Am 03.11.2013 16:26, schrieb Dirk Wernien: > Am Sonntag, 3. November 2013, 16:13:24 schrieb Jan Kappler: > > Hallo Jan, > > >> es ist durchaus sinnvoll, zusätzlich die entsprechenden Mailinglisten >> zu abonnieren, wie bereits von Marco Maske geschrieben. Dann kann >> man vergleichen, ob die Updates auch korrekt sind oder jemand >> vielleicht das Repository kompromittiert hat und versucht, >> gefälschte Updates zu verbreiten. >> > Äh, echt? Ich habe noch nie eine MD5 Prüfsumme o.ä. in den Security > Advisories auf debian-security-announce gefunden die mir helfen könnte > eine mögliche Kompromittierung zu testen. > > Es ist lediglich ein Hinweis, wie der Name ja auch sagt, daß ein Update > zur Verfügung steht und welche Fehler damit behoben werden sollen. > > Wie kannst Du damit eine mögliche Kompromittierung erkennen? > > Grüßilies > dirk > Gute Frage! Ich meine damit lediglich, das man Unterschiede zwischen debian-security-announce und dem "Angebot" des Repositorys sehen kann, wenn man vergleicht. Das Repository liegt immerhin auf vielen Spiegel-Servern und ich schätze, eine Möglichkeit einer Kompromittierung kann nicht zu 100 % ausgeschlossen werden. Das aber Repository _und_ Mailingliste kompromittiert werden, ist unwahrscheinlicher, schätze ich. Anders gesagt: Bietet apt ein Sicherheits-Update eines Paketes an, das auf debian-security-announce nicht auftaucht, sollte man vielleicht stutzig werden. An Horst Felder: Keine Ahnung, ich hatte bisher keinen Fall, der verdächtig ausgesehen hat. Ausschließen lässt sich so etwas aber nie, wie die Fälle von Kompromittierung bei verschiedenen großen Projekten schon gezeigt haben. Eine korrekte Überprüfung geht natürlich nur mit den Prüfsummen und Signaturen. -- Mit freundlichem Gruß Jan Kappler
Attachment:
signature.asc
Description: OpenPGP digital signature