|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
Von Anonymer Feigling am Monday 10. January 2005, 12:52 MEW (#1)
|
|
|
|
|
stefan esser hat gar nichts geschrieben - jemand scheint ihn nicht wirklich zu mögen...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Meiner Meinung nach werden hier die Tatsachen etwas verzerrt dargestellt. Als Berichtigung ein Zitat vom heiSec Artikel
"Der dem Advisory beigefügte Exploit öffnet eine Root-Shell. Ursprünglich wollte Starzetz keinen Exploit veröffentlichen und auch mit der Veröffentlichung seines Advisory warten. Als auf der Mailing-Liste von Immunitysec ein anderer Exploit für diese Sicherheitslücke erschien, sah er sich nach eigenen Angaben aber dazu gezwungen. Das auf Immunitysec veröffentlichte Advisory gibt vor, von Stefan Esser von E-Matters zu sein. Zunächst beschwerte sich Starzetz auf anderen Mailing-Listen auch darüber, dass Esser bei ihm abgeschrieben hätte. Esser dementierte, dass das auf Immunitysec veröffentlichte Advisory von ihm stamme -- was die Aufmachung bereits vermuten ließ. Kurz darauf nahm Starzetz dann alle Vorwürfe zurück.
Wer das Posting nun an Immunitysec geschickt hat, bleibt vorerst offen. Da Starzetz seine ersten Beschreibungen und den Demo-Exploit zu der Schwachstelle aber auf der geschlossenen Mailing-Liste der Linux-Distributoren Vendor-Sec veröffentlicht hat, liegt der Schluss nahe, dass der Absender dort zu suchen ist -- es sei denn, ein Außenstehender hätte sich Zugang zur Liste verschafft."
Und dass das Immunitysec Posting zwar kein Fake, aber nicht von Esser gesendet wurde zeigt die letzte Zeile ganz offentsichtlich:
"http://www.sharpmail.co.uk - "Live in your world, email in ours" Send 'fake' email for free! Remove this footer by upgrading."
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 10. January 2005, 13:27 MEW (#2)
|
|
|
|
|
Ob das mit grsecurity auch passiert wäre?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja. Die Fehler sind völlig unabhängig von grsecurity. Das wird auf der grsecurity-Mailingliste berichtet. Es gibt daher auch einen zusätzlichen Patch, der von Spengler angeboten wird. Also nicht vergessen, diesen zusätzlich einzuspielen.
Siehe auch:
http://www.heise.de/newsticker/meldung/54936
PS.: Der Beispiel Exploit funktionierte auf meinen Systemen nicht. Aber vielleicht bin ich auch nur ein Skript-Kiddie...
|
|
|
|
|
|
|
|
|
|
|
|
|
Hm vielleicht kehren Sie doch wieder mal zum alten Modell mit einem stabilen und einem testing Kernel zurück...
Es geht zwar etwas langsamer (neue Features etc.), aber ich glaube alles in allem - vielleicht doch besser?
Vielleicht einfach die Releasezyklen etwas kürzen und z.b einmal im Jahr eine neue Major Version rausgeben - so in die Richtung wie bei KDE.
Dann würden auch neuere Features quasi einmal im Jahr in die stabilen Distris reinwandern...
Aber es ist eine schwierige Sache, das versteh ich.
|
|
|
|
|
|
|
|
|
|
|
|
|
viele leute sagen, auditing des kernel bringt's nicht. Wir sollten mehr blabla ala RSBAC/SELinux/GRSecurity usw machen.
Tja, jetzt hat Linux eine unglaublich riesige Codebasis, und nur schon in jedem Treiber stecken vermutlich mehrere Exploits (wer hat sie schon gefunden?), nur schon der ELF Loader hat ein Bug nach dem anderen... und nein, man kann Linux nicht in Java rewriten :)
Da ist das OpenBSD Team Jahre voraus (wenn natürlich nicht perfekt/100% sicher).
Nein, das ist kein Flame gegen die doofen Linux User; mir scheint bloss Linux noch nicht erwachsen geworden (es ist nun eben aufwändig, einen Kernel zu coden, der vom Taschenrechner bis zum Supercomputer auf allem läuft, mega schnell ist, all die superduper features hat, zu 70% aus driver code besteht, und von Programmierern (mit ihren Prioritäten) weiterentwickelt wird und dann noch sicher ist)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wenn du nicht flamen willst, würdest du die Linux User sicherlich nicht *doof* schimpfen.
OpenBSD und Linux sitzen im selben Boot als alternative Betriebssysteme zu Windows - und wer hat mehr Benutzer - und wieso?
Hab selbst OpenBSD 3-4 Versionen lang installiert gehabt. Klar, ist ein tolles OS.. besonders die Netzinstallation mit nur 2 Disketten fand ich toll. Aber als Desktop... ne... sorry, ich will geile Features, ich will was zum spielen (auch auf OS Ebene)! Was zum basteln! Ich will nicht ein stockkonservatives OS mit Entwicklern die ständig im Clinch sind miteinander.
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
|
|
|
|
Nimm MirOS:
- Wir sind nicht im Clinch miteinander, nur
OpenBSD hat uns auf dem Kieker, und selbst da
gibt es Leute, mit denen wir austauschen
- Es gibt was zum Spielen auf OS-Ebene: Such'
die Bugs ;) Oder hilf' bei der MacPPC-Portierung.
- Oder halt Ports. Fixen und aktualisieren.
- Es gibt geile Features: wir haben die neuesten
binutils in town (viiiiiel neuer als Gentoo),
und der gcc meldet sich als gcc 3.4.4
- gcc ist nicht (mehr) nur C, sondern auch C++,
Objective C, Fortran 77, Java(tm) und Ada!
(Hallo Raffzahn)
- gpc (also Pascal nativ im gcc) ist in Vorberei-
tung und nur wegen Entwicklerzeitmangels noch
nicht drin
- Wir sind viel näher an Wine/WineX als OpenBSD,
teils, weil viel low-level Code von NetBSD(tm)
übernommen wurde
Ok, eins gibt's nicht mehr zum spielen: bsdgames.
Die sind nicht mehr im Basissystem (lassen sich
aber via /usr/ports/games/bsdgames nachinstallieren).
Ich bin BSDler, ich darf das!
06.03.2005 00:24 UTC
#1 der Hall of Fame:
2⁷ Kommentare
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 10. January 2005, 22:20 MEW (#9)
|
|
|
|
|
krieg ich 'n t-shirt? und wo wir grad dabei sind, hast du noch nicht-bootbare openbsd-cds?
|
|
|
|
|
|
|
|
|
|
|
|
|
Du hast interessanterweise genau die Pakete rausgesucht bei denen sich Versionitis nicht immer lohnt, manchmal sogar ziemlich daneben geht. Vor allem gcc 3.4.x ist, wenn man ein bereits bestehendes System hat das mit 3.3.x gebaut wurde, nicht wirklich zu empfehlen. Ansonsten frag ich mich warum man jetzt damit anfängt eine Sprachenleiche wie Fortran77 zu unterstützen. Ich habs bei mir zusammen mit gcj und Objective C per useflag abgestellt.
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja, wir hatten gcc 3.2.3, und das Update auf
3.4 bringt uns _einiges_ (von den ganzen Bugs
in C++-Programmen, die jetzt jemand fixen muß,
mal abgesehen).
Außerdem sind die folgenden die _einzigen_
non-"free" (also BSD) Programme im Tree:
sendmail binutils cvs lynx mkisofs perl rcs
texinfo gcc
Von daher kann ich mir gar keine anderen zum
Updaten aussuchen ;-)
Und Fortran ist ja nur dabei, weil's eben dabei
ist. Außerdem ist gcc 3.4 der letzte "stabile"
Zweig, und wir werden ihn wohl noch verdammt
lange nutzen. Für ein Update von 3.2.3 (tote
Linie) mußte ich ohnehin die Maschinenbeschrei-
bungen völlig neuschreiben, da sich das Format
geändert hatte.
Wenn "Versionitis" danebenginge, hätte ich es
entweder nicht committet, oder sofort reverted.
Immerhin baue ich ja auch auf meinem System
damit und würde es daher sofort merken ;) ist
halt das eigene Hundefutter.
Ich bin BSDler, ich darf das!
06.03.2005 00:24 UTC
#1 der Hall of Fame:
2⁷ Kommentare
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 10. January 2005, 23:27 MEW (#10)
|
|
|
|
|
> Wenn du nicht flamen willst...
bin selber Linux User....
Du kannst OpenBSD auch als Desktop nehmen. Aber ich stimm dir zu, das wäre nicht ganz das wahre...
Aber eben, wenn du Spannung, Spass und was zum Spielen willst, kannst du geradesogut Windows nehmen (ist fast besser dafür ;). Jeder User hat das Recht, sein Lieblings OS zu wählen.
Wenn es aber um Produktiv-Systeme geht, sollte man schon im Hinterkopf behalten, wie es denn gerade so aussieht mit den verschiedenen Betriebsystemen...
|
|
|
|
|
|
|
|
|
|
|
|
|
Für den Fehler im Elf-Loader gibt seit dem 09.01. für Kernel 2.6.10 einen patch im Gentoo-Portagebaum. (/usr/portage/sys-kernel/development-sources/files/development-sources-2.6.10-CAN-2004-1235.patch)
Wer den Fehler also fixen will bevor von Kernel.org etwas kommt sollte einmal einen gentoo-user in seiner Umgebung angraben ;-)
|
|
|
|
|
|
