symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Aktiver Linux-Wurm Slapper
Veröffentlicht durch xilef am Samstag 14. September, 11:29
Aus der wer-nicht-upgradet-den-bestraft-Slapper Abteilung
Security Ein de.internet.com-Artikel berichtet von einem Linux-Wurm namens Slapper, der sich dank einer Sicherheitslücke in OpenSSL über Apache-Webserver weiterverbreitet. Laut Netcraft seien noch viele Apaches ungepached, ein Upgrade auf OpenSSL 0.9.6g sei dringend nötig.

Da stellt sich die vielleicht ketzerische Frage, ob anscheinend viele Linux-Administratoren nicht besser sind als ihre Windows-Kollegen und die nötigen Upgrades nur schlampig bis gar nicht durchführen?

Die Expo02 in 3,5 Tagen | Druckausgabe | Düsseldorf sperrt Websites jetzt sofort  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Linux
  • de.internet.com-Artikel
  • Netcraft
  • Mehr zu Security
  • Auch von xilef
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    server check program? (Score:1)
    Von swix (swix@linuxfr.org) am Saturday 14. September, 12:01 MEW (#1)
    (User #539 Info)
    Gibt es irgendo ein check program, das melden kann ob einen server eine "sichere" openssl version verwendet ? (es gibt zB 0.9.6b versionen die sicher (dank patch) sind).


    2e90144d17cf6819fb22006885cd231e
    ...nicht besser als windows admins.... (Score:0)
    Von Anonymer Feigling am Saturday 14. September, 13:01 MEW (#2)
    ich denke das hat viel damit zu tun wie einfach ein system zu bedienen ist. den M$ IIS bringt man mit 5 mal auf "weiter >>" klicken auf die festplatte. und dann wartet man eben auf die sp's - wenn überhaupt. bei linux ist das auch so geworden. man kauft sich ne suse/mandrake/... box im nächsten laden. einlegen. 5 mal auf weiter drücken. dann schnell yast starten und das zeugs installieren. dann vergessen. ich denke hier ist das problem. das viele es als ein stück software wie m$ word behandeln. leicht zu installieren, leicht zu konfigurieren und dann vergessen. wenn man aber selber kernel backt und bücher/texte liest über den indianer lernt man viel über das system und über sicherheit. man ist sich eher bewusst was man da macht. bei code red war es auch noch ein begeschmack von "na mir doch gleich wenn mein system infiziert ist. der wurm zerstört ja nichts." greets bsd-nerd
    Da hast Du höchstwahrscheinlich recht... (Score:0)
    Von Anonymer Feigling am Saturday 14. September, 13:21 MEW (#3)
    Ich bin Netzwerkadmin bei einem kleinen Softwarehaus und habe öfters auch auf Kundenmaschinen zu tun. Und vor ein paar Wochen ruft der Admin eines Kunden an und fragt, ob wir vielleicht das Root-Passwort auf seiner Linux-Kiste geändert hätten...? Natürlich war das nicht der Fall; zur Überprüfung der Sache logge ich mich über unseren Useraccount ein und schaue mich mal ein wenig im Dateisystem um. Hmm, woher kommen denn die seltsamen "Hackerspeak"-Usernamen mit UID 0 in /etc/passwd? Die weitere Untersuchung ergab dann, dass ein Scriptkiddie über eine seit Monaten bekannte SSH-Sicherheitslücke ein Rootkit installiert hatte. Für dieses Loch gab es auch schon längst einen Patch des entsprechenden Linux-Distributors, aber leider war dem verantwortlichen Admin das Konzept des Sicherheitsupdates wohl gänzlich unbekannt...

    Tja Jungs, wenn die erreichbaren Dienste nicht ordnungsgemäß gewartet werden, dann nützt auch die schönste Firewall nix mehr...:->
    Re:Da hast Du höchstwahrscheinlich recht... (Score:1)
    Von Seegras am Monday 16. September, 08:41 MEW (#15)
    (User #30 Info) http://www.discordia.ch
    Rat mal wieviel von solchen Dingern ich schon untersucht habe... ich hab aufgehört zu zählen. Und ja, alles Fire-and-Forget Linuxkisten unter SuSE, Redhat und Slackware.
    --
    "The more prohibitions there are, The poorer the people will be" -- Lao Tse
    Rekapitulation (Score:0)
    Von Anonymer Feigling am Saturday 14. September, 14:05 MEW (#4)
    Unter win32 ist also m$ schuld, unter Linux der Admin, richtig?
    Re:Rekapitulation (Score:1)
    Von tbf am Saturday 14. September, 14:27 MEW (#6)
    (User #21 Info) http://taschenorakel.de/
    Ja: Denn Windows ist eine Blackbox. Man hat andere Wahl, als auf die Fixes von Microsoft zu warten -- wenn der Bug denn gefixt wird. Hinzu kommt die z.T. katastrophale Systemarchitektur von Windows.

    Linux hingegen ist ein Whitebox-System: Man kann soweit man will eintauchen. Hinzukommt, dass Fixes für Unix-Deamons schnell gefixt werden, kein Sicherheitsloch lange ungefixt bleibt. Im Gegensatz zum Windows-Admin hat der Pinguin-Admin die Chance seine Kiste halbwegs dicht zu bekommen. Wenn er die nicht ergreift, ist es in der Tat ein Administrationsproblem.

    Nicht auslassen möchte ich aber trotzdem die Bemerkung, dass auch bei Windows-Systemen der Admin oft einen grossen Anteil am Problem hat - nur leider eben ist ein Windowsystem, auch aufgrund der komplexen Interaktion der installierten Dienst prinzipiell nicht dicht zu bekommen -- ausser man zieht das Netzwerkkabel. Unixbasiserte Systeme hingegen bekommt man dazu überredet Dienste anzubieten und trotzem die Trutzburg zu miemem: Im Extremfall kommentiert man "einfach" Codepassagen, die nicht passen aus. Zeig' mir den Trick mal mit Windows...

    OpenSSL Version (Score:3, Informativ)
    Von Joker am Saturday 14. September, 14:14 MEW (#5)
    (User #1005 Info) http://www.netswarm.net/
    Die Version 0.9.6e reicht um sicher zu sein. Ich weiss nicht wer angefangen hat zu behaupten, dass nun plötzlich 0.9.6g nötig sei. Auf jeden Fall haben das dann alle Newsseiten 1:1 kopiert. http://www.openssl.org/news/ listet ganz klar auf wann das Problem behoben wurde.
    Re:OpenSSL Version (Score:1)
    Von Domi am Saturday 14. September, 21:03 MEW (#7)
    (User #33 Info) http://www.schaf.ch
    die meisten schreiben nicht, dass 0.9.6g _nötig_ ist, sondern nur, man solle auf diesen updaten. ich denke sie schreiben dies so, weil 0.9.6g momentan die neuste version ist.

    Re:OpenSSL Version (Score:0)
    Von Anonymer Feigling am Sunday 15. September, 13:55 MEW (#12)
    Hmm, wenn ich unter Debian woody schaue, dann ist dort 0.9.6c aktuell...
    Das ist natürlich auch mit ein Grund, weshalb viele noch nicht über 'e' sind.

    Ich dachte mal, man könne der Debian Versionsverwaltung vertrauen, aber scheinbar ist das Trugschluss.

    Wer mit Debian arbeitet, ist den aktuellen Versionen immer um Jahre hintendrein oder arbeitet mit 'unstable'...

    na Prost
    Re:OpenSSL Version (Score:1)
    Von skar am Sunday 15. September, 20:02 MEW (#13)
    (User #400 Info)
    Debian erstellt eigene security fixes für die jeweils als "stable" eigefrohrene Version eines Packages. Du solltest also die security updates von Debian verwenden.
    Re:OpenSSL Version (Score:0)
    Von Anonymer Feigling am Monday 16. September, 02:33 MEW (#14)
    Schau hier: http://www.debian.org/security/2002/dsa-136
    SSL ausschalten (Score:1)
    Von Domi am Saturday 14. September, 21:07 MEW (#8)
    (User #33 Info) http://www.schaf.ch
    was ist die einfachste art, SSL im apache auszuschalten?
    ich hab nun einfach im httpd.conf den eintrag 'Listen 443' auskommentiert.
    aber das ganze SSL zeugs steht ja immer zwischen [IfDefine HAVE_SSL].
    kann man nun nicht irgendwo das HAVE_SSL auf No stellen oder sowas?


    Re:SSL ausschalten (Score:0)
    Von Anonymer Feigling am Sunday 15. September, 01:17 MEW (#9)
    Also unter Suse hab ich einfach ( so einfach war das gar nicht, da musten scripte gewälzt werden, bis ich die richtige stelle gefunden hatte) im File /etc/rc.config.d/apache.rc.config die Variable HTTPD_SEC_MOD_SSL=no gesetzt, das hat zur Folge, dass der Aufrud des Daemons httpd ohne die Option "-D SSL" durchgeführt wird. Der Vorteil: keine Änderung an der Originalconfigdatei /etc/httpd/httpd.conf, der Nachteil: /etc/init.d/apache reload ändert nichts, also muss /etc/init.d/apache restart gemacht und somit eine kleine Auszeit in Kauf genommen werden. Ich hätts gern anders gehabt, aber die Installation der neuen ssl-Version arbeitet nicht mit meinem Apache zusammen. Nagut ich steige sowieso bald komplett auf Debian um, da dürften solche Probleme nicht mehr auftreten, ausserdem jetzt gibt es ja vserver und usermodelinux und wer das nicht auf einem Produktivserver einsetzt, braucht sich über fehlende Sicherheit nicht zu wundern.
    Re:SSL ausschalten (Score:1)
    Von tbf am Sunday 15. September, 09:38 MEW (#10)
    (User #21 Info) http://taschenorakel.de/
    Bei Redhat: "rpm -e mod_ssl"
    Re:SSL ausschalten (Score:1)
    Von dawn (dawn at fnord dot ch) am Sunday 15. September, 13:07 MEW (#11)
    (User #8 Info) http://www.trash.net/~thomasb/
    Anstatt mit 'apachectl startssl' startest Du ihn mit 'apachectl start'.
    --
    Anyone can make an omelet with eggs. The trick is to make one with none.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen