Lindermann:
>
> "Übrigens ist damals wie heute die korrekte Reaktion nicht "mal die
> Pakete updaten" sondern "mal das System komplett frisch aufsetzen"."
Im Prinzip ja.
Ich habe hier oder auf der englischen Liste mal für hochgezogene
Augenbrauen gesorgt, weil ich darauf hingewiesen habe, dass ein Eintrag
in der sources.list gleichbedeutend damit ist, dem Repository-Admin root
zu geben. Die Sicherheitslücke nimmt Dir sozusagen auch noch die Wahl,
welches Repository Du benutzt. Deswegen finde ich die Einstufung als
"remote code execution" auch für richtig. Das fehlte meiner Meinung nach
in dem Advisory von 2014, das fefe auch verlinkt hat.
Praktisch werde ich auf diese Lücke aber auch nicht reagieren. Dass ich
angegriffen wurde, halte für sehr unwahrscheinlich.
J.
--
I often blame my shortcomings on my upbringing.
[Agree] [Disagree]
<http://archive.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature