|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
Von Anonymer Feigling am Tuesday 18. June, 14:09 MES (#1)
|
|
|
|
|
Also der Hinweis auf die Tatsache, dass ISS einerseits Microsoft bei der Forderung unterstützt (und sich bei MS-Bugs wohl auch daran hält), erst den Hersteller über Bugs zu informieren und die Öffentlichkeit erst nach 30 Tagen, dieses Vorgehen aber in diesem Fall wohl nicht für nötig hält, ist doch durchaus interessant und als "zeilenschinden" würde ich das nicht bezeichnen...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich weiss ja auch, dass es fuer die Entwickler unangenehm ist, wenn die ganze Welt weiss, dass ihr Produkt verwundbar ist. Aber ist es nicht etwas naiv zu Glauben, dass diese Sicherheitslücken nicht genutzt werden, wenn nichts bekannt wird (Security by obcurity). Denn: Wie kommen die Sicherheitsfirmen an die Infos? Zum grossen Teil, werden si ja von Leuten oder anderen firman drauf aufmerksam gemacht! Und glauben die alle wirklich, dass wenn die Sicherheitfirmen nichts veröffentlichen, die Information "geheim" bleibt?
Die echten Cracker haben doch eh auch noch andere IInformationsquellen als diese Sicherheitslisten! Nun wissen es halt auch die Scripkiddies! Was solls!
Aergerlich ist natuerlich die Sache mit der ungleichen Behandlung... aber das sit halt ned Sache dieser Firma!
cu
kruemi
--
auch die Zehe ist ein Laufwerk
|
|
|
|
|
|
|
|
|
|
|
|
|
> Aergerlich ist natuerlich die Sache mit der ungleichen Behandlung...
> aber das sit halt ned Sache dieser Firma!
Hier gilt eine Binsenweisheit: Was dich nicht umbringt, macht dich nur härter.
Hier haben wir jetzt eine echte Notfallübung. AFAIK gibt es noch keinen Exploit, aber das ist vermutlich nur eine Frage der Zeit. Eine extrem gute Gelegenheit Überlegenheit zu demonstrieren.
Im CVS ist zumindest die
Ankündigung für 1.3.25 schon drin. Wenn alles gut geht, ist es nur eine Frage von Stunden bis die neue Version auf http://www.apache.org/dist/httpd/ liegt. Die Distributionen sollten es dann bis Freitag schaffen, ein Update rauszubringen. Und dann kommt es auf jeden einzelnen Anwender an, ob das Update auch eingespielt wird.
Sollten wir (äh, wer auch immer das ist) es wirklich schaffen, innerhalb einer Woche, mit minimaler Vorwarnzeit, eine grobe Sicherheitslücke weltweit auszumerzen - ja, dann kann dieses Ereigniss zu einen triumphalen Sieg werden.
--
Ich bin ein Teletubby. Und das ist auch gut so.
|
|
|
|
|
|
|
|
|
|
|
|
|
Dass "Security by obscurity" Mist ist wurde mir auch letzthin wieder klar, als jemand (recht glaubhaft) erzähle, er hätte sich eine grosse Website mitsamt Datenbank lauffähig auf seinen Laptop geladen. Das einzige Problem war, die IP des Datenbank-Rechners zu finden. So lange die IP vom gleichen Provider kommt ist das ja schnell einmal durchgescannt...
Es war sicher unfreundlich, gleich *so* schnell an die breite Öffentlichkeit zu gehen; einen Tag später hätte IMHO auch noch gereicht. Aber die Veröffentlichung an sich war absolut notwendig, um den Druck aufzubauen (über den sich die Apache-Entwickler momentan gerade beschweren).
Der Knochen
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 19. June, 00:04 MES (#8)
|
|
|
|
|
Ja, die Veröffentlichung als solche ist auf jeden Fall richtig - es ist nur etwas seltsam, wenn eine Firma sich hinstellt und mit M$ im Chor brüllt, das alles so gefählrich wäre, Informations-Anarchie, etc. und dann sich an die selbst mit aufgestellten Regeln nicht mehr hält...
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 18. June, 19:38 MES (#5)
|
|
|
|
|
Das Problem bei Apache ist, das viele Leute ihn einsetzen, ohne das sie tatsaechlich alle features benoetigen. Die Rechnung ist simpel: Je mehr Features, desto mehr Bugs. Und ich denke mal, in 30% aller faelle in denen apache eingesetzt wird, waer was kleineres wie z.B. fnord (fefe.de) passender.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Selbstverständlich profitiert Apache auch von seiner popularität. Dies ist zu berücksichtigen bevor man die Behauptung macht, dass die Anzahl Bugs im Verhältnis zu der Anzahl Features steht.
|
|
|
|
|
|
|
|
|
|
|
|
|
Wäre nett gewesen, gleich im Artikel darauf hinzuweisen, dass dieser BO nur auf Apache/win32 wirklich realistisch ausgenutzt werden kann.
Zitat Advisory: "Apache 1.x for Unix contains the same source code, but X-Force believes that successful exploitation on most Unix platforms is unlikely."
Jetzt hätte ich schon BEINAHE nen neuen Apache kompiliert :)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ist ja schon komisch: bei apache werden entwickler unter druck gesetzt - aber was wäre geschehen, wenn ISS einen solchen bug im IIS von MS gefunden hätte? ISS' einverständnis, erst 30 tage _nach_ dem patch einen bug zu veröffentlichen, steht doch im krassen gegensatz dazu.
wollte da jemand zeigen, apache sei im vergleich zu IIS mehr von bugs durchtränkt?
|
|
|
|
|
|
|
