ mit
> > aktualisiert?
> 
> Bei entsprechenden Lücken wird ein neues Kernel-Paket dort zur Verfügung
> gestellt, alle Sicherheitsupdates fliessen dann natürlich in ein neues
> Release von Debian Stable ein.
> 
> > Warum ist der SSH-Dienst nicht aktualisiert worden, obwohl auch er
> > bei Nessus Sichheitswarnungen verursacht?
> 
> Bei Nessus bin ich immer vorsichtig, das Ding schießt sehr gerne über
> das Ziel hinaus.

Man muss sich eben immer klar machen was ein Programm eigentlich tut und
nicht sturr nach dessen Meldungen gehen.
Ich muss mich demnächst einfach mal etwas besser mit Nessus
beschäftigen.
(Siehe E-Mail von joerg@schuetter.org : "false positives bei Nessus".)

> Das aktuell über security.debian.org verfügbare openssh-Paket behebt
> alle bekannten Sicherheitslücken in SSH.

- oliver

Reply to:

Follow-Ups:
- Re: Was macht eigentlich security.debian.org?
  - From: "Sven Hartge" <hartge@ds9.argh.org>

References:
- Was macht eigentlich security.debian.org?
  - From: Oliver Egginger <Oliver.Egginger@dvz.fh-giessen.de>
- Re: Was macht eigentlich security.debian.org?
  - From: Sven Hartge <sven.hartge@mni.fh-giessen.de>

Prev by Date: XMess/XMame
Next by Date: Re: Was macht eigentlich security.debian.org?
Previous by thread: Re: Was macht eigentlich security.debian.org?
Next by thread: Re: Was macht eigentlich security.debian.org?
Index(es):
- Date
- Thread